"Business Club", un cybergang qui a volé 100 millions de dollars aux banques européennes


  • FrançaisFrançais


  • Suivez-nous sur notre page Facebook et notre canal Telegram


    Business Club est un cybergang d’un nouveau genre. Des ramifications internationales, une organisation digne du film Ocean Eleven et près de 100 millions de dollars dérobés en quelques années.

    Une nouvelle enquête sur un cybergang de l’Europe de l’Est qui a dérobé près de 100 millions de dollars à des banques et des entreprises européennes. L’analyse propose une plongée dans un véritable Business Club qui possède des tentacules dans le cyber espionnage et des entreprises fantômes chinoises situées dans l’est de la Russie. En été 2015, le département américain de la justice a rejoint plusieurs agences internationales et des firmes de sécurité pour démanteler le botnet Gameover ZeuS. Ce dernier est une attaque sophistiquée qui a infecté environ 500 000 PC à travers le monde.

    Si vous avez apprécié cet article, soutenez-moi sur Patreon ou Buy me a coffee Vous recevrez chaque semaine du contenu exclusif et des réponses à vos questions. Merci ! 😊

    Des milliers de cybercriminels freelances ont utilisé une forme commerciale du malware bancaire ZeuS pour siphonner des fonds provenant de banques et d’entreprises occidentales. Mais le Gameover ZeuS est une version personnalisée qui a été conçue par le développeur en personne de ZeuS. On avait prétendu que ce développeur était à la retraite, mais le Gameover ZeuS fonctionnait à pleine puissance et il était réservé à des pirates faisant partie d’un club d’élite. Pendant des années, ce Gameover ZeuS a permis aux pirates de voler des millions de dollars. L’année dernière, le démantèlement de Gameover ZeuS a été possible lorsque le FBI a mis une récompense de 3 millions de dollars sur l’auteur de ce Malware. Ce dernier serait un programmeur russe du nom de Evgeniy Mikhailovich Bogachev qui utilisait le pseudo de Slavik. Mais en dépit de l’implication de toutes ces agences gouvernementales, on savait très peu de choses sur cette opération. Mais cela a changé avec la publication d’un rapport en juillet 2015 par Fox-IT qui est une firme de sécurité basée aux Pays-Bas et qui a pu accéder à l’un des serveurs qui étaient utilisés par l’un des membres de ce cybergang. Le serveur était utilisé pour lancer des cyber-attaques, mais il contenait aussi des Chat Logs entre les principaux leaders de ce cybergang. Et cela a permis de comprendre le fonctionnement de ce groupe d’élite.

    Le “Business Club”

    Evgeniy-Mikhailovich-Bogachev

    Les chat Logs montrent que ce cybergang se faisait appeler le “Business Club”et le noyau dur était composé d’une demi-douzaine de personnes. Mais ce noyau était supporté par un réseau de 50 personnes. Ce cybergang était un vrai Ocean Eleven, car chaque participant apportait sa spécialité sur la table. Par exemple, on avait des techniciens qui proposaient des supports 24/7, des fournisseurs de Malwares ainsi que ceux qui étaient des mules d’argent. Les mules d’argent ressemblent aux mules de drogue sauf qu’elles sont entrainées à blanchir et transporter les fonds.

    Fox-It nous dit qu’il y avait un abonnement d’entrée pour les nouveaux membres du “Business Club” et chacun recevait un partage équitable des profits. La relation entre les principaux leaders et les clients se basaient sur la confiance. De ce fait, aucun membre n’avait un accès complet au club, mais c’était un processus progressif selon les succès et la fidélité des membres. Michael Sandee, le principal expert de sécurité de Fox-It et auteur du rapport a déclaré que Bogachev et plusieurs principaux leaders étaient situés aux environs de Krasnodar, une région tempérée de la Russie sur la mer Noire. Mais ce cybergang avait des membres dans toute la Russie.

    La diversité géographique a permis au groupe de travailler dans une forme bureaucratique. En général, ils étaient actifs aux heures de bureau (9 h à 17 h) du lundi au vendredi. Le matin, ils vidaient les banques australiennes et asiatiques, l’après-midi, ils passaient aux banques européennes et en début de soirée, le cybergang tentait de siphonner les banques américaines puisque cela coïncidait avec leurs horaires d’ouverture. Selon Sandee, le cybergang évoluait avec les fuseaux horaires et ils attaquaient les banques américaines en fin de journée.

    Les zones d'activité du Business Club.

    Les zones d’activité du Business Club.

    Les membres “Business Club” avaient accès au panneau de contrôle de GameOver ZeuS pour intercepter les transactions bancaires en attaquant les victimes. Les attaques étaient multiples et on avait les failles sur des Tokens qui étaient valables une seule fois ainsi que les questions secrètes et leurs réponses. Le GameOver ZeuS leur permettait de contourner ces protections avec une facilité déconcertante. Le cybergang avait surnommé l’interface de GameOver ZeuS comme le World Bank Center et la description disait : Nous jouons avec vos banques.

    Des banques chinoises et des entreprises russes

    L'interface du Gameover ZeuS.

    L’interface du Gameover ZeuS.

    En plus de vider les banques, certains membres du “Business Club” étaient chargés de transférer et blanchir l’argent. En avril 2011, le FBI a émis une alerte sur le fait que des cybercriminels avaient volé près de 20 millions de dollars à de petites et moyennes entreprises américaines en 2010. La plupart des vols se basaient sur des virements bancaires frauduleux qui étaient envoyés à des entreprises chinoises qui étaient situées sur la frontière de la Russie.

