Evil Corp : ma chasse aux "pirates millionnaires" de Russie

Joe Tidy

Cyber reporter

il y a 52 minutes

La plupart des personnes figurant sur la liste des cyber délinquants les plus recherchés par le FBI sont russes. Si certains travaillent pour le gouvernement et touchent un salaire normal, d'autres sont accusés d'avoir fait fortune grâce à des attaques par ransomware (logiciels rançonneurs) et des vols en ligne. S'ils quittaient la Russie, ils seraient arrêtés, mais chez eux, ils semblent avoir le champ libre.

"Nous perdons notre temps", ai-je pensé en regardant un chat lécher la carcasse d'un poulet à emporter.

Il n'y aurait sûrement plus aucune trace d'un cybercriminel multimillionnaire présumé dans cette propriété laissée à elle-même située dans une ville délabrée à 700 km à l'est de Moscou.

Mais j'ai continué avec un interprète et un caméraman, en éloignant le chat galeux de l'entrée du bloc d'appartements.

Lorsque nous avons frappé à l'une des portes, un jeune homme a répondu et une vieille dame curieuse nous a regardé de la cuisine.

Nous avons frappé à l'une des portes et un jeune homme a répondu.

"Igor Turashev ? Non, je ne reconnais pas ce nom", a-t-il dit.

"Sa famille est enregistrée ici, alors qui êtes-vous ?" avons-nous demandé.

Après une discussion amicale, nous avons expliqué que nous étions des reporters de la BBC, et l'ambiance a soudainement changé.

"Je ne vous dirai pas où il se trouve et vous ne devriez pas essayer de le trouver. Vous n'auriez pas dû venir ici", dit le jeune homme en colère.

Je n'ai pas bien dormi cette nuit-là, en pensant aux conseils contradictoires que m'avaient donnés les personnes du secteur de la sécurité.

Certains disaient qu'il était risqué d'essayer de traquer des cybercriminels recherchés sur leur sol. "Ils auront des gardes armés", m'a-t-on dit. "Vous finirez dans un fossé quelque part", m'a prévenu un autre. D'autres ont dit que tout irait bien : "Ce ne sont que des génies de l'informatique".

Tous nous ont dit que l'on ne parviendrait a rien.

Crédit photo, US Department of Justice Légende image, Maksim Yakubets, Igor Turashev et sept autres personnes présumées appartenir à Evil Corp ont été sanctionnés, mis en examen ou désignés en décembre 2019.

Il y a deux ans, lors d'une conférence de presse, le FBI a nommé huit membres du groupe de pirates russes Evil Corp, accusant Igor Turashev et le chef présumé du gang, Maksim Yakubets, d'avoir volé ou extorqué plus de 100 millions de dollars lors de piratages touchant 40 pays différents.

Les victimes vont de petites entreprises à des multinationales comme Garmin, en passant par des organisations caritatives et une école. Ce ne sont que celles dont nous avons connaissance.

Selon le ministère américain de la justice, ces hommes sont des "braqueurs de banque cybernétiques" qui organisent des attaques par ransomware ou piratent des comptes pour voler de l'argent.

L'annonce a fait de Maksim Yakubets, qui n'avait alors que 32 ans, une figure emblématique du piratage informatique russe.

Des images du gang, obtenues par la National Crime Agency britannique, montrent les hommes au volant de Lamborghinis personnalisées, riant avec des liasses de billets et jouant avec un lionceau de compagnie.

Crédit photo, National Crime Agency Légende image, Maksim Yakubets conduit une Lamborghini personnalisée avec le mot russe pour "voleur" sur la plaque d'immatriculation.

L'inculpation des deux hommes par le FBI est le résultat d'années de travail, notamment d'entretiens avec d'anciens membres du gang et de l'utilisation de la cybercriminalistique. Certaines informations remontent à 2010, lorsque la police russe était encore prête à collaborer avec ses collègues américains.

Cette époque est révolue depuis longtemps. Le gouvernement russe balaie régulièrement les accusations de piratage informatique portées par les États-Unis contre ses citoyens.

En fait, non seulement les hackers sont autorisés à poursuivre leurs activités, mais ils sont également recrutés par les services de sécurité.

Notre enquête sur Maksim Yakubets a commencé dans un endroit improbable - un terrain de golf à environ deux heures de Moscou.

C'est là qu'a eu lieu son mariage spectaculaire en 2017, dont la vidéo a ensuite été largement partagée.

Fait révélateur, le visage de Yakubets n'apparaît jamais sur la séquence, filmée par une société de production de vidéos de mariage, mais on peut le voir danser au son d'une musique interprétée en direct par un célèbre chanteur russe, sous un magnifique spectacle de lumières.

Crédit photo, National Crime Agency Légende image, Le mariage de Maksim Yakubets a coûté environ 600 000 $.

L'organisatrice de mariage Natalia n'a pas voulu donner de détails sur le grand jour de Yakubets, mais elle nous a fait visiter certains des lieux clés, notamment un bâtiment à piliers creusé dans les collines près d'un lac.

