fbpx

Avec un simple logiciel, un groupe de hackers russe a dérobé plus de 100 millions de dollars dans une quarantaine de pays.

par Servan Le Janne | 11 décembre 2019

Le camou­flage fluo

À l’en­trée de la rue Tatars­kaya, dans le centre de Moscou, les voitures de luxe défilent sur la même place de parking : un jour c’est une Nissan GTRis bleue couverte de crânes, le lende­main une Lambor­ghini Hura­can dont la plaque d’im­ma­tri­cu­la­tion porte le mot « voleur », et le surlen­de­main une Audi A8 aux pneus abîmés par les déra­pages contrô­lés. Deux d’entre elles arborent une pein­ture camou­flage, rele­vée par un jaune fluo qui désa­mor­ce­rait toute tenta­tive de camou­flage. Leur proprié­taire aime étaler sa fortune ici, à deux pas du tribu­nal de district de Zamosk­vo­retsky. C’est pour­tant l’un des hommes les plus recher­chés au monde.

Le 5 décembre 2019, le Dépar­te­ment de la justice améri­cain a annoncé la mise en examen de Maksim Vikto­ro­vich Yaku­bets. Ce blond de 32 ans est un pirate infor­ma­tique de haut vol. Entre mai 2009 et aujourd’­hui, il aurait « parti­cipé au déploie­ment de deux logi­ciels malveillants qui ont entraîné la perte de dizaines de millions de dollars pour ses victimes dans le monde », a affirmé l’as­sis­tant du procu­reur géné­ral Brian Bencz­kowski. Une récom­pense de 5 millions de dollars est promise à la personne qui offrira des infor­ma­tions menant à son arres­ta­tion.

Crédits : NCA

Les infor­ma­tions à son sujet ne semblent juste­ment pas manquer. Né le 20 mai 1987 à Polon­noye, dans la région ukrai­nienne de Khmel­nits­kaya, ce hacker surnommé Aqua dispose d’un passe­port russe numé­roté 4509135586. Il serait à la tête du groupe Evil Corp, baptisé comme la multi­na­tio­nale de la série Mr. Robot. D’autres articles l’ap­pellent TA505, mais ce nom désigne « son méca­nisme de distri­bu­tion utilisé pour propa­ger le malware Dridex », précise Vitali Kremez, cher­cheur en sécu­rité et direc­teur du Senti­nel Labs.

Apparu en 2012, Dridex infecte les ordi­na­teurs via les pièces jointes d’e-mails qui copient les messages d’ins­ti­tu­tions offi­cielles pour trom­per leurs desti­na­taires. Une fois installé, il récolte secrè­te­ment les données bancaires de sa victime afin de siphon­ner ses comptes. Devenu un des cheveux de Troie finan­ciers les plus répan­dus en 2015, Dridex a attaqué des parti­cu­liers prin­ci­pa­le­ment anglo­phones mais aussi deux banques, une école, une entre­prise pétro­li­fère ou encore un vendeur d’armes. Selon la société de cyber­sé­cu­rité FireEye, le logi­ciel a aussi été utilisé pour instal­ler des ransom­wares.

Sur des photos parta­gées par l’Agence natio­nale du crime britan­nique (NCA), elle aussi impliquée dans l’enquête, on peut voir Yaku­bets conduire une écurie de voitures hors de prix, fêter son mariage sans comp­ter et jouer avec un lion­ceau de compa­gnie. Contac­tée par e-mail, l’agence indique « ne pas être en posi­tion pour commen­ter l’enquête au-delà des infor­ma­tions publiées ». Mais selon un expert en cyber­sé­cu­rité de la société Sophos, John Shier, les chances de le voir compa­raître sont « proches de zéro ». C’est « possible mais peu probable », abonde Vitali Kremez. Une extra­di­tion ne paraît d’ailleurs envi­sa­geable à la NCA qu’à condi­tion qu’il « quitte la sûreté de la Russie ».

