Ceux qui avaient beaucoup d’amis (2/3)
L'opération Trident-Breach est un beau coup de filet, mais elle loupe les trois plus gros poissons.
Bonsoir,
Bienvenue pour la suite de cet épisode de Pwned. Mais tout d’abord, si vous n’êtes pas inscrit, voici le formulaire pour recevoir directement dans votre boîte mail les prochaines histoires.
La semaine dernière, je vous parlais du coup de filet de la justice américaine contre un gang qui s’était appuyé sur le logiciel malveillant ZeuS pour siphonner des millions de dollars. Le nom de cette opération judiciaire, c’était Trident-Breach.
Dans cette enquête, tout avait commencé courant 2008 dans le Nebraska. L’agence locale du FBI est à l’époque alertée par des paiements suspects vers 46 comptes bancaires, en fait des comptes de mules.
Selon la justice américaine, le mode opératoire des malfaiteurs passe par plusieurs phases. D’abord l’infection de victimes et le vol de leurs informations bancaires grâce à ZeuS. Puis le piratage de leur compte bancaire et l’envoi de fonds vers les comptes des mules. Et enfin le rapatriement de l’argent volé vers la tête du réseau.
Dans les mailles du filet du FBI, on retrouve d’ailleurs de nombreuses personnes accusées d’avoir blanchi ou organisé le blanchiment de l’argent, comme Yuriy Konovalenkon, en train de faire cuire des brochettes sur cette photo.
Sauf que la pêche a manqué trois gros poissons. Comme le raconte le MIT Technology Review, en haut de la liste du FBI, il y a Slavik, Tank et Aqua, des pseudos évidemment.
Le premier, Slavik, est soupçonné d’être le concepteur du malware. Le deuxième, Tank, est l’un des plus gros clients de Slavik. Et le troisième, Aqua, est un spécialiste du blanchiment, à la tête d’une armée de mules et de sociétés-écrans.
Aucun d’entre eux n’est pourtant arrêté, en cette année 2010. Mais alors, que s’est-il passé?
Aqua est localisé en Russie, donc cette partie là doit être gérée par les autorités russes. Quant à Slavik, dont on ne sait alors quasiment rien, le seul qui a été en contact avec lui, c’est Tank. Mais justement le FBI a pas mal de choses sur ce dernier. Arrêter l’un doit permettre de passer les menottes au second, en gros.
Tank, un temps soupçonné d’être le leader avant d’être ramené à son juste rang de client VIP, s’est établi autour de Donetsk. A l’époque, il ne s’agit encore que la capitale du Donbass, cette région industrielle de l’Ukraine désormais revendiquée par la Russie.
Ici, Tank est connu, précise le journaliste spécialisé Brian Krebs, sous un autre pseudo: DJ Slava Rich. Ce trentenaire fêtard aime aussi rouler dans ses BMW et Porsche haut de gamme.
Selon l’expert Gary Warner, les enquêteurs découvrent son nom d’une manière assez rocambolesque. Dans un chat surveillé par le FBI, Tank annonce que que sa fille Miloslava vient de naître, ce 22 juillet 2009. Et il donne son poids de naissance. Une vérification dans les registres de naissance montre qu’il n’y a qu’une seule Miloslava de ce poids née en Ukraine ce jour-là.
Le FBI prend donc logiquement attache avec les autorités judiciaires ukrainiennes. Si les américains veulent procéder à des arrestations, ils doivent nécessairement passer par la justice ukrainienne.
Enfin plus précisément le SBU, une sorte d’équivalent au FBI aux compétences allant du contre-espionnage à la lutte contre le crime organisée, en passant par la lutte contre le terrorisme et le renseignement.
En juin 2010, les pontes ukrainiens, les agents du FBI et les autres pays partenaires impliqués (le Royaume-Uni, la Russie, et les Pays-Bas) scellent leur alliance dans la datcha du patron ukrainien du SBU, Valeriy Khoroshkovsky.
Bon, ça fait un peu cliché, mais apparemment la vodka coule bien à flots. Tout semble rouler. Fin septembre, les agents américains prennent le train pour Donetsk en attendant d’avoir le “go” de l’opération.
L’arrestation de Tank, couplée à la prise d’Aqua en Russie, doit permettre de remonter fissa à Slavik, caché quelque part mais sans doute pas très loin. Sauf que les agents du FBI attendent en vain pendant plusieurs longs jours. Puis un jour d’octobre, les ukrainiens annoncent la mauvaise nouvelle. Tank a disparu.
Quand ils perquisitionnent chez lui, il n’y a personne. C’est une énorme tuile. L’arrestation de Tank était essentielle pour remonter au hacker en chef, Slavik.
Comme si ça ne suffisait pas, les Russes ne donnent plus de nouvelles sur une éventuelle arrestation d’“Aqua”. Les agents américains sont dépités. Ils repartent bredouilles de leur excursion en Ukraine, avec la sensation de s'être fait avoir quelque part. Il est clair qu’il y a eu des fuites durant l’enquête.
En fait, en avril 2010, soit donc six mois avant le coup de filet, il y avait eu une première alerte. Un proche prévient Tank: le FBI le surveille, il a vu les logs dit-il. Pourtant, seule une poignée d’agents américains et ukrainiens sont au courant du point précis mentionné par l’ami de Tank, visiblement la surveillance d’un serveur de commande et de contrôle par les enquêteurs.
Qui a eu la langue trop pendue? Il y a pas mal de suspects. Une blague du FBI sur la police ukrainienne en disait long. Pour trouver l'unité anticorruption du SBU, il suffit de chercher le parking rempli de BMW.
Comme le raconte le MIT Technology Review, le SBU va faire son enquête et tomber sur le chef d’une unité d’intervention, soupçonné d’avoir donné des infos aux suspects avant le coup de filet. Il s’agit de Alexander Khodakovsky, visiblement ce futur séparatiste pro-russe qui a suggéré à Poutine d’envoyer des têtes nucléaires pour vaincre l’Ukraine.
L’ampleur de la corruption dépasse pourtant sans doute ses seules épaules. On se demande ainsi plus tard si Tank a peut-être manœuvré pour que l’affaire tombe dans l’escarcelle du bureau local du SBU de Donetsk, qui a finalement classé le dossier, plutôt que dans celle du siège, à Kyiv.
Et on découvre qu’il a des liens avec le président ukrainien pro-russe Viktor Ianoukovitch, à la tête de l’Ukraine de 2010 à 2014. Un des fils de l’homme d’Etat est d’ailleurs le parrain de la fille de Tank, la petite Miloslava.
Vertigineux, non, quand on connaît la suite? Vous l’avez compris, tous les regards se tournent désormais vers la Russie.
La suite la semaine prochaine,
Bonne soirée,
Gabriel
Relecture: Mnyo
PS: L’histoire vous a plu? Pour me payer un café c'est ici ou sur mon wallet BTC (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex).
Sources
11 Charged In ZeuS & Money Mule Ring
Inside the FBI, Russia, and Ukraine’s failed cybercrime investigation
Inside the hunt for Russia’s most notorious hacker
Russian Commander Suggests Nukes as 'Only' Option to Win War