Un hacker ukrainien qui a une fois ourdi un complot pour envoyer de l’héroïne à mon domicile en Virginie, puis alerter la police lorsque la drogue est arrivée, a comparu pour la première fois devant un tribunal américain aujourd’hui, après avoir été extradé vers les États-Unis pour faire face à de multiples accusations de cybercriminalité.
Sergueï Vovnenkoalias « Fly », « Flycracker » et « MUXACC1 » (muxa est translittéré en russe pour « муха » qui signifie « voler »), était prêt à apparaître dans une salle d’audience de Newark aujourd’hui pour vol et vente de cartes de crédit et de données bancaires, vidage de comptes bancaires et exploitation d’un botnet de plus de 12 000 ordinateurs et serveurs piratés, entre autres crimes présumés.
Fly répond à mes messages directs en lui disant que je connais son vrai nom et où il habite.
J’ai fait la connaissance de Fly pour la première fois en 2013, lorsque son personnage Twitter (avertissement : les images ici peuvent ne pas être sûres pour le travail) a commencé à m’envoyer des tweets moqueurs mêlés d’épithètes et des tentatives occasionnelles pour me faire cliquer sur des liens Web douteux. Fly a également consulté son blog Livejournal pour publier des copies de mon dossier de crédit, des indications pour se rendre chez moi et des photos de ma porte d’entrée.
Après avoir consulté des chercheurs en cybercriminalité d’une société de sécurité russe Groupe-IBj’ai appris que Fly était l’administrateur d’un forum de cybercriminalité étroitement surveillé mais aujourd’hui disparu dédié à la fraude financière appelé lecc[dot]bz (« cc » est une référence aux cartes de crédit).
Peu de temps après, j’ai secrètement eu accès à son forum. Et pas trop tôt : dans un long fil de discussion sur le forum, j’ai découvert que Fly avait sollicité des dons d’autres fraudeurs sur le forum pour donner de la monnaie Bitcoin à une caisse noire créée par Fly dans le but exprès d’acheter de l’héroïne sur la route de la soie – qui était à l’époque la principale source de drogues illicites sur le Dark Web.
Flycracker discutant de l’achat d’un gramme d’héroïne auprès du vendeur Silk Road « 10toes ».
Le plan de Fly était simple : faire livrer la drogue à mon domicile en mon nom, puis usurper un appel d’un de mes voisins à la police locale l’informant que j’étais un drogué, que j’avais des amis drogués qui entraient et sortaient de chez moi. toute la journée, et que je me faisais même livrer des médicaments à domicile.
Les membres du forum ont pris soin de trouver les vendeurs d’héroïne les plus réputés sur la route de la soie. Après avoir acheté un gramme de la marchandise auprès du meilleur vendeur de smack de Silk Road – un trafiquant de drogue qui utilisait le surnom de «Maestro» – Fly a publié le lien de suivi USPS du colis dans le fil de discussion de son forum.
Une publicité pour l’héroïne sur la route de la soie.
À ce moment-là, j’ai appelé la police locale et j’ai fait venir un flic pour prendre un rapport de police officiel. L’officier m’a demandé de le recontacter si la drogue arrivait effectivement. Trois jours plus tard, notre transporteur local du service postal a livré en main propre une enveloppe mince USPS Express Mail portant le cachet de la poste de Chicago. À l’intérieur se trouvait une autre enveloppe vierge contenant une copie de mai 2013 de Confidentiel de Chicagoun magazine hebdomadaire sur papier glacé Tribune de Chicago.
Au dos du magazine, collée sur une pleine page de publicité pour des bijoux de Lester Lampert, étaient une douzaine de paquets emballés individuellement par un boulanger arborant le même motif de crâne noir et or qui figurait sur la publicité Silk Road de Maestro. J’ai immédiatement contacté la police, qui est venue et a consciencieusement récupéré la drogue, qui s’est avérée être de l’héroïne presque pure.
12 paquets de ce qui semble être de l’héroïne sont arrivés chez moi via la route de la soie le 29 juillet 2013.
J’ai écrit sur l’expérience de déjouer le plan de Fly dans une histoire intitulée Mail From the (Velvet) Cybercrime Underground. Cela n’a pas plu à Fly, qui a été mal vu devant les membres de son forum qui avaient contribué environ deux Bitcoins au stratagème.
En colère que j’aie déjoué son plan de me faire arrêter pour possession de drogue, Fly a demandé à un fleuriste local d’envoyer chez moi un arrangement floral voyant en forme de croix géante, accompagné d’un message menaçant qui s’adressait à ma femme et était signé, « Crabes de velours. »
L’arrangement floral que Fly avait livré chez moi en Virginie.
