Celui qui voulait siphonner la Citibank (1/3)
Comment des mules ont permis de remonter aux sources du casse du siècle
Bonjour !
Bienvenue dans ce nouvel épisode de Pwned. Ce soir, on va parler d’une vieille histoire de hackers russes qui rappelle que les pirates ne sont pas forcément ceux que l’on croit.
Mais tout d’abord, pour ceux qui ne sont pas inscrits, voici le formulaire pour recevoir directement ce message dans votre boîte mail.
Ce dossier dont je veux vous parler ce soir, c’est l’affaire du vol de la Citibank. Ce dossier, considéré comme le premier grand braquage numérique d’une banque, commence à l’été 1994. On parle à l’époque d’une tentative de vol de dix millions de dollars. Ca n’a l’air de pas grand chose à côté des hacks dans la crypto d’aujourd’hui, mais à l’époque c’est du jamais vu.
Tout débute en Finlande. Un homme vient d’être envoyé pour accomplir une drôle de mission. Quand on lui en donnera l’ordre, il ira dans une banque et demandera à consulter le solde. Mais surtout, pas avant d’avoir reçu le go. La raison est simple: il n’y a pas un kopek sur le compte. Enfin, pas pour le moment.
A Saint-Pétersbourg en Russie, son commanditaire se connecte au réseau informatique de la Citibank. C’est l’un des plus grands réseaux bancaires américain. Il transfère 400 000 dollars siphonnés depuis d’autres comptes vers celui hébergé en Finlande. Et seulement à ce moment-là, il donne le coup d'envoi à son complice.
Ce dernier est ce qu’on appelle une mule. C’est la personne chargée de récupérer l’argent après le transfert frauduleux. Leur rôle n’est pas très compliqué. Mais sans eux, impossible de mettre la main sur le magot. Un job plutôt risqué, puisqu’ils agissent à découvert physiquement, on va en reparler.
L’homme à l’origine du transfert frauduleux s’appelle Vladimir Leonidovich Levin. Qui est ce jeune russe né en 1967? On sait qu’il a fait des études de microbiologie, peut-être également de mathématique, et son service militaire. Quand le mur de Berlin chute, Levin a 22 ans. C’est une époque compliquée pour les Russes. Un moment où pas mal de repères ont volé en éclat et où la débrouille était reine.
Vladimir Levin ne s’en sort pas si mal. L’ingénieur s’intéresse à l’informatique et travaille pour un éditeur de logiciel, Saturn. Le soir, il s’amuse à assembler des ordinateurs. On monte une carte mère, on branche le ventilateur, etc, je l’ai fait quelques années plus tard, c’est vraiment amusant. Mais sans doute qu’il en voulait encore plus? Ou que l’opportunité était trop belle pour être laissée de côté?
Tout cela pour dire que pour Levin, ce transfert des 400 000 dollars n’est qu’une mise en bouche. En tout, entre 10 et 12 millions de dollars (la somme diverge selon les sources) vont être transférés vers des comptes bancaires situés en Finlande, en Russie, en Allemagne, aux Pays-Bas, aux États-Unis, en Israël et en Suisse. Le FBI a compté une quarantaine de transactions illégales de fin juin à octobre, des virements de 26 000 dollars à plus de 300 000.
Les premiers à s’inquiéter, ce sont les employés d’une banque de Hong-Kong. En cette fin juin, il manque 143 000 dollars sur leurs comptes. Une somme qui est partie, via Citibank, vers un compte inconnu.
Saisie, Citibank ne prend pas l’incident au sérieux - pour la banque américaine le problème est forcément à Hong-Kong. Mais deux semaines plus tard, rebelotte. Cette fois-ci c’est une banque de l’Uruguay qui constate un trou de 384 000 dollars. L’alerte est sérieuse et Citibank dépose enfin plainte.
C’est ce qui explique qu’en réalité, s’il a bien eu plus de 10 millions de dollars transférés, le butin effectivement dérobé est bien moindre. Une fois qu’ils se sont aperçus du problème, les banquiers ont pu geler les fonds frauduleusement transférés. Autrement dit, les mules ne pouvaient plus retirer les fonds transférés, qui repartaient ensuite dans l’autre sens.
Donc ce jeu du chat et de la souris devait immanquablement mal tourner. Enfin surtout pour les personnes que Vladimir Levin envoyait dans des banques étrangères. Il y a une première arrestation à San Francisco, une autre à Tel-Aviv, une troisième à Rotterdam. Tous les trois sont venus retirer les fonds transférés, avec dans la poche un billet retour pour Saint-Pétersbourg.
Mais où Vladimir Levin a-t-il pêché tous ces mules? Eh bien l’ingénieur s’est allié à un gang russe, les Tambov. C’est un gang mafieux de Saint-Pétersbourg très connu et pas vraiment recommandable - y compris si vous vous appelez Vladimir Poutine et que vous êtes le maire adjoint de la ville.
Avec Levin, le deal est simple. L’ingénieur transfère les fonds, et des petites mains du gang s’occupent de faire les retraits. Au pire, s’ils sont arrêtés, ils peuvent prétendre ne rien savoir. Mais les enquêteurs américains vont avoir un coup de chance. La jeune femme arrêtée à San Francisco, Katarina, ne veut pas payer pour les autres.
A la mi-août, elle ouvre des comptes dans cinq banques de San Francisco. Quelques jours plus tard, près de 200 000 dollars sont déposés, via un virement frauduleux opéré dans l’informatique de Citibank. Katarina se rend à la banque. Et paf, elle se fait arrêter le 26 août.
Pour les enquêteurs, ces petites mains ne sont intéressantes que dans la mesure où elles permettront de remonter au cerveau de ce casse numérique. Avec Katarina, ils tirent une bonne pioche.
Le jour de son arrestation, son mari Yevgeny est déjà reparti en Russie. Katarina l’a mauvaise d’avoir été laissée seule dans le guêpier. Comme elle coopère, on la laisse téléphoner. Et ce qui devait arriver arriva: Katarina passe un savon à son mari, soit dit en passant celui dans le couple qui est proche du gang.
Que va faire Yevgeny? Surprise, il revient bien aux Etats-Unis, où il sait qu’il va être arrêté Mais il est accompagné de sa fille de six ans. Bon, mieux vaut être tous ensemble dans les moments difficiles.
Pour l’anecdote, les enquêteurs américains se retrouvent à jouer les baby-sitters. Mais l’essentiel est là. Yevgeny coopère également et passe un coup de fil à Vladimir Levin. Alors qu’il est sur écoute, l’ingénieur a la langue trop pendue et s’épanche sur sa méthode.
Bref les preuves s’accumulent. Affaire quasiment classée donc? Alors non, et pour deux raisons, qu’on verra dans les deux prochains volets de cet épisode. D’abord, les enquêteurs ont toujours un problème de taille. Comment faire sortir le hacker de sa tanière russe? Ensuite, comment être sûr que Levin soit le vrai hacker? On en reparle la semaine prochaine.
Bonne soirée,
Gabriel
Relecture: Mnyo
PS: L’histoire vous a plu? Pour me payer un café - par exemple une Anchor steam - c'est ici ou sur mon wallet BTC (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex).
Sources:
DARKNET DIARIES: EP 23: VLADIMIR LEVIN
Hacking Theft of $10 Million From Citibank Revealed
A Byte Out of History $10 Million Hack, 1994-Style