C’était à la mi-novembre 2011. Je grelottais sur le pont supérieur d’un navire de croisière vieillissant amarré au port du centre-ville de Rotterdam. À l’intérieur, un big-band jouait lors d’une réception pour les participants du GovCert conférence sur la cybersécurité, où j’avais fait une présentation plus tôt dans la journée sur une guerre de territoire de longue date entre deux des plus grands sponsors de spam.
Promenade du SS Rotterdam. Droits d’auteur : Peter Jaspers
La soirée a été glaciale et venteuse, et j’attendais là d’être présenté aux enquêteurs du Service fédéral de sécurité russe (FSB). Plusieurs agents du FSB qui ont assisté à la conférence ont dit à nos hôtes néerlandais qu’ils voulaient me rencontrer, mais dans un cadre privé. Sortant dans l’air nocturne, une femme de la conférence s’est approchée, a formellement présenté les trois hommes derrière elle, puis s’est précipitée à l’intérieur pour profiter de la chaleur de la réception.
Un homme trapu d’âge moyen présenté comme l’officier supérieur du FSB parlait en russe, tandis qu’un jeune homme traduisait en anglais. Ils ont demandé si je savais quelque chose sur une entreprise à Moscou appelée « Onélia“? J’ai dit non, leur ai demandé de l’épeler pour moi et leur ai demandé pourquoi ils étaient intéressés par cette entreprise. Le haut responsable du FSB a déclaré qu’il pensait que la société était fortement impliquée dans le traitement des paiements pour diverses entreprises cybercriminelles organisées.
Plus tard dans la soirée, de retour dans ma chambre d’hôtel, j’ai cherché en ligne des détails sur l’entreprise, mais je n’ai rien trouvé. J’ai envisagé de demander à certaines de mes meilleures sources en Russie ce qu’elles savaient sur Onelia. Mais une voix dans ma tête m’a averti que les agents du FSB espéraient peut-être que je ferais exactement cela, et qu’ils seraient alors en mesure de deviner qui étaient mes sources lorsque ces individus ont commencé à enquêter sur une entreprise mystérieuse (et probablement fictive). s’appelle Onélia.
Ma paranoïa a eu raison de moi et j’ai mis l’information de côté. C’est-à-dire jusqu’à l’autre jour, quand j’ai découvert qu’Onelia (il s’avère que c’est plus communément orthographié Oneliya) était le nom de la société à responsabilité limitée derrière Gateline.netle processeur de cartes de crédit qui a traité des dizaines de milliers de transactions client pour SpamIt et Rx-Promotion. Ces deux programmes, le sujet de ma série Pharma Wars, ont payé des millions de dollars aux spammeurs les plus notoires de la planète, en les engageant pour faire exploser des courriers indésirables faisant la publicité de milliers de pharmacies Internet voyous sur une période de quatre ans.
QUI EST « CHAMAN » ?
Gateline.net déclare que les services de la société sont utilisés par des entreprises de divers secteurs, notamment ceux du tourisme, des billets d’avion, des téléphones portables et des monnaies virtuelles. Mais selon les enregistrements de paiement et d’affiliation divulgués à la fois par SpamIt et Rx-Promotion, Gateline a également été utilisé pour traiter la majorité des achats de sites de pharmacies voyous qui ont été promus par des spammeurs travaillant pour les deux programmes.
