Le camouflage fluo

À l’entrée de la rue Tatarskaya, dans le centre de Moscou, les voitures de luxe défilent sur la même place de parking : un jour c’est une Nissan GTRis bleue couverte de crânes, le lendemain une Lamborghini Huracan dont la plaque d’immatriculation porte le mot « voleur », et le surlendemain une Audi A8 aux pneus abîmés par les dérapages contrôlés. Deux d’entre elles arborent une peinture camouflage, relevée par un jaune fluo qui désamorcerait toute tentative de camouflage. Leur propriétaire aime étaler sa fortune ici, à deux pas du tribunal de district de Zamoskvoretsky. C’est pourtant l’un des hommes les plus recherchés au monde.

Le 5 décembre 2019, le Département de la justice américain a annoncé la mise en examen de Maksim Viktorovich Yakubets. Ce blond de 32 ans est un pirate informatique de haut vol. Entre mai 2009 et aujourd’hui, il aurait « participé au déploiement de deux logiciels malveillants qui ont entraîné la perte de dizaines de millions de dollars pour ses victimes dans le monde », a affirmé l’assistant du procureur général Brian Benczkowski. Une récompense de 5 millions de dollars est promise à la personne qui offrira des informations menant à son arrestation.

Crédits : NCA

Les informations à son sujet ne semblent justement pas manquer. Né le 20 mai 1987 à Polonnoye, dans la région ukrainienne de Khmelnitskaya, ce hacker surnommé Aqua dispose d’un passeport russe numéroté 4509135586. Il serait à la tête du groupe Evil Corp, baptisé comme la multinationale de la série Mr. Robot. D’autres articles l’appellent TA505, mais ce nom désigne « son mécanisme de distribution utilisé pour propager le malware Dridex », précise Vitali Kremez, chercheur en sécurité et directeur du Sentinel Labs.

Apparu en 2012, Dridex infecte les ordinateurs via les pièces jointes d’e-mails qui copient les messages d’institutions officielles pour tromper leurs destinataires. Une fois installé, il récolte secrètement les données bancaires de sa victime afin de siphonner ses comptes. Devenu un des cheveux de Troie financiers les plus répandus en 2015, Dridex a attaqué des particuliers principalement anglophones mais aussi deux banques, une école, une entreprise pétrolifère ou encore un vendeur d’armes. Selon la société de cybersécurité FireEye, le logiciel a aussi été utilisé pour installer des ransomwares.

Sur des photos partagées par l’Agence nationale du crime britannique (NCA), elle aussi impliquée dans l’enquête, on peut voir Yakubets conduire une écurie de voitures hors de prix, fêter son mariage sans compter et jouer avec un lionceau de compagnie. Contactée par e-mail, l’agence indique « ne pas être en position pour commenter l’enquête au-delà des informations publiées ». Mais selon un expert en cybersécurité de la société Sophos, John Shier, les chances de le voir comparaître sont « proches de zéro ». C’est « possible mais peu probable », abonde Vitali Kremez. Une extradition ne paraît d’ailleurs envisageable à la NCA qu’à condition qu’il « quitte la sûreté de la Russie ».

Car selon le Trésor américain, Yakubets « a fourni son aide au gouvernement russe. En 2017, il travaillait pour le FSB, une des principales organisations d’espionnage russe, qui avait déjà été sanctionnée. […] En outre, Yakubets a été chargé de travailler sur des projets pour l’État russe, en vue d’obtenir des documents confidentiels. » L’institution dirigée par Steven Mnunchin promet des sanctions contre les membres de ce groupe qui a utilisé le logiciel Dridex pour subtiliser plus de 100 millions de dollars dans plus de 40 pays.

Andrey Kovalsky

Elle a aussi identifié 17 bénéficiaires présumés encore en liberté. Ils sont tous basés à Moscou. On trouve sur cette liste Maksim Yakubets et son frère Artem, un Espagnol, un Grec et des citoyens des anciennes républiques soviétiques. Sous le nom d’Ivan Dmitriyevich Tuchkov, un homme titulaire d’un visa français, figure celui d’un autre leader d’Evil Corp, Igor Oligovich Turashev. Ce Russe de 38 ans est présenté comme l’administrateur de Yakubets et celui qui contrôle le malware. Quant au suspect Andrey Plotnitsky, surnommé Strel et Kovalsky, il s’agirait en fait d’Andrey Kovalsky, le fils de l’ancien maire de Khimki Vladimir Strelchenko. Leurs profils et leurs photos correspondent en tous points.

Les membres d’Evil Corp ne sont donc pas de parfaits inconnus. Cela fait mêmes de longues années que leur chef est dans les radars des autorités américaines et britanniques.

Les traques des John Doe

Une Lamborghini Huracan est arrêtée au milieu d’un carrefour. Devant la portière, Maksim Yakubets se tient debout, le genoux gauche légèrement plié. Alors qu’un agent de police lui montre quelque chose, le jeune homme en t-shirt, jean délavé et lunettes de soleil plonge les mains dans ses poches. Sur une des photos publiées par l’Agence nationale du crime britannique (NCA), il apparaît complètement décontracté, malgré la présence des forces de l’ordre à ses côtés. En ligne, Aqua agit avec le même sentiment d’impunité.

