Bienvenue à la troisième partie de l’histoire de l’affilié, un véritable cybercrime. Dans la première et la deuxième parties, nous avons passé en revue la façon dont fonctionne généralement les groupes criminels qui utilisent les rançongiciels, comment les organisations découvrent qu’elles ont été la cible d’une attaque au rançongiciel NetWalker et comment des individus s'impliquent dans des organisations criminelles. Dans cet épisode, vous apprendrez comment fonctionne un serveur international et comment ces derniers ont été utilisés par l’affilié dont il est question dans cette histoire.

Pour lire la première partie, cliquez ici.

Pour lire la deuxième partie, cliquez ici.

Comment être anonyme

Si quelqu’un tente de commettre un crime, l’une de ses principales priorités, si ce n’est pas sa priorité n° 1, devrait être de ne pas se faire prendre. C’est pourquoi l’utilisation d’un serveur international lui serait utile, car celui-ci permet de commettre des activités illicites à partir d’un autre pays. Tout ce que vous recherchez sur Internet se fait via un serveur qui suit et enregistre cet historique, c’est pourquoi si l’on soupçonne que vous avez commis un crime, les autorités peuvent contacter votre fournisseur de services Internet et saisir vos appareils électroniques pour vérifier en détail ce que vous avez fait.

Alors, quels sont les avantages de l’utilisation d’un serveur international? D’une part, ils sont assez faciles à obtenir. Une simple recherche en ligne offre de multiples options pour les personnes qui espèrent dissimuler leurs actions en ligne de toute surveillance. Deux des principales raisons pour lesquelles une personne chercherait à utiliser un serveur international sont de protéger son anonymat et d’éviter la censure qui peut exister dans le pays où elle réside. Cette personne chercherait à utiliser un serveur dans des pays qui ont des réglementations strictes en matière de protection de la vie privée et qui présentent des points de vue libéraux à l’égard des politiques de censure. Ce serait également une bonne idée de rechercher le pays où se situe le serveur que vous désirez utiliser pour savoir si des traités sur l'échange d'information existent entre ce pays et votre pays de résidence, par exemple (nous reviendrons sur ce point un peu plus loin).

Si l’objectif est d’être invisible sur Internet, l’affilié a fait un assez bon travail pour couvrir ses traces. Premièrement, comme nous l’avons expliqué dans la deuxième partie de cette série, en communiquant avec les organisations ciblées par l’entremise d’un panneau Tor, il aurait dû être plus difficile pour les autorités de suivre ses activités sur Internet. Le fait que les membres de NetWalker n’utilisaient pas non plus leurs véritables noms, mais utilisaient un nom d’utilisateur, a rendu encore plus difficile le suivi de leur identité. Cependant, l’affilié a commis une erreur fatale qui a aidé les autorités à le retrouver.

Se cacher derrière un serveur international

Lorsque le FBI a pris connaissance des activités criminelles de Vachon Desjardins, une surveillance a été effectuée contre le premier serveur international qu’ils croyaient être en sa possession. Ce serveur contenait « une abondance d’outils de piratage, y compris ceux utilisés pour préformer la reconnaissance, élever les privilèges et voler des informations d’un ordinateur ou d’un réseau ». Le serveur contenait également ce qu’on appelle une « construction », soit des dossiers contenant des progiciels de rançongiciels personnalisés prêts à être déployés contre des organisations ciblées. Grâce à son enquête, le FBI a constaté que chaque dossier ou « construction » contenait « tous les outils nécessaires pour exécuter une attaque au rançongiciel » qui pourraient lier l’affilié aux organisations ciblées que nous analyserons dans la quatrième partie de cette série. Les enquêteurs du FBI ont trouvé 12 constructions sur le premier serveur seul.

Cependant, ce n’était pas le seul serveur utilisé par l’affilié. Les enquêteurs du FBI ont découvert un deuxième serveur international grâce à de fausses adresses courriel qui l’ont lié au serveur. C’est grâce à l’historique Web contenu sur ce serveur que les enquêteurs ont découvert que le nom d’utilisateur User ID 128 de NetWalker (ou l’affilié) s’était inscrit sur le forum NetWalker dont nous avons discuté dans la deuxième partie de cette série.

