.jpg)
En novembre 2021, Tord Lundström, le directeur technique de l’association suédoise de criminalistique numérique Qurium Media, a remarqué quelque chose d’étrange. Une attaque massive par déni de service distribué (DDoS) ciblait Bulatlat, un média philippin alternatif hébergé par l’association à but non lucratif. Et cela venait des utilisateurs de Facebook.
Lundström et son équipe ont découvert que l’attaque n’était que le début. Bulatlat était devenu la cible d’une ferme de trolls vietnamiens sophistiquée qui avait capturé les informations d’identification de milliers de comptes Facebook et les avait transformés en robots malveillants pour cibler les informations d’identification d’encore plus de comptes afin d’augmenter ses chiffres.
Le volume de cette attaque était stupéfiant même pour Bulatlat, qui a longtemps été la cible de censure et de cyberattaques majeures. L’équipe de Qurium bloquait jusqu’à 60 000 adresses IP par jour pour accéder au site Web de Bulatlat. “Nous ne savions pas d’où cela venait, pourquoi les gens allaient sur ces parties spécifiques du site Web de Bulatlat”, explique Lundström.
Quand ils ont retracé l’attaque, les choses sont devenues encore plus étranges. Lundström et son équipe ont découvert que les demandes de pages sur le site Web de Bulatlat provenaient en fait de liens Facebook déguisés pour ressembler à des liens vers de la pornographie. Ces liens frauduleux ont capturé les informations d’identification des utilisateurs de Facebook et redirigé le trafic vers Bulatlat, exécutant essentiellement une attaque de phishing et une attaque DDoS en même temps. À partir de là, les comptes compromis ont été automatisés pour spammer leurs réseaux avec davantage des mêmes faux liens pornographiques, qui à leur tour ont envoyé de plus en plus d’utilisateurs vers le site Web de Bulatlat.
Bien que la société mère de Facebook, Meta, ait mis en place des systèmes pour détecter les escroqueries par hameçonnage et les liens problématiques, Qurium a découvert que les attaquants utilisaient un “domaine rebondissant”. Cela signifiait que si le système de détection de Meta devait tester le domaine, il établirait un lien vers un site Web légitime, mais si un utilisateur régulier cliquait sur le lien, il serait redirigé vers le site de phishing.
Après des mois d’enquête, Qurium a pu identifier une société vietnamienne appelée Mac Quan Inc. qui avait enregistré certains des noms de domaine des sites de phishing. Qurium estime que le groupe vietnamien a capturé les informations d’identification de plus de 500 000 utilisateurs de Facebook de plus de 30 pays en utilisant une centaine de noms de domaine différents. On pense que plus d’un million de comptes ont été ciblés par le réseau de robots.
Pour contourner davantage les systèmes de détection de Meta, les attaquants ont utilisé des “proxies résidentiels”, acheminant le trafic via un intermédiaire basé dans le même pays que le compte Facebook volé – normalement un téléphone portable local – pour donner l’impression que la connexion provenait d’un local. Adresse IP. “N’importe qui de n’importe où dans le monde peut alors accéder à ces comptes et les utiliser pour ce qu’il veut”, déclare Lundström.
Une page Facebook pour “Mac Quan IT” indique que son propriétaire est un ingénieur de la société de domaine Namecheap.com et inclut un message du 30 mai 2021, où il annonce des likes et des followers à vendre : 10 000 yens (70 $) pour 350 likes et 20 000 yens pour 1 000 abonnés. WIRED a contacté l’e-mail joint à la page Facebook pour commentaires mais n’a pas reçu de réponse. Qurium a en outre retracé le nom de domaine jusqu’à un e-mail enregistré à une personne appelée Mien Trung Vinh.