    Après cette alerte, le FBI a déclaré que les destinataires de ces fonds frauduleux étaient des entreprises basées dans la province chinoise de Heilongjiang. Ces entreprises étaient enregistrées dans les villes portuaires qui se trouvaient dans la frontière russo-chinoise. Le FBI a déclaré que le nom de ces entreprises ressemblait à des villes portuaires chinoises telles que Raohe, Fuyuan, Jixi City, Xunke, Tongjiang et Donging. Et ces sociétés ajoutaient les termes trade , economic ou LTD pour paraitre plus professionnelles. Ces entreprises avaient des comptes bancaires chez l’Agricultural Bank of China, l’Industrial and Commercial Bank of China et la Bank of China. Fox-It a déclaré que les documents du cybergang ont révélé que des membres avaient créé des entreprises de livraison et de téléphonie dans la province de Heilongjiang, notamment dans les villes de Raohe county et Suifenhe qui sont situés dans la frontière russo-chinoise au nord de Vladivostok.

    Transfert de fonds de comptes piratés vers des entreprises chinoises.

    Transfert de fonds de comptes piratés vers des entreprises chinoises.

    Des reçus de versement découverts par Fox-It montrent des informations sur des virements bancaires que le Business Club a effectués depuis des comptes bancaires piratés en Europe et aux États-Unis jusqu’aux entreprises qu’on vient de citer. Sandee a déclaré que la zone autour de Suifenhe a commencé à se développer autour de plusieurs grands projets économiques. C’était le résultat d’une coopération entre la Chine et la Russie depuis le début de 2012. Le média Slate a publié un article en 2009 sur le fait que l’économie est dynamisée par des acheteurs russes sur des circuits touristiques. Et l’article note également une augmentation de la population des expatriés qui vivent dans la ville.

    Pour Fox-It : Il semble que ce climat économique favorable a incité les associés de ZeuS à créer des entreprises dans ces villes. C’était pour profiter des zones de libres-échanges dans ce secteur où la disponibilité de cash en grande quantité n’attire pas les soupçons. Et de nombreux cybercriminels dans le monde utilisent les mêmes techniques pour passer inaperçus. Mais ce ne sont pas uniquement des pirates russes qui sont concernés.

    Reçu de versement de Wachovia Bank vers une entreprise chinoise appelée Muling Shuntong Trading.

    Reçu de versement de Wachovia Bank vers une entreprise chinoise appelée Muling Shuntong Trading.

     

    Il existe également des entreprises américaines de cybercrime qui ont volé des millions de dollars et qui les ont envoyés à des entreprises chinoises.

    Du cybercrime au cyber-espionnage

    Les villes de Raohe et Suifenhe sur la flèche rouge.

    Les villes de Raohe et Suifenhe sur la flèche rouge.

    Le Business Club partageait les bénéfices entre ses différents membres. Mais on ignore comment fonctionnait ce partage de bénéfices. Cependant, Slavik, l’architecte de ZeuS et Gameover ZeuS, n’a pas partagé tous les détails de sa machine criminelle avec les autres membres. Selon Fox-It, le programmeur de Malware a converti une partie du botnet en un système d’espionnage décentralisé pour cibler des informations précises dans des machines situées en Georgie, en Turquie et en Ukraine. À partir de l’automne 2013, soit le début du conflit entre l’Ukraine et la Russie, Slavik a transformé le botnet en une machine d’espionnage. Il a commencé à viser des requêtes et des documents confidentiels sur des machines en Ukraine.

    Les requêtes et les documents montrent que Slavik cherchait des informations concernant le ministère des Affaires étrangères de la Turquie et la Turkish KOM qui était une unité spéciale de la police turque. Pour Sandee, il était clair que Slavik cherchait des informations sur le conflit de la Syrie dans la frontière Sud de la Turquie. On estime que la Russie livre des armes dans cette région. Sandee ajoute que toutes les requêtes concernaient des livraisons d’armes et des mercenaires russes. La Turquie était intéressée par ces informations et la Russie voulait savoir si la Turquie savait pour ces informations. Sandee estime que Slavik effectuait ces opérations dans le plus grand secret et que les autres membres du Business Club n’étaient pas au courant. En effet, plusieurs membres étaient des Ukrainiens et même s’ils étaient d’accord pour vider les comptes bancaires européens et américains, ils auraient refusé d’espionner leur propre pays.

    Pour le moment, Slavik semble intouchable puisqu’il bénéficie d’une protection privilégiée du gouvernement russe. C’est pourquoi il n’a jamais été arrêté et il ne semble pas inquiet que les firmes de sécurité et les agences gouvernementales connaissent ses agissements.

    Le rapport de Fox-IT est disponible en PDF.

     

    Si vous avez apprécié cet article, soutenez-moi sur Patreon ou Buy me a coffee Vous recevrez chaque semaine du contenu exclusif et des réponses à vos questions. Merci ! 😊

    Houssen Moshinaly

    Rédacteur en chef d'Actualité Houssenia Writing. Rédacteur web depuis 2009.

    Blogueur et essayiste, j'ai écrit 9 livres sur différents sujets comme la corruption en science, les singularités technologiques ou encore des fictions. Je propose aujourd'hui des analyses politiques et géopolitiques sur le nouveau monde qui arrive. J'ai une formation de rédaction web et une longue carrière de prolétaire.

    Pour me contacter personnellement :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *