fbpx

Avec un simple logiciel, un groupe de hackers russe a dérobé plus de 100 millions de dollars dans une quarantaine de pays.

par Servan Le Janne | 11 décembre 2019

Le camou­­flage fluo

À l’en­­trée de la rue Tatars­­kaya, dans le centre de Moscou, les voitures de luxe défilent sur la même place de parking : un jour c’est une Nissan GTRis bleue couverte de crânes, le lende­­main une Lambor­­ghini Hura­­can dont la plaque d’im­­ma­­tri­­cu­­la­­tion porte le mot « voleur », et le surlen­­de­­main une Audi A8 aux pneus abîmés par les déra­­pages contrô­­lés. Deux d’entre elles arborent une pein­­ture camou­­flage, rele­­vée par un jaune fluo qui désa­­mor­­ce­­rait toute tenta­­tive de camou­­flage. Leur proprié­­taire aime étaler sa fortune ici, à deux pas du tribu­­nal de district de Zamosk­­vo­­retsky. C’est pour­­tant l’un des hommes les plus recher­­chés au monde.

Le 5 décembre 2019, le Dépar­­te­­ment de la justice améri­­cain a annoncé la mise en examen de Maksim Vikto­­ro­­vich Yaku­­bets. Ce blond de 32 ans est un pirate infor­­ma­­tique de haut vol. Entre mai 2009 et aujourd’­­hui, il aurait « parti­­cipé au déploie­­ment de deux logi­­ciels malveillants qui ont entraîné la perte de dizaines de millions de dollars pour ses victimes dans le monde », a affirmé l’as­­sis­­tant du procu­­reur géné­­ral Brian Bencz­­kowski. Une récom­­pense de 5 millions de dollars est promise à la personne qui offrira des infor­­ma­­tions menant à son arres­­ta­­tion.

Crédits : NCA

Les infor­­ma­­tions à son sujet ne semblent juste­­ment pas manquer. Né le 20 mai 1987 à Polon­­noye, dans la région ukrai­­nienne de Khmel­­nits­­kaya, ce hacker surnommé Aqua dispose d’un passe­­port russe numé­­roté 4509135586. Il serait à la tête du groupe Evil Corp, baptisé comme la multi­­na­­tio­­nale de la série Mr. Robot. D’autres articles l’ap­­pellent TA505, mais ce nom désigne « son méca­­nisme de distri­­bu­­tion utilisé pour propa­­ger le malware Dridex », précise Vitali Kremez, cher­­cheur en sécu­­rité et direc­­teur du Senti­­nel Labs.

Apparu en 2012, Dridex infecte les ordi­­na­­teurs via les pièces jointes d’e-mails qui copient les messages d’ins­­ti­­tu­­tions offi­­cielles pour trom­­per leurs desti­­na­­taires. Une fois installé, il récolte secrè­­te­­ment les données bancaires de sa victime afin de siphon­­ner ses comptes. Devenu un des cheveux de Troie finan­­ciers les plus répan­­dus en 2015, Dridex a attaqué des parti­­cu­­liers prin­­ci­­pa­­le­­ment anglo­­phones mais aussi deux banques, une école, une entre­­prise pétro­­li­­fère ou encore un vendeur d’armes. Selon la société de cyber­­sé­­cu­­rité FireEye, le logi­­ciel a aussi été utilisé pour instal­­ler des ransom­­wares.

Sur des photos parta­­gées par l’Agence natio­­nale du crime britan­­nique (NCA), elle aussi impliquée dans l’enquête, on peut voir Yaku­­bets conduire une écurie de voitures hors de prix, fêter son mariage sans comp­­ter et jouer avec un lion­­ceau de compa­­gnie. Contac­­tée par e-mail, l’agence indique « ne pas être en posi­­tion pour commen­­ter l’enquête au-delà des infor­­ma­­tions publiées ». Mais selon un expert en cyber­­sé­­cu­­rité de la société Sophos, John Shier, les chances de le voir compa­­raître sont « proches de zéro ». C’est « possible mais peu probable », abonde Vitali Kremez. Une extra­­­di­­tion ne paraît d’ailleurs envi­­sa­­geable à la NCA qu’à condi­­tion qu’il « quitte la sûreté de la Russie ».

