Ransomware #4 : les eaux troubles

Gangs de hackers et services secrets russes. Sur les traces de Conti et de Evil Corp.

Protégés par l'État russe, élusifs par essence, les cyber-gangs seraient, évidemment, des marionnettes du FSB ? Loin des fantasmes, quelles sont les pistes tangibles qui ont été levées et comment ces liens troubles pourraient-ils s'articuler ?

Vous lisez un article réservé aux abonnés.

Pour cette histoire, il faut remonter dans le temps sur les traces d'un ancien du milieu, un parrain du cyber-crime : Evgeniy Bogachev. L'homme apparait sur les radars dès 2007 comme le créateur du cheval de Troie bancaire Zeus. Il est alors connu sous le pseudo de Slavik.

Le business club de Evgeniy Bogachev

L'attaque commence souvent avec un spam. Un clic de trop et voilà l'ordinateur infecté, le malware attendant patiemment une connexion vers un site bancaire. S'éveillant alors, il modifie les pages que l'utilisateur consulte, l'amenant à divulguer ses identifiants. Et voilà les comptes bancaires de la victime aux mains des pirates. La souche virale est tenue à jour et de nouvelles fonctionnalités apparaissent, permettant de déposer d'autres malwares sur les ordinateurs victimes. Le botnet Zeus devient populaire auprès de la communauté cyber-criminelle. La maintenance de son réseau de machines zombies devenant trop lourde, Slavik va s'entourer. Pendant un temps, il collabore avec les cyber-gangs RockFish et Avalanche avant de créer sa propre association de malfaiteurs. Il va la nommer le « Business club ».

Le « Club » apparait sur le radar des autorités en 2010. Après une plainte déposée dans le Nebraska, des enquêteurs vont remonter à une machine utilisée par le gang pour communiquer. De fil en aiguille, l'enquête conduit à l'identification de plusieurs membres du groupe et à des arrestations en Ukraine. La vague d'interpellations va mettre à bas leur système de blanchiment d'argent, des étudiants recrutés comme mules sur les réseaux sociaux. Mais le cœur du gang échappe au coup de filet et leurs opérations se poursuivent.

Moins d'un an plus tard, Slavik annonce qu'il prend sa retraite. En cadeau de départ, il livre une version 2.1 de son logiciel malveillant Zeus. La nouvelle souche, prénommée « Gameover Zeus », est alors vendue à des partenaires triés sur le volet, chaque licence embarquant ses propres clefs de chiffrement. Bogachev se met ainsi en retrait et devient fournisseur de service : il vient d'inventer le modèle « Malware-As-A-Service ». Il a également rendu le botnet Zeus plus résistant aux attaques des forces de l'ordre, grâce à une communication décentralisée (technologie « peer-to-peer »). Et les attaques vont s'intensifier.

La riposte contre GameOver Zeus va s'organiser. Aux cours d'investigations, les enquêteurs relient une adresse email de Slavik à un serveur informatique en Angleterre. Saisie, cette machine révèle un lien vers un profil de réseau social : celui de Evgeniy Bogachev, un homme de 30 ans, marié, vivant dans une station balnéaire sur les bords de la mer Noire. Les enquêteurs font également une découverte étrange. Bogachev aurait gardé une clef secrète de contrôle sur les différentes licences de GameOverZeus. Une clef qui les contrôle toutes et permet de faire des recherches sur les ordinateurs infectés. Et les thématiques de ces recherches laissent les investigateurs sans voix : certaines concernent des espions Georgiens, d'autres des leaders d'unités d'élite de la police Turque, d'autres encore des documents classifiés Ukrainiens ou Syriens… « Des requêtes destinées à l'espionnage ».

Le 30 mai 2014, pendant une opération sans précédant, le botnet Gameover Zeus est démantelé et Bogachev est officiellement inculpé par les États-Unis pour ses activités criminelles en rapport avec le « Business Club ». Son numéro 2, Maksim Yakubets est également inculpé. Mais Bogachev n'est pas inquiété par les autorités russes. Pour le ministère de l'Intérieur Ukrainien, « il travaillerait sous la supervision d'une unité spéciale du FSB (service de renseignement intérieur russe - NDLR) ». L'homme est encore libre aujourd'hui et ne fera plus parler de lui.

