Démantèlement d’un gang de cybercriminels aux 41 000 victimes
Démantèlement d’un gang de cybercriminels aux 41 000 victimes
Le Monde.fr avec AFP et AP
Grâce à une organisation robuste et un logiciel espion, ces onze ressortissants d’Europe de l’Est, dont certains sont en fuite, sont suspectés d’avoir dérobé près de 90 millions d’euros.
Près de 90 millions d’euros et plus de 41 000 victimes : c’est le tableau de chasse vertigineux attribué à un gang de cybercriminels, dont le démantèlement a été annoncé jeudi 16 mai par Europol, l’agence européenne de coopération entre les polices criminelles.
Ce gang était composé d’une dizaine de membres. Cinq d’entre eux, des ressortissants russes, sont encore dans la nature. L’un d’entre eux avait pourtant été arrêté en 2016 alors qu’il passait des vacances au Sri Lanka. Libéré sous caution, il a faussé compagnie aux autorités du pays et regagné la Russie, peut-être aidé par des émissaires venus de Moscou.
Enregistrement de la saisie au clavier
Le mode opératoire de ce gang était simple mais redoutablement efficace : l’un d’entre eux avait développé un logiciel espion, appelé Goznym, qui enregistrait tout ce que sa victime tapait sur son clavier. Les pirates parvenaient ainsi à récupérer les identifiants bancaires, avant de s’en servir pour accéder à leurs comptes. De là, ils viraient indûment des fonds vers des comptes qu’ils contrôlaient puis blanchissaient les sommes obtenues, notamment à travers des portefeuilles en bitcoins, la monnaie électronique.
Goznym était diffusé par le biais d’envois massifs de courriels piégés. « Les victimes sans méfiance pensaient qu’elles cliquaient sur une simple facture mais donnaient en fait accès aux pirates informatiques à leurs informations les plus sensibles », a expliqué Scott Brady, le procureur américain chargé de l’affaire. Les victimes sont principalement des entreprises et des institutions financières situées en Europe ou aux Etats-Unis. On trouve par exemple une église texane, un haras du Kentucky ou un casino du Mississippi.
Un gang dirigé par un Géorgien de 35 ans
Plutôt que de faire venir les suspects devant la justice américaine, un processus incertain qui nécessite de délicates tractations avec les pays dans lesquels ils résident, les Etats-Unis ont choisi de transmettre des éléments permettant l’ouverture d’une procédure judiciaire sur place. La justice de quatre pays – Géorgie, Ukraine, Moldavie et Etats-Unis – se penche donc désormais sur le cas des onze membres présumés du gang.
Aux Etats-Unis, de très lourdes charges pèsent contre les membres suspectés du groupe, puisque dix d’entre eux ont été inculpés pour piratage, fraude bancaire et blanchiment d’argent. Le onzième suspect, un Bulgare, a déjà été arrêté par les Etats-Unis et a plaidé coupable. Il doit connaître sa peine fin août. Selon la justice américaine, le réseau était dirigé par un Géorgien de 35 ans, Alexander Konovolov, qui aurait recruté ses associés sur un forum criminel russophone. Originaire de Tbilissi, il a été arrêté en Géorgie.
Un Ukrainien était chargé de l’hébergement du programme malveillant. Outre Goznym, il avait pour tâche de stocker vingt autres souches de virus. Cette infrastructure, utilisée par 200 cybercriminels et surnommée Avalanche, a été démantelée fin 2016. Son responsable a été arrêté par la police ukrainienne, non sans avoir tiré au fusil d’assaut sur les fonctionnaires venus l’appréhender.
Le développeur du virus est toujours introuvable
Le document d’inculpation de la justice américaine montre une équipe parfaitement organisée : un deuxième Ukrainien était responsable du blanchissement de l’argent via des porte-monnaie en bitcoins et un Moldave était chargé de rendre le virus indétectable des logiciels de protection.
Le développeur de Goznym fait partie des suspects en fuite. Identifié comme Vladimir Gorin, il se trouverait en Russie, qui a refusé de l’extrader vers les Etats-Unis. Parmi les autres fugitifs, le responsable de la distribution du malware via des e-mails piégés et son complice, chargé d’extraire les fonds des comptes des victimes. Le Russe ayant fui le Sri Lanka était lui aussi responsable du blanchiment de l’argent obtenu.
Les arrestations et les inculpations annoncées ce jeudi découlent directement du démantèlement, en 2016, du réseau Avalanche, qui a semble-t-il permis aux enquêteurs de récupérer de grandes quantités de données sur divers groupes cybercriminels. Il faut donc s’attendre, dans les mois qui viennent, à d’autres arrestations.