Car selon le Trésor améri­cain, Yaku­bets « a fourni son aide au gouver­ne­ment russe. En 2017, il travaillait pour le FSB, une des prin­ci­pales orga­ni­sa­tions d’es­pion­nage russe, qui avait déjà été sanc­tion­née. […] En outre, Yaku­bets a été chargé de travailler sur des projets pour l’État russe, en vue d’ob­te­nir des docu­ments confi­den­tiels. » L’ins­ti­tu­tion diri­gée par Steven Mnun­chin promet des sanc­tions contre les membres de ce groupe qui a utilisé le logi­ciel Dridex pour subti­li­ser plus de 100 millions de dollars dans plus de 40 pays.

Andrey Kovalsky

Elle a aussi iden­ti­fié 17 béné­fi­ciaires présu­més encore en liberté. Ils sont tous basés à Moscou. On trouve sur cette liste Maksim Yaku­bets et son frère Artem, un Espa­gnol, un Grec et des citoyens des anciennes répu­bliques sovié­tiques. Sous le nom d’Ivan Dmitriye­vich Tuch­kov, un homme titu­laire d’un visa français, figure celui d’un autre leader d’Evil Corp, Igor Oligo­vich Tura­shev. Ce Russe de 38 ans est présenté comme l’ad­mi­nis­tra­teur de Yaku­bets et celui qui contrôle le malware. Quant au suspect Andrey Plot­nitsky, surnommé Strel et Kovalsky, il s’agi­rait en fait d’An­drey Kovalsky, le fils de l’an­cien maire de Khimki Vladi­mir Strel­chenko. Leurs profils et leurs photos corres­pondent en tous points.

Les membres d’Evil Corp ne sont donc pas de parfaits incon­nus. Cela fait mêmes de longues années que leur chef est dans les radars des auto­ri­tés améri­caines et britan­niques.

Les traques des John Doe

Une Lambor­ghini Hura­can est arrê­tée au milieu d’un carre­four. Devant la portière, Maksim Yaku­bets se tient debout, le genoux gauche légè­re­ment plié. Alors qu’un agent de police lui montre quelque chose, le jeune homme en t-shirt, jean délavé et lunettes de soleil plonge les mains dans ses poches. Sur une des photos publiées par l’Agence natio­nale du crime britan­nique (NCA), il appa­raît complè­te­ment décon­tracté, malgré la présence des forces de l’ordre à ses côtés. En ligne, Aqua agit avec le même senti­ment d’im­pu­nité.

Dès 2011, son pseudo surgit dans une procé­dure lancée par Micro­soft à New York contre 39 indi­vi­dus derrière le malware Zeus. Ils font partie du gang Jabber Zeus. Selon l’enquê­teur du géant infor­ma­tique Mark Deben­ham, le logi­ciel a été déve­loppé à partir de 2007 par un certain « Slavik », ou « John Doe 1 ». Il a été aidé par « John Doe 4 », alias Aqua, qui a « recruté des mules pour récol­ter des codes d’ac­cès et exploité de multiples botnets [des réseaux de bots] de Zeus pour utili­ser les codes d’ac­cès. » En 2009, ces cyber­cri­mi­nels ont notam­ment subti­lisé 415 000 dollars dans les coffres du comté de Bullitt, dans le Kentu­cky. Jusqu’au mois de mars 2010, 30 millions de dollars ont aussi été volés à des banques. Yaku­bets, alias Aqua, « a travaillé avec Slavik pendant des années », pointe Vitali Kremez. « C’était son affi­lié et il tire une grande partie de ses connais­sances de cette rela­tion. »

Evge­niy Boga­chev alias Slavik

Au Royaume-Uni, 11 mules ont pu être mises en examen à l’au­tomne 2010. « John Doe 22 » s’ap­pelle en réalité Yevhen Kuli­baba et « John Doe 23 » Yuriy Kono­va­lenko. Ces deux Ukrai­niens basés à Londres sont en prison depuis novembre 2011 pour avoir dérobé 2,8 millions de livres. Dans le même temps, le FBI réalise une série de raids aux États-Unis et jusqu’à l’est de l’Ukraine, qui conduit à l’ar­res­ta­tion de 39 personnes. Mais Slavik court toujours. Pire, son réseau rebap­tisé GameO­ver empoche 6,9 millions de dollars grâce à une attaque par déni de service le 6 novembre 2012.

