Celui qui utilisait le pseudo « JohnSmith »
Il pensait avoir trouvé un pseudo passe-partout, c'était raté.
Bonjour,
Bienvenue pour la suite de cet épisode de Pwned sur la traque des pirates informatiques d'« Ako ». Pour rappel, si vous aimez cette newsletter sur le cybercrime, n'hésitez pas à le signaler à votre entourage.
La semaine dernière, je vous racontais comment les investigations sur une attaque informatique par rançongiciel contre une entreprise du Morbihan allaient finalement se révéler très fructueuses pour les enquêteurs de la section de recherches de Rennes, en charge de ce dossier.
L'identification d'une trace, une adresse IP (pour Internet protocol), se révèle en effet être une mine d'or. Cette suite de chiffres, une adresse sur le réseau internet, mène les gendarmes vers un serveur hébergé chez l’entreprise OVH, à Roubaix - rien d’étonnant, c’est l’un des leaders du secteur. Puis à un second, localisé lui en Moldavie. Saisis par les autorités, ces serveurs vont donner plein d’informations intéressantes: l'accès au tableau de bord du rançongiciel, les organisations visées, les échanges de négociation de rançon ou encore les adresses de crypto-monnaie ayant reçu l'argent extorqué. C'est le jackpot.
Mais n’allons pas trop vite. Le premier serveur est en quelque sorte une base arrière pour les pirates informatiques. C’est leur base de lancement pour leurs attaques, avec leur malle à jouets. On y trouve par exemple deux souches du rançongiciel Ako. Ou encore un outil pour rechercher des ports RDP ouverts (pour Remote Desktop Protocol, ce protocole de communication sécurisé ciblé pour les attaques dont je vous avais parlé dimanche dernier) et forcer la connexion en passant par la technique de la force brute, en testant successivement un maximum de combinaisons possibles.
Les gendarmes retrouvent trois comptes utilisateurs sur ce serveur. Il y a un certain « JohnSmith », « Boba » (alias également « Tanos ») et enfin « svetka ». En tout, ils ont échangé environ 12 000 messages sur la messagerie sécurisée « Jabber Wime ». Ces conversations permettent aux enquêteurs d'avoir une idée sur la façon dont le groupe est hiérarchisé. « JohnSmith », l'utilisateur le plus loquace, semble ainsi le plus impliqué. Au vu de ses messages, il a l'air d'être celui qui a le plus d'expérience dans les intrusions via des ports RDP.
C'est lui également qui a obtenu l'accès au rançongiciel, grâce à ses contacts avec l'un des développeurs, précise l'ordonnance de renvoi, ce document judiciaire qui récapitule l'enquête à la fin d'une information judiciaire. De même, c'est lui qui explique aux deux autres utilisateurs comment marche le tableau de bord d'« Ako » ou qui envoie des adresses IP pouvant être ciblées, avec parfois des couples d'identifiants- mot de passe.
Et enfin, c'est lui qui gère la rémunération des deux autres personnes impliquées. On connaît peu de choses au sujet de ces derniers. « JohnSmith » semble connaître physiquement « Boba ». Et « svetka » pourrait être, c'est assez rare dans la cybercriminalité pour être souligné, « probablement une femme », signale le document judiciaire.
Revenons à « JohnSmith ». Avec un tel pseudo, l'enquête s'annonce coton. C'est un peu notre équivalent en français de M. Martin. Pourtant, il va être possible de remonter le fil, avec finalement pas mal de traces identifiées, et je trouve que c'est assez bluffant. Accrochez-vous, je vous raconte tout ça.
La pelote commence à être déroulée à partir du premier serveur, sur OVH. On y voit que trois adresses mails sont utilisées par « JohnSmith ». Dont une en « johnsmithxxxx@... ». Ce mail est très intéressant: les gendarmes l'ont retrouvé sur un forum de hackers, où l'internaute proposait un service de location de serveurs afin de faire du scan de réseaux et des attaques par force brute. On voit les liens avec notre histoire. Pour être contacté, l'internaute signalait deux autres adresses mail, cette fois-ci tournant autour du pseudo « Gordon Freeman ». C'est visiblement une autre de ses identités.