Car selon le Trésor améri­­cain, Yaku­­bets « a fourni son aide au gouver­­ne­­ment russe. En 2017, il travaillait pour le FSB, une des prin­­ci­­pales orga­­ni­­sa­­tions d’es­­pion­­nage russe, qui avait déjà été sanc­­tion­­née. […] En outre, Yaku­­bets a été chargé de travailler sur des projets pour l’État russe, en vue d’ob­­te­­nir des docu­­ments confi­­den­­tiels. » L’ins­­ti­­tu­­tion diri­­gée par Steven Mnun­­chin promet des sanc­­tions contre les membres de ce groupe qui a utilisé le logi­­ciel Dridex pour subti­­li­­ser plus de 100 millions de dollars dans plus de 40 pays.

Andrey Kovalsky

Elle a aussi iden­­ti­­fié 17 béné­­fi­­ciaires présu­­més encore en liberté. Ils sont tous basés à Moscou. On trouve sur cette liste Maksim Yaku­­bets et son frère Artem, un Espa­­gnol, un Grec et des citoyens des anciennes répu­­bliques sovié­­tiques. Sous le nom d’Ivan Dmitriye­­vich Tuch­­kov, un homme titu­­laire d’un visa français, figure celui d’un autre leader d’Evil Corp, Igor Oligo­­vich Tura­­shev. Ce Russe de 38 ans est présenté comme l’ad­­mi­­nis­­tra­­teur de Yaku­­bets et celui qui contrôle le malware. Quant au suspect Andrey Plot­­nitsky, surnommé Strel et Kovalsky, il s’agi­­rait en fait d’An­­drey Kovalsky, le fils de l’an­­cien maire de Khimki Vladi­­mir Strel­­chenko. Leurs profils et leurs photos corres­­pondent en tous points.

Les membres d’Evil Corp ne sont donc pas de parfaits incon­­nus. Cela fait mêmes de longues années que leur chef est dans les radars des auto­­ri­­tés améri­­caines et britan­­niques.

Les traques des John Doe

Une Lambor­­ghini Hura­­can est arrê­­tée au milieu d’un carre­­four. Devant la portière, Maksim Yaku­­bets se tient debout, le genoux gauche légè­­re­­ment plié. Alors qu’un agent de police lui montre quelque chose, le jeune homme en t-shirt, jean délavé et lunettes de soleil plonge les mains dans ses poches. Sur une des photos publiées par l’Agence natio­­nale du crime britan­­nique (NCA), il appa­­raît complè­­te­­ment décon­­tracté, malgré la présence des forces de l’ordre à ses côtés. En ligne, Aqua agit avec le même senti­­ment d’im­­pu­­nité.

Dès 2011, son pseudo surgit dans une procé­­dure lancée par Micro­­soft à New York contre 39 indi­­vi­­dus derrière le malware Zeus. Ils font partie du gang Jabber Zeus. Selon l’enquê­­teur du géant infor­­ma­­tique Mark Deben­­ham, le logi­­ciel a été déve­­loppé à partir de 2007 par un certain « Slavik », ou « John Doe 1 ». Il a été aidé par « John Doe 4 », alias Aqua, qui a « recruté des mules pour récol­­ter des codes d’ac­­cès et exploité de multiples botnets [des réseaux de bots] de Zeus pour utili­­ser les codes d’ac­­cès. » En 2009, ces cyber­­cri­­mi­­nels ont notam­­ment subti­­lisé 415 000 dollars dans les coffres du comté de Bullitt, dans le Kentu­­cky. Jusqu’au mois de mars 2010, 30 millions de dollars ont aussi été volés à des banques. Yaku­­bets, alias Aqua, « a travaillé avec Slavik pendant des années », pointe Vitali Kremez. « C’était son affi­­lié et il tire une grande partie de ses connais­­sances de cette rela­­tion. »

Evge­­niy Boga­­chev alias Slavik

Au Royaume-Uni, 11 mules ont pu être mises en examen à l’au­­tomne 2010. « John Doe 22 » s’ap­­pelle en réalité Yevhen Kuli­­baba et « John Doe 23 » Yuriy Kono­­va­­lenko. Ces deux Ukrai­­niens basés à Londres sont en prison depuis novembre 2011 pour avoir dérobé 2,8 millions de livres. Dans le même temps, le FBI réalise une série de raids aux États-Unis et jusqu’à l’est de l’Ukraine, qui conduit à l’ar­­res­­ta­­tion de 39 personnes. Mais Slavik court toujours. Pire, son réseau rebap­­tisé GameO­­ver empoche 6,9 millions de dollars grâce à une attaque par déni de service le 6 novembre 2012.