Evilcorp fraie avec les gros poissons

Si Bogachev décide de disparaitre, son poulain, Maksim Yakubets, semble bien décidé à rester.

Après les inculpations de 2014, le « Business Club » se dissout pour renaitre sous le nom « Evil Corp » et se lancer dans le businness du ransomware. Dridex, un malware bancaire issu de leurs anciennes collaborations criminelles, va être utilisé pour installer les nouvelles souches malicieuses. Le groupe en produit plusieurs : Bitpaymer, puis Wasted Locker, puis Hades Locker. Mais le ravalement de façade n'a pas suffi et le gang peine à sortir du viseur des américains.

En décembre 2019, le département de Justice des États-Unis inculpe Maksim Yakubets et plusieurs membres de EvilCorp pour leurs activités criminelles. Ils interdisent aux entreprises de réaliser des transactions avec le groupe, les empêchant de payer des rançons. Qui plus est, on peut lire dans le document :

« Le leader du groupe, Maksim Yakubets, a également fourni une assistance directe au gouvernement russe dans ses activités malicieuses cyber, démontrant le recrutement par les services russes de cyber-criminels ».

Le rapport souligne que le beau-père de Maksim Yakubets n'est autre que Eduard Bedersky, agent du FSB, responsable de l'association des vétérans de l'agence et directeur d'« agences de sécurité privée fournissant des services aux entreprises de l'État ».

Étonnament, durant l'année 2020 EvilCorp se fait plus discret, ne menant plus d'attaques significatives, perdant des places face à la concurrence. Et puis début 2021, les premières alertes de l'attaque Solarwinds émergent. Une entreprise de logiciels de la Silicon Valley est piratée et son logiciel phare « Orion » de gestion sécurisée des réseaux est infecté. Un logiciel mis automatiquement à jour chez 18.000 clients de l'entreprise. Une « porte de derrière » est ainsi ouverte aux pirates vers les plus grandes organisations stratégiques européennes et américaines. L'attaque mettra plus de six mois à être détectée, laissant pendant ce temps le champ libre aux pirates.

Fireye, un poids lourd de la cybersécurité US, va en détecter les premiers signes. Quelques jours plus tard, c'est au tour de Microsoft qui annonce avoir, lui aussi, été touché. Puis viennent le tour du département du Trésor, de la Justice et du Commerce. L'attaque va être qualifiée de « la plus large et la plus sophistiquée que le monde ait pu voir  » et attribuée à un nouveau groupe, nommé pour l'occasion Solarfish, le « Poisson d'argent ».

La société PRODAFT, connue pour ses techniques agressives, va remonter jusqu'au serveur de « Command and Control » des pirates et s'introduire sur la machine. Dans son rapport, elle décrit des attaquants très organisés, constitués en plusieurs équipes, travaillant en rotation horaire. Des hackers très expérimentés, se concentrant sur la reconnaissance des cibles et l'exfiltration des données.

La société Truesec va également faire une découverte qui va établir un lien fort entre SolarFish et le gang EvilCorp. Appelée à la rescousse par un client victime d'une attaque par ransomware, elle découvre que les auteurs se servent de la même infrastructure que SolarFish. Les techniques et les outils employés sont très proches, presque identiques. Et le ransomware déployé n'est autre que WastedLocker, signature du groupe EvilCorp.

Le 15 avril, la Maison-Blanche attribuera formellement l'attaque au SRV, le service d'espionnage extérieur russe.

Les petits papiers du groupe Conti

L'opération de ransomware « Conti » a, elle aussi, été longtemps soupçonnée de liens avec le FSB. Le groupe est un acteur majeur de la scène, indétrônable numéro un. Dans un interview de 2022, son concurrent, le leader du gang Lockbit, avait publiquement accusé l'équipe de Conti de travailler pour les services secrets. Il va falloir attendre mars 2022 et l'invasion de l'Ukraine pour y voir plus clair. Quelques jours après son déclenchement, Conti déclare son soutien plein et entier au gouvernement russe. En réaction, un compte Twitter va apparaître et, pendant un mois, poster les messages internes du groupe.

