Aux origines des liens entre services de renseignement et cybercriminels russes

En 2002, des cybercriminels du monde entier se réunissaient à Odessa, en Ukraine, à l'invitation de pirates russes. Ces derniers venaient d'être « briefés » par le FSB, qui leur avait promis l'impunité, à deux conditions. 21 ans plus tard, leurs liens ont été raffermis par la guerre en Ukraine. Mais aujourd'hui, les hackers ukrainiens se battent aussi contre eux, aidés par les Américains.

« On ne peut pas comprendre la cybercriminalité russe sans apprécier sa relation avec les intérêts de la Russie en matière de sécurité nationale », écrit Misha Glenny, un journaliste spécialiste de la Mafia et de la cybercriminalité, dans le Financial Times (FT).

Son article, sobrement titré « L'histoire inédite des pirates informatiques russophones d'aujourd'hui » (« The untold history of today’s Russian-speaking hackers », en VO), relève qu'« un indice se trouve dans une petite note intrigante à mi-chemin de la page d'accueil de Clop », l'un des gangs de « ransomware as a service » (RaaS) russophones les plus féroces : 

« PS. Si vous êtes un gouvernement, une ville ou un service de police, ne vous inquiétez pas, nous avons effacé toutes vos données. Vous n'avez pas besoin de nous contacter. Nous n'avons aucun intérêt à divulguer de telles informations. »

Clop s'est fait connaître depuis 2019 par ses attaques complexes, recourant pour certaines à des failles « zero-day » lui permettant d'exiger des rançons plus élevées.

Clop est aussi connu pour ses techniques d'extorsion à plusieurs niveaux : non content de réclamer une rançon pour permettre à ses victimes de récupérer la clef permettant de déchiffrer les données volées, le groupe demande aussi une rançon pour ne pas rendre publiques les informations volées.

Clop, à l'instar de l'ensemble des autres groupes cybercriminels russophones, évite d'attaquer les organisations basées dans les anciens pays soviétiques. Ses logiciels malveillants sont aussi programmés pour ne pas contaminer les ordinateurs utilisant pour langue principale le russe ou l'une des autres langues utilisées dans les pays de la Communauté des États indépendants (CEI) des anciennes républiques soviétiques de l'ex-URSS.

Pour comprendre cette exception, il faut remonter à « l'une des conférences publiques les plus extraordinaires jamais organisées », souligne Misha Glenny, dans le port ukrainien d'Odessa à la fin du mois de mai 2002.

400 personnes, venues du monde entier, y compris de Nouvelle-Zélande, du Canada et du Brésil, s'y seraient réunies « pour échanger des idées et des informations sur les derniers développements dans le monde de la cybercriminalité ».

La première conférence mondiale des cardeurs

Cette première conférence mondiale des cardeurs (« First Worldwide Carders Conference », en VO, ou FWCC, les cardeurs étant des spécialistes de fraude à la carte bancaire) avait été conçue et organisée par les administrateurs de carderplanet.com (archive.org), une organisation de type mafieuse qui se présentait comme le « forum de l'alliance internationale des cardeurs » et qui, à sa fermeture en 2004, suite à l'arrestation de plusieurs de ses membres, avait attiré quelque 7 000 contributeurs, précise le FT.

Organisés comme une mafia, ses membres les plus hauts placés, connus comme faisant partie de « la famille », portaient des titres tels que « le parrain » ou le « capo di capi » (ou patron de tous les patrons), avaient prospéré suite à l'effondrement du bloc soviétique, qui avait « laissé un vide dans lequel émergèrent de nouvelles formes d'activité économique ».