Grâce à son enquête, le FBI a déterminé que les serveurs internationaux 1 et 2 étaient liés à un fournisseur de télécommunications en Pologne; les enquêteurs ont donc fait référence à ces serveurs sous les noms de « Poland Server #1 » et « Poland Server #2 » (serveurs polonais 1 et 2). Et c’est là que l’affilié a fait sa première erreur. En raison du traité d’entraide juridique qui existe entre la Pologne et les États-Unis, le FBI a pu demander des copies officielles de ces serveurs, ce qui a été fourni par les autorités polonaises en septembre 2020. Un traité d’entraide juridique est un accord entre deux pays ou plus qui stipule que les pays concernés coopéreront, partageront et échangeront des informations dans un but commun de justice. Vous ne voulez donc pas avoir affaire à ce type de traité si vous commettez des crimes en ligne et tentez de couvrir vos traces.

Une fois que les enquêteurs du FBI ont eu accès aux deux serveurs polonais, ils ont effectué une analyse médico-légale sur ces derniers. Il semblerait, sur la base des preuves compilées par le FBI, que l’affilié avait tenté d’effacer le contenu du premier serveur, mais qu’il ait malheureusement oublié de vider la corbeille. La corbeille de Poland Server #1 contenait des données qui pouvaient lier l’accusé aux attaques menées contre trois des cinq organisations ciblées dont nous discuterons dans la quatrième partie de cette série.

Alors que le FBI poursuivait son enquête sur le panneau NetWalker Tor et le blogue NetWalker, les enquêteurs ont été en mesure de localiser un troisième serveur international hébergeant des données en Bulgarie, le Bulgaria Server. Et c’est là que l’affilié a commis une autre erreur. La Bulgarie a également un traité d’entraide juridique avec les États-Unis, ce qui signifie que les enquêteurs du FBI ont pu recevoir une copie du serveur bulgare en septembre 2020. Ils ont constaté que l’affilié utilisait ce serveur pour alimenter le panneau et le blogue NetWalker Tor.

Le serveur de Bulgarie est devenu une ressource indispensable pour découvrir l’étendue de l’implication de l’affilié avec le panneau Tor et le blogue NetWalker. Un analyste médico-légal du FBI a constaté que le serveur bulgare « semble être le serveur dorsal » du panneau Tor et du blogue. Un serveur dorsal contient généralement « toutes les informations brutes utilisées pour exécuter un site Web », ce qui signifie que l’affilié a probablement joué un rôle important dans l’exécution de panneau Tor et du blogue NetWalker.

Le serveur de Bulgarie contenait des informations détaillées relatives au blogue NetWalker, par exemple la date de création des entrées de blogue, et près de 500 captures d’écran d’informations sensibles qui avaient été volées à des organisations ciblées. Grâce à son enquête, le FBI a conclu que 302 de ces captures d’écran pouvaient être liées à l’affilié à travers les métadonnées de ces captures d’écran, et qu’il était l’auteur ou le créateur de 73 d'entre elles. Selon un document divulgué publiquement par le FBI, « les métadonnées peuvent inclure la date à laquelle un fichier a été créé ou modifié, l’identité de l’utilisateur qui a créé ou le fichier modifié ou qui y a accédé, l’emplacement où le fichier a été créé, ainsi que d’autres informations ». Malheureusement, tous les fichiers ne contiennent pas toutes les formes possibles de métadonnées et ces métadonnées peuvent être supprimées partiellement ou en totalité.

Restez à l’affût pour lire la quatrième partie de cette série où nous passerons en revue les 5 organisations qui ont été ciblées par le rançongiciel NetWalker et comment elles sont liées à l’affilié.

Plus vous en savez

Comprendre ce qui motive les criminels, qui ils sont et comment ils travaillent est essentiel pour assurer la résilience des organisations. S’informer contribue à rendre la cybersécurité plus tangible pour les gens ordinaires et permet aux individus et aux organisations d'élaborer des plans pour mieux se protéger contre les menaces en ligne. Partagez cette série pour aider plus de gens à comprendre la criminalité au 21e siècle et apprendre comment se protéger.