De nouvelles recherches sur un célèbre gang de cybercriminalité organisé d’Europe de l’Est accusé d’avoir volé plus de 100 millions de dollars à des banques et à des entreprises du monde entier offrent un aperçu sans précédent des coulisses d’un «club d’affaires» exclusif qui s’est essayé au cyberespionnage et a travaillé en étroite collaboration avec des Chinois fantômes entreprises à la frontière extrême-orientale de la Russie.
À l’été 2014, le Département américain de la justice a rejoint plusieurs agences internationales chargées de l’application de la loi et des sociétés de sécurité pour éliminer le botnet Gameover ZeuS, une machine criminelle mondiale ultra-sophistiquée qui a infecté plus d’un demi-million de PC.
Des milliers de cyberescrocs indépendants utilisent depuis des années une forme disponible dans le commerce du malware bancaire ZeuS pour siphonner les fonds des comptes bancaires occidentaux et des petites entreprises. Gameover ZeuS, d’autre part, était une version personnalisée et étroitement détenue secrètement construite par l’auteur de ZeuS lui-même (après une retraite par étapes) et utilisée exclusivement par un groupe de pirates qui ont utilisé les systèmes dans d’innombrables attaques d’extorsion en ligne, spam et autres stratagèmes illicites pour gagner de l’argent.
Le démantèlement du botnet Gameover ZeuS l’année dernière est survenu quelques mois seulement après que le FBI a placé une prime de 3 millions de dollars sur l’auteur présumé du botnet malveillant – un programmeur russe nommé Evgueni Mikhaïlovitch Bogatchev qui a utilisé le surnom de hacker « Slavik ». Mais malgré ces actions policières très médiatisées, peu de choses ont été partagées sur les opérations quotidiennes de ce gang de cybercriminels remarquablement ingénieux.
Cela a changé aujourd’hui avec la publication d’un rapport détaillé de Fox-IT, une société de sécurité basée aux Pays-Bas qui a secrètement accédé à un serveur utilisé par l’un des membres du groupe. Ce serveur, qui a été loué pour être utilisé dans le lancement de cyberattaques, comprenait des journaux de discussion entre et parmi les principaux dirigeants du gang criminel, et a aidé à faire la lumière sur le fonctionnement interne de ce groupe d’élite.
L’auteur présumé du cheval de Troie ZeuS, Yevgeniy Bogachev, Evgeniy Mikhaylovich Bogachev, alias « lucky12345 », « slavik », « Pollingsoon ». Source : FBI.gov « le plus recherché, cyber.
LE ‘CLUB AFFAIRES’
Les journaux de discussion montrent que le gang criminel s’appelait le « Business Club » et comptait parmi ses membres un noyau dur d’une demi-douzaine de personnes soutenues par un réseau de plus de 50 personnes. En vrai Océans 11 mode, chaque membre du Business Club a apporté une spécialité de la cybercriminalité à la table, y compris des techniciens de support technique 24h / 24 et 7j / 7, des fournisseurs tiers de logiciels malveillants auxiliaires, ainsi que ceux engagés dans le recrutement de «money mules» – des complices involontaires ou volontaires qui pourraient être formés ou comptés pour aider à blanchir des fonds volés.
« Pour devenir membre du club d’affaires, il y avait généralement une cotisation initiale et aussi généralement un accord de partage des bénéfices », a écrit Fox-IT. « A noter que la relation client et core team était entièrement basée sur la confiance. En conséquence, tous les membres n’obtiendraient pas directement un accès complet, mais il faudrait du temps pour que tous les privilèges de l’adhésion soient disponibles.
Michel Sandéeun expert principal en sécurité chez Fox-IT et auteur du rapport, a déclaré que bien que Bogachev et plusieurs autres dirigeants clés du groupe soient apparemment basés à ou autour de Krasnodar – une région tempérée de la Russie sur la mer Noire – le gang du crime avait des membres qui couvrait la plupart des 11 fuseaux horaires de la Russie.
La diversité géographique a permis au groupe – qui travaillait principalement de 9 à 5 heures par jour du lundi au vendredi – de mener ses cyberattaques contre les banques en suivant le soleil levant à travers le monde. — vider les comptes des banques australiennes et asiatiques le matin là-bas, des banques européennes l’après-midi, avant de confier les opérations à une partie de l’équipe de fin d’après-midi basée en Europe de l’Est qui tenterait de siphonner les fonds des banques qui venaient de démarrer leur activité jour aux États-Unis.