À défaut de faire partie de ces apparatchiks qui firent fortune grâce aux privatisations d'entreprises stratégiques, ces pirates informatiques profitèrent de l'apparition et de l'explosion du commerce électronique sur le web occidental. La sécurité informatique y était encore balbutiante. Il était donc possible de trouver via Google, entre autres, des fichiers .xls truffés de numéros de cartes bancaires sur des sites d' « e-commerce » : 

« Les jeunes criminels qui se sont inscrits à la conférence d'Odessa n'étaient pas armés. Ils possédaient un autre talent : des compétences informatiques avancées. Ils perfectionnaient leurs compétences au moment même où les entreprises occidentales commençaient à expérimenter l'achat et la vente de produits sur l'internet. Dans ce nouveau monde du commerce en ligne, la sécurité n'occupait qu'un petit territoire. »

Un système de tiers de confiance inspiré de la Mafia sicilienne

Lancé un an avant la conférence, CarderPlanet avait révolutionné la cybercriminalité, explique Misha Glenny, et en particulier le commerce lucratif de données de cartes de crédit volées ou clonées, en résolvant l'énigme qui, jusque-là, entravait ce marché noir : comment faire des affaires avec un criminel, donc avec quelqu'un en qui, par définition, on ne peut pas faire confiance ?

Pour résoudre ce problème, les administrateurs de CarderPlanet avaient créé un système de tiers de confiance pour criminels, reflétant l'émergence de la mafia sicilienne au début des années 1860 après la guerre d'indépendance italienne. 

À l'époque, résume Misha Glenny, la mafia n'était pas encore une organisation criminelle mais agissait, a contrario, en tant que médiateurs indépendants des marchés non réglementés du bétail et des fruits, se substituant à une police publique largement absente, tout en coûtant moins cher que des agents de sécurité privés.

Concrètement, un vendeur de cartes volées les envoyait au tiers de confiance à Odessa, et l'acheteur lui transmettait la somme convenue en e-gold, une devise en or numérique précurseur du bitcoin qui offrait l'avantage de ne pas être très regardante quant à l'identité de ses acquéreurs.

Carderplanet testait une partie des cartes volées de sorte de s'assurer qu'elles étaient valides. Si tel était le cas, il gardait les sommes prélevées en tant que frais de séquestre ou commissions et reversait les e-gold envoyés par l'acheteur au vendeur, tout en faisant suivre les cartes volées à l'acquéreur.

Ce système de tiers de confiance allait accompagner l'explosion de la cybercriminalité liée au vol de cartes bancaires, puis des places de marché du dark web.

« Nous avons reçu la visite d'un officier du FSB »

Misha Glenny explique cela dit avoir été dérouté par le premier paragraphe du communiqué de la FWCC, qui précisait que « la conférence a examiné la question cruciale de l'irrecevabilité de toute action contre le système de facturation, les banques ou toute autre institution financière en Russie, en Ukraine et en Biélorussie. En outre, la famille traitera sans pitié tout cardeur surpris à se livrer à une telle activité ».

À l'époque, rappelle Glenny, les frontières entre l'Ukraine et la Russie « n'étaient pas seulement poreuses, elles existaient à peine », et les deux pays étaient en outre liés avec les autres anciennes républiques soviétiques via la Communauté des États indépendants.

Roman Stepanenko Vega, un ressortissant ukrainien russophone qui était l'un des fondateurs et administrateurs de CarderPlanet, lui a expliqué comment « deux jours avant l'ouverture du FWCC, nous avons reçu la visite d'un officier du FSB [Federal Security Service] à Moscou. Il nous a expliqué que Moscou n'avait aucune objection à ce que nous clonions des cartes de crédit ou fraudions des banques en Europe et aux États-Unis, mais que c'était interdit n'importe où dans la CEI ».

En outre, l'officier du FSB fit savoir aux administrateurs de CarderPlanet que si jamais l'État russe avait besoin de l'aide de gangs criminels, ils devraient coopérer. Ce fut le cas cinq ans plus tard, avec les cyberattaques DDoS massives lancée par la Russie contre l'Estonie, considérée comme la première « cyberguerre » et qui allait entraîner la création du Centre d'excellence de cyberdéfense coopérative de l'OTAN à Tallinn.