La connexion entre Gateline et les programmes de spam est étayée par des journaux de chat saisis en 2011 par des enquêteurs russes qui enquêtaient sur SpamIt. Ces journaux, divulgués à ce journaliste l’année dernière, montrent des centaines de conversations entre le copropriétaire de SpamIt Dmitry « Saintd » Stupin et un administrateur Gateline qui a utilisé le surnom « Chaman » ([email protected]), et était appelé « Nikolai », ou la forme diminutive, « Kolya ». Les journaux montrent plus de 205 conversations entre Shaman et Stupin de 2007 à 2010 ; Stupin a également eu 169 conversations de chat avec un affilié de SpamIt « dgc », un programmeur qui a utilisé l’adresse e-mail [email protected]
Les discussions de Stupin divulguées suggèrent que Shaman exerçait une influence énorme sur les opérations quotidiennes de SpamIt. Le sponsor du spam pharmaceutique a eu beaucoup de mal à offrir aux acheteurs la possibilité de payer par MasterCard, principalement parce que MasterCard semble avoir été beaucoup plus vigilant que Visa pour contrôler l’utilisation de ses services par des pharmacies en ligne malhonnêtes. Les enregistrements de paiement de SpamIt indiquent que Shaman a reçu une réduction importante (~ 8 %) de toutes les ventes traitées par les pharmacies SpamIt, et qu’il a parfois gagné des dizaines de milliers de dollars par semaine pour ses services. Il était généralement payé par virement bancaire à des sociétés holding en Lettonie, ou via le ID WebMoney 49113952953.
Dans la conversation suivante entre Shaman et Stupin, enregistrée le 23 novembre 2009, Shaman peut être vu réprimander Stupin pour ne pas être plus au courant des transactions qu’ils croyaient être des achats d’infiltration effectués par les enquêteurs de fraude de MasterCard. Au début du chat, Shaman publie un lien vers une histoire sur une affaire criminelle ouverte par des enquêteurs russes sur SpamIt et le co-partenaire de Stupin, Igor Gusev. À cette époque, la guerre pharmaceutique entre Gusev et son principal concurrent Pavel Vroublevski (alias « RedEye ») – largement considéré comme le copropriétaire de Rx-Promotion – étaient en bonne voie, Gusev et Vrublevsky divulguant lentement des données sur les opérations des autres aux médias et sur des forums clandestins.
Chaman: http://www.runewsweek.ru/country/31283/
Stupin : Oui oui.
Chaman: Je vous suggère de ne pas trop faire de publicité pour les banques (RP)
Stupin : Nous en avons le moins besoin.
Chaman: Sinon, toute l’entreprise va s’effondrer. Il y a déjà eu quelque chose comme ça.
Stupin : Igor essaie de supprimer ces messages.
Chaman: D’accord. Quel est le problème avec les guerres de l’information ? Nous devons arrêter cette chose d’une manière ou d’une autre. Vous allez détruire toute l’affaire.
Stupin : On le fera??? Il n’y a pas eu un seul message de notre part. Igor les enlève tout le temps, nous ne faisons rien d’autre.
Chaman: Arrêtez de lui répondre dans les messages du forum et RedEye se calmera.
Stupin : Je demanderai à Igor s’il a répondu, s’il l’a fait – je lui demanderai d’arrêter de le faire.
Chaman: [email protected] Tuez ce connard – il est l’officier (l’employé) de MasterCard. Il a fait un achat. http://www.iacva.org/PDF/William%20Hanlin.pdf
Chaman: Soyez plus attentif au lot. Tuez-les également :
Charles Wilson, [email protected] ; Stephen Carpenter, [email protected] ; Fredric [email protected]; [email protected], sandro racheli
Chaman: Qu’est ce qui se passe avec toi?
Stupin : Les programmeurs (développeurs) vérifient ce qui s’est passé. Cela ne devrait pas arriver.
Chaman: Il n’y a pas eu une seule transaction de votre part vers BinBank [one of Russian Banks —http://www.binbank.ru/index.wbp] depuis 00 heures.
Stupin : Je presse les programmeurs de dépanner plus rapidement.
Chaman: Dès que vous le corrigez, soyez plus précis. Traiter uniquement les clients établis.
Dans une conversation du 5 juin 2007 entre Stupin et Gusev, le premier souligne que Shaman traite les paiements du site de la pharmacie via le programme de traitement sœur de Gateline – une société appelée ufs-online.ru:
Stupin : Saviez-vous que UFS-ONLINE de Shaman est traité via Alfa (référence à l’une des principales banques russes, Alfa-Bank)
Gusev : Oui.
