Le gouvernement russe se bat depuis quatre ans pour garder le cybercriminel présumé de 29 ans Alexeï Bourkov d’être extradé par Israël vers les États-Unis. Lorsque les autorités israéliennes ont rejeté les demandes de le renvoyer en Russie – soi-disant pour y faire face à des accusations de piratage distinctes – les Russes ont ensuite emprisonné une Israélienne pendant sept ans sur de fausses accusations de drogue dans le but d’échanger des prisonniers. Cet effort a également échoué et Burkov a eu sa première comparution devant un tribunal américain la semaine dernière. Voici quelques indices qui pourraient expliquer pourquoi les Russes sont si désireux de récupérer ce jeune homme.
Aleksei Burkov, assis deuxième à partir de la droite, assiste à une audience à Jérusalem en 2015. Andrei Shirokov / Tass via Getty Images.
En surface, les accusations portées par le gouvernement américain égalisé contre Burkov peut sembler assez banal : les procureurs dire il dirigeait un forum sur la fraude par carte de crédit appelé CartePlanet qui a vendu plus de 150 000 cartes volées.
Cependant, une analyse approfondie des différents pseudonymes prétendument utilisés par Burkov suggère que cet individu pourrait être l’un des pirates malveillants les plus connectés et les plus qualifiés jamais appréhendés par les autorités américaines, et que le gouvernement russe craint probablement qu’il en sache trop.
Burkov se dit spécialiste de la sécurité de l’information et nie avoir commis les crimes pour lesquels il est accusé. Mais selon les habitants de plusieurs forums de cybercriminalité en langue russe qui ont suivi son cas dans les médias israéliens, Burkov était de toute évidence un cybercriminel d’élite qui opérait principalement sous le pseudonyme de hacker « K0pa.”
Il s’agit du même surnom utilisé par une personne qui a été co-administrateur de peut-être les forums de piratage en langue russe les plus exclusifs jamais créés, y compris Mazafaka et Connexion directe.
Une capture d’écran du forum sur la cybercriminalité de Mazafaka, vers 2011.
Depuis leur création au milieu des années, ces deux forums ont été parmi les plus difficiles à rejoindre – n’admettant que des russophones natifs et exigeant que chaque candidat fournisse un dépôt en espèces non remboursable et des «garants» ou garanties d’au moins trois existants membres. De plus, aucun forum n’était accessible ou même visible à quiconque sans un certificat de cryptage spécial fourni par les administrateurs du forum qui permettait aux sites de se charger correctement dans un navigateur Web.
DirectConnection, vers 2011. L’identité indiquée au bas de cette capture d’écran – Severa – appartenait à Peter Levashov, un spammeur prolifique qui a plaidé coupable aux États-Unis l’année dernière pour avoir exploité le botnet de spam Kelihos.
Notamment, certains des cybercriminels les plus recherchés au monde étaient membres de ces deux forums hautement exclusifs, et bon nombre de ces personnes ont déjà été arrêtées, extradées et jugées pour diverses accusations de cybercriminalité aux États-Unis au fil des ans. Ceux-ci incluent des fraudeurs de cartes de crédit condamnés Vladislav « Badb » Horohorin et Sergey « zo0mer » Kozerev, ainsi que le tristement célèbre spammeur et maître des botnets Peter « Severa » Levashov.
Une base de données d’utilisateurs obtenue par BreachTrace il y a plusieurs années indique que K0pa s’est appuyé sur la même adresse e-mail qu’il a utilisée pour s’inscrire à Mazafaka et DirectConnection pour enregistrer le compte d’utilisateur « Réseau de zombies » au Spampointqui a été pendant des années le terrain de prédilection des spammeurs et créateurs de virus les plus prolifiques au monde, ainsi que des pirates qui ont créé des services destinés aux deux professions.
en 2008, j’ai écrit sur l’offre de base que K0pa/Botnet annonçait sur Spamdot et d’autres forums exclusifs : Un service d’anonymat basé sur un botnet appelé FraudeCrew. Ce service vendait l’accès à des ordinateurs piratés, que les clients de FraudCrew utilisaient dans le but de cacher leur emplacement réel en ligne tout en menant des activités cybercriminelles.
FraudCrew, un service d’anonymat basé sur un botnet proposé par K0pa.
K0pa était également l’un des meilleurs membres du personnel de Vérifié, l’un des forums de cybercriminalité en langue russe les plus anciens et les plus vénérés. Plus précisément, le rôle de K0pa chez Verified était de maintenir sa liste noire, un processus de règlement des différends conçu pour éliminer les cybercriminels «malhonnêtes» qui ne cherchent qu’à arnaquer les escrocs moins expérimentés. De ce point de vue, K0pa aurait exercé une influence considérable sur le forum et aurait presque certainement joué un rôle clé dans la sélection des nouveaux candidats sur le site.
Avant son ascension sur ces forums, K0pa était peut-être mieux connu pour être un membre fondateur d’un groupe de hackers se faisant appeler les CyberLords. Pendant près d’une décennie, l’équipe de CyberLords a publié des dizaines d’outils de piratage et d’exploits ciblant des vulnérabilités de sécurité jusque-là inconnues dans les services Web et les logiciels informatiques.
Une copie en cache de cyberlords[.]ru, vers 2005.
UNE CONNEXION DIRECTE ?
Selon la société de sécurité Cyberaisonla Russie a l’habitude d’utiliser des sous-traitants – même des cybercriminels – mener des opérations de renseignement. Ces escrocs devenus espions « offrent une ressource à l’État tout en bénéficiant d’un « statut » semi-protégé pour leurs activités parascolaires, à condition qu’elles soient dirigées contre des cibles étrangères ».
« Les cybercriminels sont recrutés pour la cause nationale russe par un mélange de coercition, de paiements et d’appels au sentiment patriotique », lit-on. une histoire de 2017 à partir de Le registre sur Cybereason Analyse de la scène russe de la cybercriminalité. « Le recours par la Russie à des entrepreneurs privés présente également d’autres avantages en aidant à réduire les coûts opérationnels globaux, en atténuant le risque de détection et en acquérant une expertise technique qu’ils ne peuvent pas recruter directement au sein du gouvernement. La combinaison d’une cyber-milice avec des équipes de piratage officielles parrainées par l’État a créé la communauté cybercriminelle la plus avancée et la plus audacieuse au monde.
Une bannière qui a couru en haut du forum sur la cybercriminalité vérifiée pendant de nombreuses années.
Il convient probablement de noter qu’également présents sur DirectConnection et Mazafaka se trouvaient les principaux membres d’un gang prolifique de voleurs de banques en ligne appelé JabberZeus Crew, qui a utilisé des versions personnalisées du cheval de Troie ZeuS pour voler des dizaines, voire des centaines, de millions de dollars à piraté de petites entreprises à travers les États-Unis. En 2011, la majeure partie de cet équipage a été arrêtée lors d’une répression internationale de la cybercriminalité, bien que pratiquement tous aient échappé aux poursuites dans leur pays d’origine (principalement la Russie et l’Ukraine).
Je mentionne cela parce que K0pa était également en communication régulière avec – sinon un membre essentiel de – l’équipage de JabberZeus. Ce gang a travaillé directement avec l’auteur du cheval de Troie ZeuS — Evgeny « Slavik » Bogachev – un homme russe avec une prime de 3 millions de dollars sur la tête du FBI. L’organisation cybercriminelle que Bogchev aurait dirigée était responsable du vol de plus de 100 millions de dollars dans des banques et des entreprises du monde entier infectées par son logiciel malveillant ZeuS. Cette organisation, surnommée le « Business Club », avait des membres couvrant la plupart des 11 fuseaux horaires de la Russie.
Dans cette capture d’écran de DirectConnection de 2011, nous pouvons voir le surnom « aqua », l’un des acteurs du gang criminel JabberZeus. K0pa était également affilié à l’équipage de JabberZeus.
Fox-ITune société de sécurité néerlandaise qui a infiltré les opérations de back-end du Business Club, a découvert qu’à partir de la fin de l’automne 2013 – à peu près au moment où le conflit entre l’Ukraine et la Russie commençait à peine à s’intensifier – Slavik a réorganisé son botnet cyberheist pour servir purement d’espionnage machine, et a commencé à parcourir les systèmes infectés en Ukraine à la recherche de mots-clés spécifiques dans les e-mails et les documents qui ne se trouveraient probablement que dans des documents classifiés.
De même, les recherches par mots clés que Slavik a utilisées pour parcourir les systèmes infectés par des bots en Turquie suggéraient que le botmaster recherchait des fichiers spécifiques du ministère turc des Affaires étrangères – une unité de police spécialisée. Fox-IT a déclaré qu’il était clair que Slavik cherchait à intercepter les communications concernant le conflit en Syrie à la frontière sud de la Turquie – une situation que la Russie a soutenue en expédiant des armes dans la région.
À ma connaissance, personne n’a accusé Burkov d’être une sorte de fixateur de cybercriminalité ou de méchant virtuel Rolodex pour le gouvernement russe. D’un autre côté, depuis son ancien perchoir au sommet de certains des forums russes les plus exclusifs sur la cybercriminalité, K0pa aurait certainement parfaitement rempli ce rôle.
Lectures complémentaires, y compris l’histoire fascinante sur les allers-retours diplomatiques entre la Russie et Israël mentionnée au premier paragraphe : Le hacker russe qui vient de devenir l’un des prisonniers les plus célèbres d’Israël.
Comment la Russie a recruté des hackers d’élite pour sa cyberguerre