• Attaque DDoS massive contre l'Estonie, des pirates russes ?
• Création d'un cybercentre de défense par l'OTAN en Estonie

Selon François Paget de McAfee, une partie de l'attaque provenait probablement du Russian Business Network (RBN), basé à Saint-Pétersbourg. Aujourd'hui disparu, le RBN était à l'époque considéré comme le plus grand groupe cybercriminel de Russie.

Le FSB se retourne contre ses hackers, puis vient la guerre

Misha Glenny précise que des membres de gangs criminels russophones ont ensuite été recrutés dans des équipes notoires de pirates soutenus par l'État telles que Advanced Persistent Threat 28 (ou Fancy Bear), créé par le GRU, le renseignement militaire russe. Un autre groupe, APT29, connu sous le nom de Cozy Bear, serait de son côté une émanation du SVR, l'équivalent russe du MI6.

Depuis l'invasion du Donbass et de la Crimée par la Russie en 2014, l'Ukraine a fait l'objet de nombreuses cyberattaques russes persistantes et généralisées. Outre l'impact dévastateur du virus NotPetya en 2017, les Ukrainiens se sont révélés très efficaces pour protéger leurs réseaux. Non seulement leurs compétences informatiques avancées sont issues du même système éducatif soviétique que celles des Russes, mais ils bénéficient aussi de l'aide et de l'assistance des unités de « Hunt Forward Operations » (HFO, littéralement « opérations avancées de chasse ») du CyberCom états-uniens et de telcos tels que Microsoft.

• La cyberguerre n’a pas eu lieu (1/2)
• Microsoft documente la « guerre hybride » en Ukraine
• Décryptage des deux étranges cyberattaques ciblant l'Ukraine
• Comment l'Ukraine a appris à survivre aux cyberattaques russes
• La cyberguerre vue du côté de l'unité américaine venue en soutien à l'Ukraine

Vers 2016, les rançongiciels ont commencé à dominer les activités des groupes cybercriminels russophones, avant d'exploser suite aux confinements résultant de la pandémie de Covid-19. Le problème est devenu tel que la Maison Blanche fini par organiser un sommet entre les présidents Biden et Poutine à Genève il y a deux ans, raconte Misha Glenny : 

« Les cyberattaques constantes de la Russie, qu'elles soient lancées par des criminels ou des services de renseignement, étaient le principal point à l'ordre du jour en ce qui concerne les Américains. »

En avertissant Poutine de calmer ses « chiens numériques », Biden présenta à son homologue russe une liste de 16 secteurs industriels que les États-Unis considéraient comme des « casus belli » qui, s'ils étaient de nouveau attaqués, entraîneraient des ripostes cyber de la part de l'armée US. 

« Ce n'était pas une vaine menace », précise Misha Glenny : « Tous les pays reconnaissent que la cybercapacité offensive des États-Unis dépasse celle de tous ses concurrents ».

La stratégie de Biden a fonctionné, dans un premier temps tout du moins. Pour la première fois, la police russe a en effet commencé à arrêter et à emprisonner des groupes de cybercriminels, chose qu'elle s'était jusqu'alors bien gardée d'effectuer. 

Le FSB a même été jusqu'à filmer, en janvier 2022, l'arrestation de 14 membres de l'un des plus grands groupes, REvil, diffusant avec ostentation les très nombreux billets de banques saisis à cette occasion.

FSB released this video (via @rianru https://t.co/voQ2TtL3oW) of an operation against REvil pic.twitter.com/eGE3gWKW4y

— Oleg Shakirov (@shakirov2036) January 14, 2022

Le mois suivant, la Russie envahissait l'Ukraine, et les groupes de cybercriminels russes se rangeaient pour la plupart du côté du Kremlin, quand leurs anciens comparses ukrainiens rejoignaient les hackers de l'Ukraine IT Army.

Seul un pirate peut battre un pirate

En avril dernier, le Wahington Post racontait ainsi que les autorités états-uniennes avaient découvert qu'un groupe de pirates russes, Zaria, avait été incité par le FSB à pénétrer une infrastructure gazière canadienne.