Ces liens sont confirmés quand les enquêteurs fouinent dans le second serveur identifié, celui basé en Moldavie. On y retrouve cette fois un utilisateur dénommé « GordonFreeman » mais aussi « JohnSmith », relié pour le coup à un nouveau mail, quimk@.... Deux autres adresses apparaissent, « iDA_GA @... » et « jonyclaus@... ».
Revenons au serveur OVH. Grâce aux données de navigation, les enquêteurs identifient deux comptes de « JohnSmith » sur le site de gestion de cryptos Cryptonator. C'est une découverte capitale. On sait désormais qu'un portefeuille de crypto-actifs, cette adresse qui permet de recevoir des cryptos, a enregistré en deux ans l'arrivée de 391 mouvements suspects, soit 78 BTC environ, l'équivalent de 715 000 dollars.
Cela ressemble au paiement de rançons, notamment parce qu’en sortie, les fonds ont été dirigés un mixeur de cryptomonnaies. C’est un outil pour brouiller les pistes. Mais aussi sur un compte Binance, le célèbre échangeur. Ce compte est censé avoir été ouvert au nom d'un certain Evgheni Platonov. L'argent s'est envolé ensuite vers d'autres adresses liées à d'autres rançongiciels, autrement dit certainement des comptes de blanchisseurs.
Mais outre Binance et le mixeur, un échangeur russe a également été utilisé. Coup de chance pour les enquêteurs: ce site répond aux demandes judiciaires. La plateforme d'échange identifie justement des transactions menées avec deux des emails déjà repérés, « quimk » et « johnsmithxxxx ». Elle repère également des transactions utilisant une troisième adresse, « Jonyclaus@... », reliée à « quimk » par le même numéro de téléphone.
Toutes ces infos vont permettre de mettre un nom sur les comptes du mystérieux internaute. L’une des adresses mails repérée a ainsi fait des transactions au profit d'un portefeuille AdvCash. Il est enregistré au nom d'un certain Yauhen Horbach, un homme utilisant la même adresse email ! Comme si le suspect s’était envoyé des rançons obtenues par extorsion sur un compte légitime, pour les sortir.
Les carottes commencent à être cuites... Elles vont l'être définitivement grâce à des investigations en source ouverte. L'adresse « iDA_GA@... », enregistrée dans le navigateur de « JohnSmith » sur le serveur moldave, est reliée à un profil Skype au nom de « JonyClaus ». Et surtout à un autre profil sur le réseau social mail.ru au nom d'Evgeny Gorbach, un homme né en mai 1991 en Biélorussie.
En suivant le fil, les enquêteurs tombent sur le compte Instagram d'Evgeny Gorbach, un compte qui avait un autre intitulé jusqu'à la fin de l'année 2017: John Smith ! Il y a également un utilisateur Paypal utilisant l'adresse « iDA_GA@...». Le client, indique l'entreprise, s'appelle Yauhen Horbach. Horbach et Gorbach semblent en réalité la même personne, la différence dans la première lettre s'expliquant par la traduction du cyrillique vers l'alphabet latin.
Les enquêteurs blindent leur dossier pour être sûr de ne pas se tromper de poisson. Après quelques réquisitions, ils peuvent prouver que le numéro de téléphone enregistré pour le portefeuille AdvCash est lié à un compte Google au nom d'un certain « JohnSmith ». Et on retrouve un profil suspect sur le site de poker en ligne Poker Star au nom d'un certain Eugene Gorbach, né en mai 1991. Son pseudo? « Johnsmithxxxx ».
Je vous raconte la fin de cette histoire la semaine prochaine,
Bonne journée,
Gabriel
PS: L’histoire vous a plu? Pour me payer un café, c'est ici ou sur mon wallet BTC (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex).
Sources