Dès 2011, son pseudo surgit dans une procédure lancée par Microsoft à New York contre 39 individus derrière le malware Zeus. Ils font partie du gang Jabber Zeus. Selon l’enquêteur du géant informatique Mark Debenham, le logiciel a été développé à partir de 2007 par un certain « Slavik », ou « John Doe 1 ». Il a été aidé par « John Doe 4 », alias Aqua, qui a « recruté des mules pour récolter des codes d’accès et exploité de multiples botnets [des réseaux de bots] de Zeus pour utiliser les codes d’accès. » En 2009, ces cybercriminels ont notamment subtilisé 415 000 dollars dans les coffres du comté de Bullitt, dans le Kentucky. Jusqu’au mois de mars 2010, 30 millions de dollars ont aussi été volés à des banques. Yakubets, alias Aqua, « a travaillé avec Slavik pendant des années », pointe Vitali Kremez. « C’était son affilié et il tire une grande partie de ses connaissances de cette relation. »

Evgeniy Bogachev alias Slavik

Au Royaume-Uni, 11 mules ont pu être mises en examen à l’automne 2010. « John Doe 22 » s’appelle en réalité Yevhen Kulibaba et « John Doe 23 » Yuriy Konovalenko. Ces deux Ukrainiens basés à Londres sont en prison depuis novembre 2011 pour avoir dérobé 2,8 millions de livres. Dans le même temps, le FBI réalise une série de raids aux États-Unis et jusqu’à l’est de l’Ukraine, qui conduit à l’arrestation de 39 personnes. Mais Slavik court toujours. Pire, son réseau rebaptisé GameOver empoche 6,9 millions de dollars grâce à une attaque par déni de service le 6 novembre 2012.

Pendant que les autorités américaines traquent John Doe 1 (Slavik), John Doe 4 (Aqua) délaisse Zeus pour un nouveau malware, Bugat (futur Dridex). Le premier peut enfin être mis en examen par contumace sous son vrai nom en mai 2014 : Evgeniy Mikhaylovich Bogachev mène grand train à Anapa, une station balnéaire russe postée sur les bords de la mer Noire. Quatre mois plus tard, le second apparaît sur des captures d’écran de conversations fournies au FBI par des sociétés de cybersécurité qui enquêtent sur Bugat. L’agence formule alors une requête à Google afin de connaître les identités de ceux qui utilisent des adresses gmail. Ainsi parvient-elle à confondre Andrey Ghinkul, alias Smilex. Alors qu’il tentait de prendre la fuite en passant par Chypre, Ghinkul est interpellé le 28 août 2015.

Ce Moldave a tenté de virer 999 000 dollars du district scolaire de Sharon City, en Pennsylvanie, vers un compte ukrainien et de détrousser la Penneco Oil, une société pétrolifère du même État. Il a d’ailleurs réussi à lui prendre 2,2 millions puis 1,3 million de dollars. En octobre 2015, un tribunal de Pennsylvanie engage une procédure contre Andrey Ghinkul et ses comparses. Il en ressort qu’Aqua n’est autre que Maksim Viktorovich Yakubets, nintunu s’appelle Igor Turashev et caramba est le surnom de Maksim Mazilov comme d’Andrey Sholovoy. Bugat et sa version apparentée Dridex ont alors permis le vol de 25 millions de dollars dans le monde.

Les autorités américaines ont beau avoir désactivé certains botnets du logiciel en 2016 et avoir démantelé un réseau connexe basé en Biélorussie, Evil Corp a depuis encaissé quelque 100 millions de dollars. À sa tête, Yakubets « a un contrôle suffisant sur Bugat/Dridex pour lui permettre de […] cesser ses activités », estimait le FBI en 2015. Sauf que la combine est depuis devenue une franchise : Aqua a vendu un accès au logiciel contre 100 000 dollars plus 50 % des bénéfices, avec un minimum de 50 000 dollars par semaine, à un résident du Royaume-Uni. Comme tout bon franchiseur, il offrait un appui technique.

« Dridex est une entreprise qui évolue et s’adapte constamment, avec un niveau de sophistication et de menace que nous voyons rarement », a indiqué le procureur Scott Bradly lors d’une conférence de presse organisée jeudi 5 décembre 2019. Son fonctionnement a été décentralisé afin de brouiller les pistes et il a été enrichi par des ransomwares, ces programmes qui chiffrent les données d’un appareil et proposent de les rendre moyennant un paiement en cryptomonnaie. « C’est pour ça que ça a été le malware le plus répandu et le cheval de Troie financier le plus destructeur de la dernière décennie », ajoute Bradly.

« Il n’est peut-être pas aussi courant que le malware Trickbot mais son impact est plus grand car il cible des banques et fait des demandes de rançon partout dans le monde », précise Vitali Kremez. Aujourd’hui, le pactole pourrait aller ailleurs : alors que 3 millions de dollars sont promis pour la capture d’Evgeniy Bogachev, celle de Maksim Yakubets vaut 5 millions. Si ce dernier est effectivement proche du FSB, on imagine toutefois mal quelqu’un le livrer aux États-Unis.


Couverture : Taskin Ashiq