Or, l'un de ses administrateurs, Hashi, avait été recruté, adolescent, par CyberSec, une entreprise connue pour faire travailler des hackers « black hats ». Du fait de l'histoire de la cybercriminalité dans ces deux pays, CyberSec comptait aussi, logiquement, plusieurs employés ukrainiens.

L'un d'entre eux, Vladislav Horohorin, qui n'était autre que l'un des anciens administrateurs de CarderPlanet.com, n'hésita pas à « doxxer » Hashi en rendant publiques ses données personnelles sur son compte Telegram.

Arrêté en 2010 à l'aéroport de Nice, Vladislav Horohorin, qui se faisait alors appeler « BadB » et que le Secret Service états-unien considérait comme l'un de ses cinq cybercriminels « most wanted », avait en effet été extradé aux États-Unis en 2012, et condamné à 88 mois de prison.

En 2016, alors qu'il était encore incarcéré dans une prison du Massachusetts, Horohorin avait contacté Arkady Bukh, un avocat né à Bakou, en Azerbaïdjan, naturalisé américain, et connu pour avoir défendu de nombreux pirates informatiques russophones aux États-Unis.

Quand bien même Horohorin était encore incarcéré, Arkady Bukh l'avait alors recruté dans CyberSec, qu'il avait créé en 2015. À l'époque, l'avocat se vantait de faire travailler une douzaine de pirates informatiques, la moitié aux États-Unis, l'autre moitié en Russie, généralement payés en Bitcoin, quand bien même ils purgeaient encore leurs peines de prison, ou étaient encore recherchés par les autorités.

Arkady Bukh justifiait leurs embauches par le fait qu'ils étaient « hautement qualifiés », bénéficiant en outre de la forte culture russe en matière de mathématiques et d'informatique, mais également parce que, au vu du marché du travail en Russie, nombre d'informaticiens se tournaient vers des pratiques illégales.

Cybersec.org n'hésitait pas, à ce titre, à rappeler que Vladislav Horohorin avait été présenté par le New York Times comme « l'un des cybercriminels les plus recherchés » (par les autorités, ndlr), et que son site web Badb.biz se vantait d'avoir obtenu illégalement les données bancaires de plus d'un million de citoyens états-uniens.

« Dans la plupart des entreprises de cybersécurité, les employés ont toujours été du bon côté de la loi », explique aujourd'hui le site web de CyberSec. « Alors que d'autres entreprises de cybersécurité ont pour pratique de ne pas embaucher de personnes ayant un passé de pirate informatique, nous l'encourageons », précise-t-elle :

« Là où d'autres entreprises de cybersécurité emploient du personnel qui vient de terminer ses études et connaît très peu le comportement réel des vrais pirates informatiques, nous embauchons des personnes qui ont elles-mêmes piraté et qui savent exactement comment les véritables cybercriminels peuvent agir. Seul un pirate peut battre un pirate. »

La version anglaise de CyberSec ne le précise pas, mais la page contact de sa version en russe indique en bas de page que CyberSec appartient désormais à « BadB et compagnie », et renvoie aux comptes Telegram et Instagram de Vladislav Horohorin, où il laisse entendre qu'il se bat lui aussi, depuis février 2022, contre l'invasion militaire russe.

Arkady Bukh et Igor Klopov, l'ex-pirate (russe) avec qui il avait créé CyberSec, ont de leur côté migré leur propre site web sur CyberSecGroup.info. Ils ne précisent pas ce pourquoi le nom de domaine d'origine a depuis été récupéré par Vladislav Horohorin, mais continuent à vanter leur approche « black hat » : 

« Chez CyberSec, notre équipe est composée d'un avocat de premier plan en cybersécurité qui a représenté certains des pirates les plus recherchés au monde… ainsi que certains de ces pirates qui utilisent maintenant leur connaissance des ordinateurs pour faire le bien. »

Étrangement, la page contact de leur nouveau site continue, cela dit, à indiquer une adresse e-mail @cybersec.org, nom de domaine qui a donc pourtant été récupéré par Vladislav Horohorin.