Imperva a décrypté une attaque menée en 2011 par les Anonymous à l'encontre d'un site dont l'identité demeure... anonyme. D'après les informations de The New York Times, il s'agirait d'une attaque contre le site du Vatican en août 2011. Cette attaque a eu lieu en trois phases sur une durée totale de 25 jours.

Ces trois phases sont décrites comme suit : recrutement et communication, reconnaissance et attaque de la couche applicative, attaque par déni de service ( DDoS ).

Le mode opératoire est en partie déjà connu. Via les réseaux sociaux et quelques canaux comme Twitter, Facebook et YouTube, une cible est d'abord choisie.  C'est aussi une phase de recrutement de volontaires.

Parmi ces volontaires, les hackers dits de haut niveau ne sont qu'une petite poignée. Ce sont eux qui recherchent les vulnérabilités de la couche applicative ( grâce à des outils automatisés tels que Havij, Acunetix ) et opèrent des attaques pour dérober des données avec des attaques par injection SQL par exemple.

Imperva explique que les non-spécialistes n'interviennent qu'en troisième phase via une contribution à l'attaque par déni de service distribué, après échec de tentatives de vol de données. Pour cela, des outils comme LOIC ( Low Orbit Ion Cannon ) sont utilisés pour lancer des attaques DDoS.

" Contrairement aux pirates visant à générer du profit, Anonymous n'a que rarement utilisé des techniques telles que botnets, logiciels malveillants, phishing ou spear phishing ", souligne Imperva qui propose en guise de synthèse l'infographie ci-dessous :

Imperva-anatomie-attaque-anonymous