Pendant que les auto­ri­tés améri­caines traquent John Doe 1 (Slavik), John Doe 4 (Aqua) délaisse Zeus pour un nouveau malware, Bugat (futur Dridex). Le premier peut enfin être mis en examen par contu­mace sous son vrai nom en mai 2014 : Evge­niy Mikhay­lo­vich Boga­chev mène grand train à Anapa, une station balnéaire russe postée sur les bords de la mer Noire. Quatre mois plus tard, le second appa­raît sur des captures d’écran de conver­sa­tions four­nies au FBI par des socié­tés de cyber­sé­cu­rité qui enquêtent sur Bugat. L’agence formule alors une requête à Google afin de connaître les iden­ti­tés de ceux qui utilisent des adresses gmail. Ainsi parvient-elle à confondre Andrey Ghin­kul, alias Smilex. Alors qu’il tentait de prendre la fuite en passant par Chypre, Ghin­kul est inter­pellé le 28 août 2015.

Ce Moldave a tenté de virer 999 000 dollars du district scolaire de Sharon City, en Penn­syl­va­nie, vers un compte ukrai­nien et de détrous­ser la Penneco Oil, une société pétro­li­fère du même État. Il a d’ailleurs réussi à lui prendre 2,2 millions puis 1,3 million de dollars. En octobre 2015, un tribu­nal de Penn­syl­va­nie engage une procé­dure contre Andrey Ghin­kul et ses comparses. Il en ressort qu’Aqua n’est autre que Maksim Vikto­ro­vich Yaku­bets, nintunu s’ap­pelle Igor Tura­shev et caramba est le surnom de Maksim Mazi­lov comme d’An­drey Sholo­voy. Bugat et sa version appa­ren­tée Dridex ont alors permis le vol de 25 millions de dollars dans le monde.

Les auto­ri­tés améri­caines ont beau avoir désac­tivé certains botnets du logi­ciel en 2016 et avoir déman­telé un réseau connexe basé en Biélo­rus­sie, Evil Corp a depuis encaissé quelque 100 millions de dollars. À sa tête, Yaku­bets « a un contrôle suffi­sant sur Bugat/Dridex pour lui permettre de […] cesser ses acti­vi­tés », esti­mait le FBI en 2015. Sauf que la combine est depuis deve­nue une fran­chise : Aqua a vendu un accès au logi­ciel contre 100 000 dollars plus 50 % des béné­fices, avec un mini­mum de 50 000 dollars par semaine, à un résident du Royaume-Uni. Comme tout bon fran­chi­seur, il offrait un appui tech­nique.

« Dridex est une entre­prise qui évolue et s’adapte constam­ment, avec un niveau de sophis­ti­ca­tion et de menace que nous voyons rare­ment », a indiqué le procu­reur Scott Bradly lors d’une confé­rence de presse orga­ni­sée jeudi 5 décembre 2019. Son fonc­tion­ne­ment a été décen­tra­lisé afin de brouiller les pistes et il a été enri­chi par des ransom­wares, ces programmes qui chiffrent les données d’un appa­reil et proposent de les rendre moyen­nant un paie­ment en cryp­to­mon­naie. « C’est pour ça que ça a été le malware le plus répandu et le cheval de Troie finan­cier le plus destruc­teur de la dernière décen­nie », ajoute Bradly.

« Il n’est peut-être pas aussi courant que le malware Trick­bot mais son impact est plus grand car il cible des banques et fait des demandes de rançon partout dans le monde », précise Vitali Kremez. Aujourd’­hui, le pactole pour­rait aller ailleurs : alors que 3 millions de dollars sont promis pour la capture d’Ev­ge­niy Boga­chev, celle de Maksim Yaku­bets vaut 5 millions. Si ce dernier est effec­ti­ve­ment proche du FSB, on imagine toute­fois mal quelqu’un le livrer aux États-Unis.


Couver­ture : Taskin Ashiq


 

Plus d'epic