«Ils suivraient le fuseau horaire, en commençant par les banques en Australie, puis en continuant en Asie et en suivant le jour ouvrable où qu’il soit, terminant la journée avec [attacks against banks in] aux États-Unis », a déclaré Sandee.
Image : Timetemperature.com
Les membres du Business Club qui avaient accès au panneau du botnet GameOver ZeuS pour détourner des transactions bancaires en ligne pouvaient utiliser le panneau pour intercepter les problèmes de sécurité lancés par la banque de la victime – y compris les jetons uniques et les questions secrètes – ainsi que la réponse de la victime à ces défis. . Le gang a surnommé son interface de botnet « Centre de la Banque mondiale », avec un slogan en dessous qui disait : « Nous jouons avec vos banques ».
La partie commerciale du botnet peer-to-peer du Business Club, surnommé « World Bank Center ». Image : Fox-IT
BANQUES CHINOISES, ENTREPRISES RUSSES
Outre leur rôle dans le siphonnage des fonds des banques australiennes et asiatiques, les membres du Business Club basés dans les régions de l’Extrême-Orient de la Russie ont également aidé le gang à encaisser certains de leurs cybercasses les plus lucratifs, selon les recherches de Fox-IT.
En avril 2011, le FBI a émis une alerte indiquant que des cybervoleurs avaient volé environ 20 millions de dollars l’année précédente à des petites et moyennes entreprises américaines par le biais d’une série de virements électroniques frauduleux envoyés à des entreprises économiques et commerciales chinoises situées sur ou à proximité du pays. frontière avec la Russie.
Dans cette alerte, le FBI a averti que les destinataires prévus des virements électroniques frauduleux et coûteux étaient des sociétés basées dans le Heilongjiang province de Chine, et que ces entreprises étaient enregistrées dans des villes portuaires situées près de la frontière russo-chinoise. Le FBI a déclaré que les entreprises utilisaient toutes le nom d’une ville portuaire chinoise dans leurs noms, tels que Raohe, Fuyuan, Jixi City, Xunke, Tongjiang et Donging, et que le nom officiel des entreprises comprenait également les mots « économie et commerce ». », « commerce » et « LTD ». Le FBI a en outre indiqué que les entités bénéficiaires détenaient généralement des comptes auprès de la Banque agricole de Chine, de la Banque industrielle et commerciale de Chine et de la Banque de Chine.
Fox-IT a déclaré que son accès au gang avait révélé des documents montrant des membres du groupe créant de fausses sociétés de commerce et de transport dans la province du Heilongjiang – le comté de Raohe et un autre à Suifenhe – deux villes adjacentes à un poste frontière sino-russe juste au nord de Vladivostok.
Les bordereaux de versement découverts par Fox-IT montrent des enregistrements de virements électroniques que le Business Club a exécutés à partir de comptes piratés aux États-Unis et en Europe vers des comptes liés à de fausses compagnies maritimes en Chine à la frontière avec la Russie. Image : Fox-IT
Sandee a déclaré que la zone dans et autour de Suifenhe avait commencé à développer plusieurs grands projets de coopération économique entre la Chine et la Russie à partir du premier semestre 2012. En effet, cette histoire d’ardoise à partir de 2009 décrit Suifenhe comme une économie tirée par les acheteurs russes lors de voyages à forfait, notant qu’il y a une population en croissance rapide d’expatriés russes vivant dans la ville.
« Il n’est donc pas improbable que les associés peer-to-peer de ZeuS aient profité du climat économique positif et de l’environnement favorable aux entreprises pour ouvrir leurs entreprises là-bas », a déclaré Fox-IT dans son rapport. « Cela montre que partout dans le monde, les zones de libre-échange et d’autres zones d’incitation économique sont parmi les endroits clés où les criminels peuvent créer des comptes d’entreprise, car ils font la promotion des affaires. Et sans trop de problèmes, et avec une exposition limitée, peut recevoir de grosses sommes d’argent.
Remise trouvée par Fox-IT de la Wachovia Bank à New York à une société écran chinoise nommée ironiquement à Suifenhe appelée « Muling Shuntong Trading ». Image : Fox-IT
BreachTrace a publié plusieurs histoires exclusives sur des entreprises basées aux États-Unis dépouillées de millions de dollars par des cyberbraqueurs qui ont envoyé l’argent volé sous forme de virements à des entreprises chinoises, dont 1,66 million de dollars dans les limbes après que le FBI ait saisi des fonds de Cyberheist et 1,5 million de dollars Cyberheist Ruins Escrow Firm.