"C'est notre salle exclusive", a-t-elle dit. "Les jeunes mariés aiment s'y rendre pour des séances de photos et de romance".

Alors que nous étions conduits en voiture de golf, j'ai fait quelques calculs. D'après ce qu'on nous disait, ce grand mariage aurait coûté beaucoup plus que les estimations que j'avais entendues auparavant, soit environ 250 000 $. Le prix était potentiellement plus proche d'un demi-million de dollars, voire de 600 000 dollars.

Nous ne savons pas comment ce jour spécial a été payé, mais si Yakubets a payé la facture, cela montre à quel point son style de vie est somptueux.

Crédit photo, US Department of Justice Légende image, Igor Turashev est accusé d'être un administrateur système pour Evil Corp.

Igor Turashev, 40 ans, ne garde pas non plus un profil bas.

Grâce aux archives publiques, mon collègue Andrei Zakharov, le cyber-reporter de la BBC Russie, a trouvé trois sociétés enregistrées à son nom.

Toutes ont des bureaux dans la prestigieuse Federation Tower de Moscou, un gratte-ciel brillant du quartier financier qui ne dépareillerait pas à Manhattan ou au Canary Wharf de Londres.

Une réceptionniste perplexe cherche un numéro de téléphone et constate que les bureaux n'en ont pas. Elle trouve cependant un téléphone portable au nom de la société et nous le passe.

Nous l'appelons et attendons. Une chanson de Frank Sinatra a été diffusée pendant environ cinq minutes, puis quelqu'un a finalement décroché, donnant l'impression d'être dans une rue très fréquentée, avant de raccrocher lorsque nous avons dit que nous étions des journalistes.

Comme l'a expliqué Andrei, Turashev n'est pas recherché en Russie, donc personne ne l'empêche de louer cet espace de bureau coûteux en centre-ville.

Il est peut-être aussi pratique pour lui de se trouver parmi des sociétés financières, dont certaines traitent des crypto-monnaies, comme le bitcoin, qu'Evil Corp aurait collectées auprès de victimes de ransomware - pour une valeur de 10 millions de dollars dans un des cas.

Un rapport de Bloomberg s'appuyant sur les recherches de Chainalysis, un cabinet d'analyse de bitcoins, affirme que la Federation Tower abrite de nombreuses sociétés de crypto-monnaies qui agissent comme des "distributeurs automatiques de billets pour les cybercriminels".

Nous avons essayé deux autres adresses liées à Turashev et à un autre personnage clé d'Evil Corp appelé Denis Gusev, et avons fait de nombreuses approches par téléphone et par e-mail, mais personne n'a répondu.

Andrei et moi avons passé beaucoup de temps à essayer de trouver le lieu de travail de Maksim Yakubets.

Il était directeur de l'entreprise d'aliments pour bétail de sa mère, mais il ne semble pas avoir d'entreprise ou d'employeur enregistré.

Ce que nous avons trouvé, en revanche, ce sont des adresses où il pourrait encore vivre, alors un soir nous sommes allés y frapper.

À l'une d'elles, un homme a ri par l'interphone lorsque nous avons expliqué d'où nous venions.

"Maksim Yakubets n'est pas là. Il n'est pas venu ici depuis probablement 15 ans. Je suis son père", a-t-il dit.

À notre grande surprise, Yakubets senior est alors sorti dans le couloir et nous a accordé une interview passionnée de 20 minutes devant la caméra, condamnant avec colère les autorités américaines pour avoir inculpé son fils.

La récompense de 5 millions de dollars américains pour l'arrestation de son fils - la prime la plus élevée jamais offerte pour un cybercriminel nommé - a conduit la famille à vivre dans la crainte d'une attaque, a déclaré M. Yakubets, exigeant que nous publiions ses propos.

"Les Américains ont créé un problème pour ma famille, pour de nombreuses personnes qui nous connaissent, pour nos proches. Quel était le but ? La justice américaine s'est transformée en justice soviétique. Il n'a pas été questionné, il n'a pas été interrogé, il n'y a pas eu de procédures qui auraient pu prouver sa culpabilité."

Il a nié que son fils soit un cybercriminel. Quand je lui ai demandé comment il pensait être devenu si riche, il a ri, disant que j'exagérais le prix du mariage et que les voitures de luxe étaient louées. Le salaire de Maksim était plus élevé que la moyenne, a-t-il dit, car "il travaille, il est payé, il a un emploi".

"Que fait-il comme travail alors ?" J'ai demandé.

"Pourquoi devrais-je te le dire ?" a-t-il répondu. "Et notre vie privée ?"

Il a dit qu'il n'avait pas eu de contact avec son fils depuis l'inculpation, et qu'il ne pouvait donc pas nous mettre en contact avec lui.