Après cet incident, je suis devenu intensément curieux de connaître l’identité de cet individu Fly, alors j’ai commencé à parcourir les bases de données de cartes piratées et de forums sur la cybercriminalité. Ma première vraie pause est venue quand Group-IB a fourni une pièce clé du puzzle : les chercheurs de Group-IB ont découvert que sur le défunt vulnérabilités[dot]comFly a maintenu un compte sous le surnom de Flycracker et s’est inscrit avec l’adresse e-mail [email protected](.c’est le code du pays pour l’Italie).
Selon une source fiable de la communauté de la sécurité, ce compte de messagerie a été compromis d’une manière ou d’une autre en 2013. La source a déclaré que le compte était plein de rapports envoyés par e-mail à partir d’un appareil d’enregistrement de frappe lié à une autre adresse e-mail – [email protected] (selon Google, [email protected] est l’adresse e-mail de récupération pour [email protected]).
Ces rapports de keylog contenaient des informations précieuses, et a indiqué que Fly avait planté un enregistreur de frappe sur l’ordinateur de sa fiancée d’alors Irina. À plusieurs reprises, ces e-mails montrent que la femme de Fly a tapé son adresse Gmail, qui comprenait son vrai nom et prénom – Irina Gumenyuk.
Sergey « Fly » Vovnenko, sur une photo non datée.
Plus tard, Gumenyuk changera le nom de famille sur ses différents profils de réseaux sociaux en ligne pour Vovnenko. Elle a même mentionné son mari par son nom à plusieurs reprises dans des e-mails à des amis, l’identifiant comme « Sergei Vovnenko », 28 ans. Les informations de paiement contenues dans ces e-mails – y compris l’expédition et d’autres informations sur le compte – placent l’heureux couple et leur jeune fils à Naples, en Italie.
Ces informations ont ensuite été partagées avec les autorités fédérales italiennes. En juin de l’année dernière, j’ai reçu un appel d’une source policière américaine qui m’a dit clairement que « le Fly a été écrasé ». Vovnenko avait été arrêté et attendait une procédure d’extradition qui l’enverrait pour faire face à des accusations aux États-Unis.
En juillet 2014, j’ai reçu la première de plusieurs lettres de Vovnenko, qui était alors assis dans Prison de Poggioreale, un lieu de détention à Naples que Fly décrit comme « la pire prison d’Italie ». Je n’ai pas ouvert la lettre immédiatement; J’ai informé mes contacts des forces de l’ordre fédérales américaines qui avaient un dossier ouvert sur Vovnenko, et ils ont proposé de récupérer la lettre et de la tester pour détecter toute substance dangereuse (hé, la dernière fois qu’il m’a envoyé un courrier, il y avait de l’héroïne à l’intérieur !).
L’enveloppe était propre. Il ne contenait qu’une lettre manuscrite. Le paragraphe d’ouverture était une salutation amicale écrite en anglais; le reste a été écrit en caractères ukrainiens. Une traduction professionnelle de la lettre a révélé qu’il s’agissait d’excuses profondément personnelles et – je crois – sincères de la part de Vovnenko pour avoir envoyé l’héroïne, pour avoir publié mon dossier de crédit et pour avoir autrement terrorisé ma famille. Je crois qu’il était peut-être 12 étapescar il a également profité de l’occasion pour dire qu’il m’avait pardonné d’avoir publié ses informations personnelles et une photo de lui sur mon blog peu après son arrestation en Italie.
En décembre 2014, j’ai reçu une autre missive de Fly, toujours en attente d’extradition à Poggioreale. C’était une carte postale avec une belle photo de Naples au recto et de simples vœux de vacances au verso : « Bonne année ! Et Joyeux Noël ! » le message lu. « Avec les meilleurs diplômés [sic]De Fly!”
La carte postale que Vovnenko m’a envoyée de la prison de Naples.
Les cyberescrocs m’ont fait des trucs assez fous en réponse à mes reportages à leur sujet. Mais je n’obtiens pas normalement ce genre de fermeture. J’ai hâte de rencontrer Fly en personne un jour bientôt, maintenant qu’il ne sera qu’à un court trajet en train. Et il pourrait être ici pendant un certain temps : s’il est reconnu coupable de tous les chefs d’accusation, Fly risque jusqu’à 30 ans de prison fédérale américaine.
Bonnes fêtes de la part de mon correspondant, Flycracker.
Le communiqué de presse du ministère de la Justice sur l’acte d’accusation de Vovnenko est ici (PDF). L’acte d’accusation réel peut être trouvé sur ce lien (PDF).