Les logs de conversation ont été analysés en détail par le chercheur Brian Krebs. Ils révèlent les fonctionnements interne de l'opération. Le gang est organisé comme une entreprise de taille moyenne avec ses départements distincts gérant leurs propres budgets : conception logicielle, qualité, infrastructure, hackers, rétro-ingénierie. L'intégralité des tâches de spam (envoi de courrier frauduleux) est externalisée. Les employés juniors sont payés entre 1.000 et 2.000 dollars par mois en cryptomonnaies pour cinq jours de travail par semaine. Ils se plaignent de la pression des managers et de la répétitivité des tâches : tester toutes les quatre heures que la souche malicieuse ne soit pas détectée par les antivirus. Le taux de rotation des employés est important. Parfois, les factures sont payées en retard. Quant au management, lui, il prend ses vacances en Crimée.

La fuite montre aussi le top management de Conti en contact avec des mystérieuses personnes extérieures et fait référence à des bureaux locaux du FSB à Saint-Pétersbourg. « Stern », le « PDG » de Conti discute ainsi avec « Professor » de paiements provenant de cette source et de l'éventualité de récupérer une liste de cibles. Ils parlent de mettre en place un département spécifique pour les « sujets gouvernementaux ». À l'époque de l'épidémie de COVID, on peut lire : « En ce moment, ils sont très intéressés par la COVID. Les ”Crazy Bears" sont déjà en train de travailler sur la liste ». Ici, « Crazy Bears » fait référence aux unités de hackers gouvernementales russes.

La fuite révèle enfin que Conti contrôle les botnets Trickbot et Emotet, un ensemble de logiciels malveillants destinés à infecter de nouvelles cibles. Une équipe indépendante de 50 personnes est employée 24h/24 et 7j/7 pour maintenir cette plateforme. Les autorités américaines démantèleront finalement ces plateformes pirates fin 2023 et inculperont 11 citoyens russes. L'analyste Jon Di Maggio, soulignera également les liens entre la plateforme TrickBot et nos anciennes connaissances de EvilCorp, ces derniers utilisant régulièrement ses services. Et voilà la boucle bouclée.

L'image dépeinte par ces liens montre des individus clefs en relations directe avec les services russes, mais menant une grande part de leurs activités de leur propre coté. Les petites mains de l'industrie, elles, ignorant tout ce qui peut bien se passer. Des groupes autorisés à exercer dans le cadre de certaines lignes rouges, mais qui craigne parfois le retour de bâton si ces dernières sont dépassées. L'arrestation bruyante de REvil a fait passer un message.

Dans le cas de l'affaire Solarwinds, le SRV (service d'espionnage russe) semble avoir été à l'origine de l'attaque et de la mise en place de la « backdoor » dans le logiciel Orion. Mais une fois diffusée, ils auraient pris conscience de l'ampleur de leur réussite, se seraient tournés vers le FSB et ses contacts chez les pirates. L'équipe de EvilCorp aurait été mise à contribution, des hackers expérimentés capables d'exploiter ces « portes de derrières » pour aller chercher les précieuses informations cachées au cœur de ces réseaux protégés.

Les analystes de Truesec posent une autre hypothèse. Celle d'une « Maskirovka », une opération de dissimulation opérée par des services russes. Certains gangs pourraient agir comme des organisations mercenaires d'espionnage. En façade, une organisation criminelle uniquement intéressée par l'argent, fournissant une excuse plausible. Derrière la scène, un argent sale réinvesti dans les opérations d'espionnages et les plus belles cibles mises de côté pour les « contacts gouvernementaux ».

L'histoire ne s'arrête pas là. La dure réalité du monde réel va venir se rappeler à tout ce beau cyber-monde. L'invasion de l'Ukraine, déclenchée par le gouvernement russe, va créer un véritable schisme sur cette scène cyber-criminelle. Une occasion d'encore mieux appréhender la complexité des relations entre l'État russe et les hackers. Restez en ligne pour le prochain épisode de la série :

« Ransomware #5 : guerre civile dans le cyber-underground ».