Trois semaines après que la Russie a commencé à larguer des bombes sur l’Ukraine fin février, un jeune programmeur informatique talentueux du nom de Mark Sokolovsky est monté dans une Porsche Cayenne avec sa petite amie pour s’éloigner des combats.
Le duo a traversé la Pologne puis l’Allemagne, avant de s’arrêter aux Pays-Bas, où ils pensaient être en sécurité. Ils ne savaient pas que le Federal Bureau of Investigation des États-Unis et les enquêteurs en Europe les surveillaient depuis le début.
Sokolovsky, 26 ans, avait été nommé à la fin de l’année dernière dans un acte d’accusation scellé devant un tribunal fédéral du Texas qui alléguait qu’il était un personnage clé derrière un type de malware omniprésent connu sous le nom de Raccoon Infostealer qui, selon les procureurs, a infecté des millions d’ordinateurs dans le monde, volant les informations d’identification financières et l’argent d’un nombre incalculable de victimes.
Quelques jours après que Sokolovsky soit entré dans le pays, la police néerlandaise est intervenue et l’a arrêté à Amsterdam pour fraude informatique, fraude électronique, blanchiment d’argent et vol d’identité. Il risque plus de 20 ans de prison s’il est reconnu coupable et est resté en détention aux Pays-Bas tout en combattant une procédure d’extradition qui l’enverrait aux États-Unis.
Les messages laissés à Niels Van Schaik, l’avocat néerlandais représentant Sokolovsky dans sa procédure d’extradition, n’ont pas été immédiatement renvoyés.
L’existence de l’affaire était restée sous scellés jusqu’à la semaine dernière, lorsque les autorités ont annoncé l’arrestation de Sokolovsky dans le cadre d’un effort visant à retrouver d’éventuelles victimes. Après son arrestation, les enquêteurs ont déclaré avoir réussi à casser un cache géant de données volées, s’élevant à des millions d’adresses e-mail et de connexions.
Dans le cadre de leur annonce, les procureurs et le FBI ont annoncé la création d’un site Web, où les personnes qui soupçonnent qu’elles pourraient être des victimes peuvent vérifier si leurs informations figurent parmi les données récupérées par les enquêteurs.
« Il s’agit d’une affaire mondiale très, très importante », a déclaré Ashley Hoff, l’avocate américaine du district ouest du Texas, où l’affaire a été déposée.
« On vole, vous dealez »
Raccoon Infostealer est une classe de programme de plus en plus populaire appelée Malware-as-a-Service ou MaaS. Cela signifie que les programmeurs qui l’ont développé ne volent généralement pas les informations des gens eux-mêmes, mais accordent une licence au logiciel à d’autres cybercriminels qui l’utilisent pour arnaquer les gens. Une copie de toutes les informations volées a également été conservée par les opérateurs de Raccoon.
Comme tout type de logiciel légitime, ceux derrière Raccoon Infostealer offraient un support client 24 heures sur 24 et publiaient des mises à jour de programmation fréquentes, selon les experts en cybercriminalité. Le coût était de 75 $ par semaine ou 200 $ par mois.
Raccoon Infostealer est apparu pour la première fois au début de 2019 et a d’abord été proposé à la vente sur des plateformes de langue russe populaires auprès des cybercriminels et plus tard également sur des plateformes de langue anglaise. S’affichant avec le slogan « Nous volons, vous traitez », il a fait un tabac et est rapidement arrivé sur le radar des experts en cybersécurité.
« Comme il était distribué en tant que MaaS ou Malware-as-a-Service, il n’était pas utilisé par un seul acteur ou groupe de menaces, mais par plusieurs cybercriminels, il était donc assez répandu », a déclaré Oleg Skulkin, de Group-IB, un entreprise de cybersécurité basée à Singapour. « Pour la plupart des cybercriminels, il est beaucoup plus facile d’acheter ou de louer des logiciels malveillants. C’est simplement moins cher.
En mars, peu de temps après l’arrestation de Sokolovsky, les opérateurs de Raccoon ont envoyé un message aux clients disant qu’ils devaient fermer car la guerre de la Russie en Ukraine avait perturbé les opérations.