Une autre conversation intéressante, enregistrée le 24 mai 2007, montre l’un des avantages de connaître personnellement et de faire affaire avec les plus gros spammeurs de la planète – on peut essayer de réduire la quantité de spam qui leur est envoyée.
Chaman: http://sidesky.hk – est-ce le vôtre ? Putain, tu as spammé tout mon bureau ! Chaque employé !
Stupin : Ouais, c’est le nôtre. Je vais demander à l’affilié de retirer de sa liste
Chaman: supprimer toute la zone .ru de la liste de spam..[and] [email protected]
Stupin : Il ne veut pas enlever, dit que c’est trop encombrant [to remove all of .ru]
QUI DIRIGE VRAIMENT GATELINE ?
Rapport abrégé Dunn & Bradstreet sur Oneliya OOO
Documents financiers extraits de Dunn et Bradstreet montrent qu’Oneliya Ltd. est une entreprise moscovite de programmation et de services informatiques comptant environ 42 employés et générant des revenus annuels de près de 346 000 $. Il s’agit presque certainement d’un chiffre d’affaires très conservateur ; les dossiers financiers de SpamIt indiquent qu’il a gagné au moins autant en un an en traitant les paiements pour le programme. Il est probable, cependant, que les activités de Shaman n’étaient pas inscrites dans les livres et n’étaient pas enregistrées comme revenus officiels pour Oneliya, ou peut-être que cet argent a été comptabilisé dans les revenus de l’une des sociétés satellites de l’entreprise, comme ufs-online.ru ou ufs-travel.ru.
En tout état de cause, ce document indique que le directeur de la société est un Russe nommé Rafael Khasanovich Mukhametshin. Ceci est soutenu par un e-mail divulgué à partir de ChronoPay – la société cofondée en 2003 par Gusev et Vrublevsky avant qu’ils ne se séparent et ne deviennent des ennemis acharnés. Mukhametshin n’a pas répondu aux multiples courriels sollicitant des commentaires sur cette histoire.
Des dizaines de documents divulgués par ChronoPay montrent que ChronoPay effectuait régulièrement des paiements importants au même porte-monnaie WebMoney où Shaman faisait envoyer ses revenus SpamIt. Chaque transaction est apposée avec la mention « Shaman ». Dans un échange de courriels le 9 juin 2010, on peut voir Vrublevsky répondre à un partenaire commercial qui pose des questions sur un processeur dont il a entendu parler, nommé Shaman, spécialisé dans le traitement de MasterCard et American Express Paiements.
« C’est étrange que vous ne sachiez pas, étant donné qu’il travaille pour Desp [Gusev] et travaille aussi avec nous : Gateline ça s’appelle », a écrit Vrublevsky. « Shaman est le surnom de Kolya, un camarade de Rafael Mukhametshin (de ufs-online.ru si je ne me trompe pas) ».
Le nom complet de Shaman reste un mystère, du moins pour moi, et on ne sait pas s’il travaille toujours pour Gateline ou si l’entreprise reste impliquée dans le traitement des paiements pour l’industrie pharmaceutique voyous. Mais la prédiction de Shaman sur les «guerres de l’information» ruinant l’entreprise pour tout le monde finirait par sonner vrai. Le programme d’affiliation SpamIt a été fermé en septembre 2010, après que des enquêteurs russes ont porté des accusations criminelles contre Gusev (bien que GlavMed, le programme frère de SpamIt semble toujours fonctionner). Vrublevsky a récemment été libéré d’une prison de Moscou après avoir été arrêté pour avoir prétendument engagé un botmaster pour attaquer un processeur rival. Rx-Promotion est maintenant en grande partie un programme d’affiliation de pharmacie mort.