Ceux qui avaient beaucoup d’amis (3/3)
Ou comment Slavik a réussi à échapper aux poursuites judiciaires grâce à des protections en Russie.
Bonsoir,
Bienvenue pour la fin de cet épisode de Pwned. Mais tout d’abord, si vous n’êtes pas inscrit, voici le formulaire pour recevoir directement les prochaines histoires de Pwned.
Contre Zeus, ce malware bancaire extrêmement performant, il y a donc eu une réplique judiciaire d’ampleur. Mais la contre-attaque s’est enlisée en Ukraine et en Russie, loupant les trois cibles de plus haute valeur.
A l’automne 2010, il y a en effet eu de nombreuses arrestations significatives. Mais la meilleure preuve que cela ne suffisait pas, c’est l’émergence de Gameover ZeuS, un botnet peer-to-peer basé sur le cheval de Troie ZeuS.
Et devinez qui on retrouve derrière? L’insaisissable Slavik. Encore une fois, ce hacker à la tête du “Business Club”, le nom de ce gang de cybercriminels russes et ukrainiens, va prouver qu’il est particulièrement ingénieux.
Gameover ZeuS va servir à diffuser à la fin 2013 l’un des premiers rançongiciels contemporains, Cryptolocker. Il y a des exemples de ransomwares bien plus anciens. Mais ce malware innove sur plusieurs points : il s’appuie sur un chiffrement robuste, il permet un paiement en crypto-monnaie et son infrastructure rend son blocage et sa détection complexes.
Puisque l'opération Trident-Breach a échoué, la justice américaine doit se remettre au turbin. Cette fois, ce sera l’audacieuse opération Tovar, en juin 2014, pour prendre le contrôle du botnet Gameover ZeuS. On compte alors entre 500 000 et un million d’ordinateurs compromis dans le monde.
La bonne nouvelle, c’est qu’en août un portail est mis en ligne, permettant à des centaines de milliers de victimes de Cryptolocker de récupérer la clé de déchiffrement de leurs fichiers. La mauvaise nouvelle, c’est que selon le FBI, le botnet et son rançongiciel associé sont responsables de plus de 100 millions de dollars de pertes, et qu’on ne sait pas vraiment comment arrêter les cybercriminels qui l’opèrent.
Cette somme énorme s’ajoute aux 70 millions de dollars déjà imputés au gang avec la version originelle de ZeuS. Mais, alors, il n’y a vraiment pas d’indice contre Slavik? Hé bien si. En enquêtant sur le Business Club, qui offre contre un gros billet l’accès à l'infrastructure de hacking mise en place par Slavik, le FBI tombe sur une adresse mail.
Le fil est ténu mais va suffire. Cette première trace conduit ensuite les enquêteurs vers le serveur britannique utilisé pour gérer les sites web de l’organisation. Par rebond, en faisant des réquisitions judiciaires, ils arrivent vers des comptes sur des réseaux sociaux, et enfin à un nom: Evgeniy Mikhailovich Bogachev.
La justice américaine va finalement dévoiler ses cartes en publiant l’acte d'accusation contre Slavik en mai 2014. Les charges contre le hacker sont gratinées, allez jeter un oeil ici. Evgeniy a même droit un peu plus tard, en 2015, à sa photo dans le trombinoscope des cybercriminels les plus recherchés du FBI, avec une récompense de 3 millions de dollars pour toute information pouvant conduire à son arrestation.
Mais vous l’avez compris, ce coup de pression médiatique, cette sorte de name-and-shame, est visiblement la dernière carte que peut jouer la justice américaine. Car il faut bien se rendre à l’évidence. Comme il y a quatre ans, leur suspect est en train de leur filer entre les doigts.
Slavik est un trentenaire fantasque qui vit à Anapa, une station balnéaire russe de la mer Noire. Il aime faire du bateau et poser en pyjama léopard avec un gros chat dans les bras et lunettes noires de gangster sur les yeux.
Mais surtout, les activités de Slavik ne se limitent pas à la fraude bancaire ou à l’extorsion. Etrangement, il recherche également des infos sensibles pouvant intéresser des services de renseignement.