« Malheureusement, en raison de l' »opération spéciale », nous devrons fermer notre projet Raccoon Stealer », a déclaré le groupe. « Les membres de notre équipe qui étaient responsables des composants critiques du produit ne sont plus avec nous. Merci pour cette expérience et ce temps, pour chaque jour, malheureusement tout, tôt ou tard, la fin du monde arrive à tout le monde.
Le président russe Vladimir Poutine, en particulier au début de l’invasion à grande échelle de l’Ukraine, a insisté – sous la menace d’une peine de prison importante – pour qu’il ne s’agisse pas d’une invasion ou d’une guerre, mais d’une « opération spéciale ».
Alors que de nombreux acteurs de la cybersécurité ont interprété le message d’arrêt de Raccoon comme signifiant que des programmeurs clés avaient été tués au début des combats, il se peut qu’il s’agisse plutôt d’une référence à l’arrestation de Sokolovsky.
Les opérateurs de Raccoon n’ont pas immédiatement renvoyé un message sollicitant des commentaires, mais ont publié une déclaration à la suite de l’annonce de l’arrestation de Sokolovsky la semaine dernière selon laquelle ils ne le connaissaient pas personnellement et que, lorsqu’il a disparu en mars, « bien sûr, nous avons pensé au pire ».
Quelques mois plus tard, une nouvelle version du logiciel désormais compromis a été relancée, avec quelques ajustements critiques à sa programmation, ont déclaré des experts.
En fuite
Sokolovsky est originaire de la ville de Kharkiv dans l’est de l’Ukraine et y a fréquenté l’université. Au début de la guerre, la ville subit de violents bombardements par les forces russes.
Les troupes ukrainiennes ont fait des avancées dans des pans entiers de sa région de Kharkiv et ont repris les villes tenues par la Russie. Le ministère russe de la Défense a déclaré samedi qu’il retirait ses forces des zones clés de la région. Photo : Juan Barreto/AFP/Getty Images
Selon un compte rendu sur le blog géré par Brian Krebs, journaliste et analyste respecté en matière de cybersécurité, les autorités ont pu connecter Sokolovsky à Raccoon via son AAPL iCloud,
compte, qui avait été utilisé pour configurer certains comptes liés au programme malveillant.
Cela a permis aux autorités de suivre les mouvements de Sokolovsky, a rapporté Krebs. Cela leur a également permis de récupérer une photographie de Sokolovsky tenant une pile d’argent géante à côté de son visage de bébé.
Pendant des mois, les enquêteurs ont observé Sokolovsky faire des allers-retours entre Kharkiv et Kiev, la capitale ukrainienne. Mais ensuite, fin mars, il est arrivé en Pologne près de la frontière avec l’Allemagne. Une photo a été prise de Sokolovsky conduisant en Allemagne dans une Porsche Cayenne avec sa petite amie sur le siège passager.
À l’époque, les hommes ukrainiens de moins de 60 ans n’étaient pas autorisés à partir car ils étaient enrôlés pour combattre les envahisseurs russes. Les enquêteurs pensent donc que Sokolovsky a peut-être soudoyé sa sortie du pays, a rapporté Krebs.
Quelques jours plus tard, les autorités ont pu se concentrer sur Sokolovsky à Amsterdam après que sa petite amie ait publié des photos d’eux ensemble sur Instagram, a rapporté Krebs.
En septembre, un tribunal néerlandais a accepté la demande américaine d’extradition de Sokolovsky vers le Texas pour faire face à des accusations, mais il a depuis fait appel de la décision.
Portée mondiale
Les procureurs disent que si Sokolovsky a joué un rôle clé dans le développement du programme, il avait plusieurs complices. L’enquête a été aidée par les autorités italiennes et néerlandaises, ont indiqué les procureurs.
Parmi les données récupérées par le FBI figuraient quelque 50 millions d’informations d’identification uniques, notamment des adresses e-mail, des identifiants de compte bancaire, des adresses de crypto-monnaie et des numéros de carte de crédit, ont déclaré les procureurs. Ils disent qu’ils ne croient pas avoir trouvé toutes les données volées via Raccoon Infostealer et continuent d’enquêter.
Certaines des données récupérées comprenaient des informations de connexion pour plusieurs sociétés américaines et pour des membres de l’armée ayant accès aux systèmes des forces armées, selon des documents judiciaires.