Les flèches rouges indiquent les villes frontalières de Raohe (en haut) et Suifenhe (en bas). Image : Fox-IT
SURVEILLER LES VOISINS
Le Business Club a régulièrement divisé les bénéfices de ses cybercasses, bien que Fox-IT ait déclaré qu’il n’avait malheureusement pas la moindre idée de la façon dont ce processus fonctionnait exactement. Cependant, Slavik – l’architecte de ZeuS et Gameover ZeuS – n’a pas partagé toute sa machine criminelle avec les autres membres du Club. Selon Fox-IT, l’auteur du logiciel malveillant a converti une partie du botnet qui était auparavant utilisé pour les cyberattaques en un système d’espionnage distribué qui ciblait des informations spécifiques provenant d’ordinateurs dans plusieurs pays voisins, dont la Géorgie, la Turquie et l’Ukraine.
À la fin de l’automne 2013 – à peu près au moment où le conflit entre l’Ukraine et la Russie commençait à peine à s’intensifier – Slavik a réorganisé un botnet cyberheist pour qu’il serve uniquement de machine d’espionnage et a commencé à parcourir les systèmes infectés en Ukraine à la recherche de mots clés spécifiques dans les e-mails et les documents. ne se trouveraient probablement que dans des documents classifiés, a découvert Fox-IT.
« Tous les mots-clés liés à des documents classifiés spécifiques ou à des agences de renseignement ukrainiennes », a déclaré Sandee de Fox-IT. « Dans certains cas, les adresses e-mail réelles des personnes qui travaillaient dans les agences. »
De même, les recherches par mots-clés que Slavik a utilisées pour courtiser les systèmes infectés par des bots en Turquie suggéraient que le botmaster recherchait des fichiers spécifiques du ministère turc des Affaires étrangères ou du KOM turc – une unité de police spécialisée. Sandee a déclaré qu’il était clair que Slavik cherchait à intercepter des communications sur le conflit en Syrie à la frontière sud de la Turquie – une situation que la Russie a soutenue en envoyant apparemment des armes dans la région.
« Les mots-clés tournent autour des livraisons d’armes et des mercenaires russes en Syrie », a déclaré Sandee. « De toute évidence, c’est quelque chose qui intéresserait la Turquie, et dans ce cas, il est évident que les Russes voulaient savoir ce que les Turcs savaient sur ces choses. »
Selon Sandee, Slavik a caché cette activité à ses collègues membres du Business Club, dont au moins certains venaient d’Ukraine.
« Le côté espionnage des choses était purement géré par Slavik lui-même », a déclaré Sandee. « Ses collègues n’étaient peut-être pas contents de cela. Ils auraient probablement été heureux de travailler ensemble sur la fraude, mais s’ils voyaient que le système sur lequel ils travaillaient était également utilisé à des fins d’espionnage contre leur propre pays, ils pourraient se sentir obligés de l’utiliser contre lui.
La question de savoir si les anciens collègues de Slavik seraient en mesure de percevoir une récompense même s’ils se retournaient contre leur ancien patron est discutable. D’une part, il est probablement intouchable tant qu’il reste en Russie. Mais quelqu’un comme ça a presque certainement une protection plus haut dans le gouvernement russe.
En effet, le rapport de Fox-IT conclut qu’il est évident que Slavik était impliqué dans plus que le réseau criminel autour de ZeuS peer-to-peer.
« Nous pourrions supposer qu’en raison de cette partie de son travail, il avait obtenu un niveau de protection, et
a pu s’en tirer avec certains crimes tant qu’ils n’étaient pas commis contre la Russie », a écrit Sandee. « Cela reste bien sûr une spéculation, mais c’est peut-être l’une des raisons pour lesquelles il n’a pas encore été appréhendé. »
Le rapport Fox-IT, disponible ici (PDF), fait l’objet d’une conférence aujourd’hui à la conférence sur la sécurité Black Hat à Las Vegas, présentée par Sandee de Fox-IT, Elliot Peterson du FBIet Tillmann-Werner de Foule.
Êtes-vous fasciné par des histoires détaillées sur des opérations réelles de cybercriminalité organisée ? Si oui, vous apprécierez certainement la lecture de mon livre, Spam Nation : L’histoire intérieure de la cybercriminalité organisée – De l’épidémie mondiale à votre porte d’entrée.