Son réseau d’ordinateurs zombies piste ainsi une liste de mots clés surprenante, comme “militia camp syria”, “top secret” ou des informations sensibles ukrainiennes - la Russie vient alors d’annexer illégalement la Crimée.
Les enquêteurs comprennent que Slavik travaille pour des services de renseignement russes. Un boulot qui a sans doute comme contrepartie une certaine protection. Et effectivement, Bogachev semble bien informé.
A la mi-octobre 2014, il disparaît d’Anapa. La police locale explique ne pas savoir où il est et d’ailleurs ne rien avoir à lui reprocher. Huit ans plus tard, le hacker n’a toujours pas été retrouvé.
Il est devenu l’exemple de ces cybercriminels qui sont autorisés à opérer depuis la Russie, pourvus qu’ils n’attaquent pas de cibles russes et que ces corsaires high-tech rendent des services au pouvoir.
“S’appuyer sur des collectifs de hackers, c’est un moyen de faire des économies, avec des opérations autofinancées. Car si l’un des objectifs du régime russe, c’est la réaffirmation de sa puissance, il faut qu’elle se fasse à moindre coût”, m’expliquait (avant la guerre) le géographe Kevin Limonier.
L’Ukrainien Maksim Yakubets, alias Aqua, est lui aussi toujours en liberté. Le FBI offre une récompense pouvant aller jusqu'à 5 millions de dollars pour des informations permettant de conduire à sa capture. Une récompense qui ne l’empêche pas de faire des burn très médiatisés en voiture de luxe à Moscou.
Alors que les relations judiciaires entre les Etats-Unis et la Russie n’étaient déjà pas géniales, l’invasion de l’Ukraine par Moscou n’a pas amélioré les choses. C’est simple, il n’y a plus de coopération judiciaire internationale entre l’Europe, l’Amérique du Nord et la Russie.
Moscou est ainsi devenue la base arrière parfaite pour des cybercriminels de haut vol. Et cela devrait rester un sérieux problème dans les affaires de cybercriminalité. L’exemple le plus frappant, c’est ce pseudo démantèlement du gang REvil, annoncé en janvier par la justice russe, donc avant l’invasion de l’Ukraine, qui a visé vraisemblablement des seconds couteaux.
Mais il y a toutefois un peu d’espoir. Le régime de Poutine n’est pas éternel. Et pour de nombreux cybercriminels russophones, la Russie est peut être un havre, mais aussi une cage dorée. Vous vous souvenez de Tank, l’un des trois cybercriminels en tête de la liste du FBI en 2010?
Hé bien, Vyacheslav Penchukov, son vrai nom, vient d’être arrêté à la fin octobre en Suisse. On ne sait pas grand-chose de l’interpellation de Tank, qui avait été identifié de manière rocambolesque à l’été 2009 après un message privé trop indiscret saluant la naissance de sa fille Miloslava. Mais une chose est sûre: avoir beaucoup d’amis, même en Russie, ne suffit pas toujours.
Bonne soirée,
Gabriel
Relecture: Mnyo
PS: L’histoire vous a plu? Pour me payer un café c'est ici ou sur mon wallet BTC (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex).
Sources
Inside the FBI, Russia, and Ukraine’s failed cybercrime investigation
Bitcoin et hacker en pyjama : l’histoire de Cryptolocker, le premier ransomware moderne
‘Operation Tovar’ Targets ‘Gameover’ ZeuS Botnet, CryptoLocker Scourge
Cryptolocker victims to get files back for free
Inside the hunt for Russia’s most notorious hacker
DOCUMENTS AND RESOURCES FROM THE GAMEOVER ZEUS / CRYPTOLOCKER PRESS CONFERENCE
WeDemain : les hackers russes au service des ambitions géopolitiques de Moscou
Wanted: Evgeny Bogachev, $3 000 000 - Hackeur russe
Ransomware’s suspected Russian roots point to a long detente between the Kremlin and hackers
La Russie annonce le démantèlement du gang de rançongiciel REvil