Pendant que les auto­­ri­­tés améri­­caines traquent John Doe 1 (Slavik), John Doe 4 (Aqua) délaisse Zeus pour un nouveau malware, Bugat (futur Dridex). Le premier peut enfin être mis en examen par contu­­mace sous son vrai nom en mai 2014 : Evge­­niy Mikhay­­lo­­vich Boga­­chev mène grand train à Anapa, une station balnéaire russe postée sur les bords de la mer Noire. Quatre mois plus tard, le second appa­­raît sur des captures d’écran de conver­­sa­­tions four­­nies au FBI par des socié­­tés de cyber­­sé­­cu­­rité qui enquêtent sur Bugat. L’agence formule alors une requête à Google afin de connaître les iden­­ti­­tés de ceux qui utilisent des adresses gmail. Ainsi parvient-elle à confondre Andrey Ghin­­kul, alias Smilex. Alors qu’il tentait de prendre la fuite en passant par Chypre, Ghin­­kul est inter­­­pellé le 28 août 2015.

Ce Moldave a tenté de virer 999 000 dollars du district scolaire de Sharon City, en Penn­­syl­­va­­nie, vers un compte ukrai­­nien et de détrous­­ser la Penneco Oil, une société pétro­­li­­fère du même État. Il a d’ailleurs réussi à lui prendre 2,2 millions puis 1,3 million de dollars. En octobre 2015, un tribu­­nal de Penn­­syl­­va­­nie engage une procé­­dure contre Andrey Ghin­­kul et ses comparses. Il en ressort qu’Aqua n’est autre que Maksim Vikto­­ro­­vich Yaku­­bets, nintunu s’ap­­pelle Igor Tura­­shev et caramba est le surnom de Maksim Mazi­­lov comme d’An­­drey Sholo­­voy. Bugat et sa version appa­­ren­­tée Dridex ont alors permis le vol de 25 millions de dollars dans le monde.

Les auto­­ri­­tés améri­­caines ont beau avoir désac­­tivé certains botnets du logi­­ciel en 2016 et avoir déman­­telé un réseau connexe basé en Biélo­­rus­­sie, Evil Corp a depuis encaissé quelque 100 millions de dollars. À sa tête, Yaku­­bets « a un contrôle suffi­­sant sur Bugat/Dridex pour lui permettre de […] cesser ses acti­­vi­­tés », esti­­mait le FBI en 2015. Sauf que la combine est depuis deve­­nue une fran­­chise : Aqua a vendu un accès au logi­­ciel contre 100 000 dollars plus 50 % des béné­­fices, avec un mini­­mum de 50 000 dollars par semaine, à un résident du Royaume-Uni. Comme tout bon fran­­chi­­seur, il offrait un appui tech­­nique.

« Dridex est une entre­­prise qui évolue et s’adapte constam­­ment, avec un niveau de sophis­­ti­­ca­­tion et de menace que nous voyons rare­­ment », a indiqué le procu­­reur Scott Bradly lors d’une confé­­rence de presse orga­­ni­­sée jeudi 5 décembre 2019. Son fonc­­tion­­ne­­ment a été décen­­tra­­lisé afin de brouiller les pistes et il a été enri­­chi par des ransom­­wares, ces programmes qui chiffrent les données d’un appa­­reil et proposent de les rendre moyen­­nant un paie­­ment en cryp­­to­­mon­­naie. « C’est pour ça que ça a été le malware le plus répandu et le cheval de Troie finan­­cier le plus destruc­­teur de la dernière décen­­nie », ajoute Bradly.

« Il n’est peut-être pas aussi courant que le malware Trick­­bot mais son impact est plus grand car il cible des banques et fait des demandes de rançon partout dans le monde », précise Vitali Kremez. Aujourd’­­hui, le pactole pour­­rait aller ailleurs : alors que 3 millions de dollars sont promis pour la capture d’Ev­­ge­­niy Boga­­chev, celle de Maksim Yaku­­bets vaut 5 millions. Si ce dernier est effec­­ti­­ve­­ment proche du FSB, on imagine toute­­fois mal quelqu’un le livrer aux États-Unis.


Couver­­ture : Taskin Ashiq


 

Down­load WordP­ress Themes
Down­load WordP­ress Themes Free
Down­load WordP­ress Themes Free
Down­load Premium WordP­ress Themes Free
free down­load udemy course
Premium WordPress Themes Download
Download Best WordPress Themes Free Download
Premium WordPress Themes Download
Download Premium WordPress Themes Free
udemy paid course free download

Plus d'epic