Yakubets et Turashev font partie de la liste de plus en plus longue des citoyens russes frappés de cyber-sanctions, alors que l'Occident s'efforce de répondre aux cyber-attaques.

Le nombre de personnes et d'organisations russes sanctionnées et inculpées est supérieur à celui de toutes les autres nationalités.

Les inculpations empêchent les pirates de voyager à l'étranger, tandis que les sanctions gèlent leurs avoirs en Occident et leur interdisent de faire des affaires avec des entreprises occidentales.

L'année dernière, l'Union européenne a commencé à émettre des cyber-sanctions, suivant en cela l'exemple des États-Unis, et ce sont principalement des Russes qui ont été cités sur cette liste.

La grande majorité des personnes figurant sur ces listes auraient des liens directs avec l'État russe et pirateraient dans le but d'espionner, de projeter du pouvoir ou d'exercer des pressions. Si tous les pays se piratent mutuellement, les États-Unis, l'Union européenne et leurs alliés affirment que certaines des attaques russes dépassent les limites de l'acceptable.

Certains des hommes sont accusés d'avoir provoqué des pannes d'électricité généralisées en Ukraine en piratant des réseaux électriques.

D'autres sont recherchés pour avoir tenté de pirater une installation d'essai d'armes chimiques à la suite des empoisonnements de Salisbury.

Le Kremlin nie toutes les accusations, les qualifiant régulièrement d'hystérie occidentale et de "russophobie".

Comme il n'existe pas de règles claires sur ce qui constitue un piratage acceptable pour un État-nation, nous avons délibérément concentré notre enquête sur les individus accusés d'être des criminels, qui piratent dans un but lucratif.

Les cyber-sanctions contre les pirates informatiques "criminels" fonctionnent-elles ?

En parlant avec le père de Yakubets, il semble que les cyber-sanctions aient un certain impact - au moins, elles l'ont rendu furieux.

Cependant, Evil Corp ne semble pas avoir été affecté.

Des chercheurs en cyber sécurité affirment que l'équipe mène toujours des cyberattaques lucratives contre des cibles principalement occidentales.

La "règle d'or" du piratage russe, selon les chercheurs et les anciens pirates, est que vous pouvez pirater qui vous voulez, en tant que pirate criminel non employé par l'État, tant que les victimes ne se trouvent pas dans les territoires russophones ou les anciens territoires soviétiques.

Cette règle semble fonctionner, car les chercheurs en cyber sécurité constatent depuis de nombreuses années une diminution des attaques dans ces pays. Ils ont également constaté que certains logiciels malveillants sont conçus pour éviter les ordinateurs dont le système est en langue russe.

Lilia Yapparova, journaliste d'investigation travaillant pour Meduza, l'un des rares organes de presse indépendants du pays, estime que la règle d'or est utile aux services de renseignement, qui peuvent alors exploiter les compétences que les pirates ont développées en travaillant pour eux-mêmes.

"Il est plus utile pour le FSB d'enrôler des hackers en Russie que de les mettre en prison. L'une de mes sources, qui est un ancien officier du FSB, m'a dit qu'il avait personnellement essayé d'enrôler certains des gars d'Evil Corp pour travailler pour lui", dit-elle.

Les États-Unis affirment que Maksim Yakubets et d'autres hackers recherchés - dont Evgeniy Bogachev, dont la prime pour son arrestation s'élève à 3 millions de dollars - ont travaillé directement pour les services de renseignement.

Ce n'est peut-être pas une coïncidence si le beau-père de Yakubets, que l'on voit dans la vidéo du mariage, est un ancien membre de haut niveau du FSB.

Nous avons demandé au gouvernement russe de commenter le fait que les pirates informatiques semblent opérer librement en Russie, mais nous n'avons reçu aucune réponse.

Lorsque le président Vladimir Poutine a été interrogé à ce sujet lors du sommet de Genève cet été, il a nié que des attaques très médiatisées provenaient de son pays et a poursuivi en affirmant que la plupart des cyberattaques provenaient des États-Unis. Il a toutefois déclaré qu'il collaborerait avec les États-Unis pour "rétablir l'ordre".

Au cours des six derniers mois, les États-Unis et leurs alliés sont allés au-delà des cyber-sanctions et ont commencé à employer une tactique bien plus agressive.

Ils ont commencé à riposter aux gangs de cybercriminels et ont réussi à mettre certains d'entre eux hors ligne, du moins temporairement.

À deux reprises, les pirates du gouvernement américain ont même réussi à récupérer des millions de dollars en bitcoins volés aux victimes.

Dans le cadre d'une action internationale impliquant Europol et le ministère américain de la justice, des pirates présumés ont également été arrêtés en Corée du Sud, au Koweït, en Roumanie et en Ukraine.

Cette activité a conduit certaines grandes bandes de rançongiciels, que l'on croyait basées en Russie, à cesser leurs activités. REvil, Blackmatter et DarkSide ont tous annoncé sur des forums qu'ils cessaient leurs activités en raison des opérations de répression.