Bienvenue à la cinquième partie de l’histoire de l’affilié, un véritable cybercrime. Dans les billets de blogue précédents, nous avons examiné l’histoire de NetWalker, le fonctionnement d’un groupe criminel qui utilise les rançongiciels en tant que logiciel-services, la façon dont Sébastien Vachon Desjardins, ou l’affilié, a tenté de dissimuler ses activités criminelles à travers des serveurs internationaux, et dans notre dernier blogue, les organisations qu’il a ciblées dans ses attaques. Dans ce billet de blogue, nous allons commencer à démêler comment le FBI a commencé à traquer l’affilié à travers les serveurs internationaux et ses multiples adresses courriel.

Si vous avez manqué la partie 1, cliquez ici.

Si vous avez manqué la partie 2, cliquez ici.

Si vous avez manqué la partie 3, cliquez ici.

Si vous avez manqué la partie 4, cliquez ici.

SERVEURS

Que faut-il pour traquer un cybercriminel, en particulier un individu qui utilise plusieurs méthodes pour dissimuler son identité? Eh bien, comme la plupart des criminels, il faut que celui-ci commette une erreur ici ou là, ce qui permet aux autorités à commencer à comprendre à qui ils ont affaire, d’où la personne mène ses opérations et comment l’attraper.

Comme nous l’avons vu dans la troisième partie de cette série, l’affilié a commis un certain nombre de ces erreurs. La première erreur qu’il a commise et qui a permis au FBI de le retrouver a été de choisir d’abriter ses serveurs dans des pays qui ont des traités d’entraide juridique avec les États-Unis.

Alors que les enquêteurs du FBI continuaient à fouiller le contenu du Poland Server #1, ils ont constaté qu’à l’époque des attaques contre les deux premières organisations ciblées, Poland Server #1 avait un accès non autorisé à leurs réseaux. Deux des douze constructions retrouvées sur Poland Server #1 pouvaient être associées à la première et à la deuxième organisation ciblée.

Ce fut Poland Server #2 qui a réellement aidé les enquêteurs à connecter les serveurs internationaux à l’affilié et à déterminer son identité. Grâce à la découverte d’un fichier nommé « 2png », les enquêteurs ont trouvé des captures d’écran de plusieurs fichiers, qui, selon leurs métadonnées, avaient été créés ou modifiés par l’affilié vers le mois de juin 2020.

Poland Server #2 abritait également des informations directement liées à la localisation de l’affilié. Vers le mois de juin 2020, la fonction de remplissage automatique de Google Chrome a montré que le serveur avait sauvegardé l’adresse domiciliaire de Vachon Desjardins à Gatineau, au Québec. Poland Server #2 contenait également des données à propos d’un colis que Vachon suivait à son adresse domiciliaire sur laquelle nous reviendrons plus tard.

Les données de l’historique Web sur Poland Server #2 ont fourni des détails sur le moment où l’affilié s’est inscrit sur le forum cybercriminel, Hack Forums, où le poste d’un affilié NetWalker avait été annoncé. Ce serveur a également lié l’affilié à deux adresses courriel qui étaient responsables du téléchargement des données volées à la troisième et à la quatrième organisation ciblée sur le blogue NetWalker.

Le serveur bulgare a donné aux enquêteurs du FBI des informations essentielles sur le fonctionnement interne du groupe criminel NetWalker. Il contenait des informations transactionnelles sur d’autres affiliées, telles que le moment où ces derniers avaient été actifs ou le nombre de constructions générées par ceux-ci. Le serveur révélait aussi que l’organisation criminelle avait amassé plus de 38 millions de dollars américains en paiements de rançon. L’affilié sur qui cette série se concentre était actif depuis le 13 avril 2020 et a été classé comme l’affilié le plus productif pour le paiement de rançons en Bitcoins, soit plus de 15 millions de dollars américains. Le FBI croit également qu’il se classe deuxième en nombre de constructions créées, avec 144 constructions.

COURRIELS

Les serveurs polonais abritaient la plupart des informations nécessaires pour lier l’affilié à de multiples adresses courriel utilisées pour télécharger les données des organisations ciblées. Pour les besoins de ce billet de blogue, nous ne nous concentrerons que sur trois comptes de messagerie : deux utilisant des pseudonymes ainsi que son adresse de messagerie personnelle comprenant son nom légal complet.

Et c’est là que l’affilié a fait un certain nombre de petites erreurs qui ont finalement conduit les enquêteurs du FBI jusqu’au pas de sa porte.

À peu près au moment où l’affilié a ciblé la troisième organisation, les enquêteurs ont découvert sur Poland Server #1 qu’il était connecté à un compte de messagerie en utilisant un pseudonyme faisant référence à un surnom utilisé par Gerald Brofloski, un personnage d’animation fictif de la série télévisée South Park. Un mandat de perquisition pour ce compte de courriel a été accordé et les autorités ont pu remonter jusqu’à Vachon Desjardins. L’une des façons dont les autorités ont pu connecter le compte de messagerie à l’affilié était un courriel envoyé de cette adresse à une adresse courriel portant son nom légal.

Peu de temps après la création du compte pseudonyme, le compte a reçu un courriel du Google Store indiquant qu’une commande passée par l’affilié pour un Google Home Mini avait été expédiée à son adresse personnelle. Les responsables du FBI ont pu vérifier qu’il s’agissait de l’adresse domiciliaire de Vachon Desjardins, car elle correspondait à l’adresse enregistrée par Google Chrome sur Poland Server #2. À partir de ce compte de messagerie, l’accusé avait également effectué de multiples recherches sur des établissements de restauration rapide près de sa résidence de Gatineau, au Québec, confirmant au FBI l’endroit où le trouver.

Poland Server #1 a également aidé les autorités du FBI à identifier une troisième adresse courriel qui leur a permis de remonter jusqu’à l’affilié. Google a fourni des informations selon lesquelles Vachon avait enregistré une adresse courriel sous le pseudonyme de Gerald Brofloski, indice important pour prouver qu’il s’agissait de Vachon Desjardins, car il avait déjà utilisé le pseudonyme « Brofloski » pour un autre compte de courriel.

En août 2020, un mandat de perquisition a été signé et les enquêteurs du FBI ont pu obtenir l’accès au compte de messagerie personnel de Vachon Desjardins. Malheureusement pour l’affilié, ce compte de courriel contenait des renseignements personnels identifiables tels qu’une photo de lui avec son permis de conduire du Québec en main. Le compte de courriel personnel de Vachon Desjardins contenait également des communications de la Banque Nationale du Canada qui indiquaient son nom et son adresse connue, ainsi qu’une facture de Bell Canada contenant des renseignements semblables.

De plus, les enquêteurs du FBI, tels qu’ils sont consignés dans un document divulgué publiquement, décrivent un courriel envoyé à partir du compte de courriel personnel de Vachon à son compte de courriel d’employé du gouvernement. Le courriel contenait un lien vers son curriculum vitae, qui indiquait qu’il travaillait à Services publics et Approvisionnement Canada depuis 2010. Cela correspond à une affirmation que Vachon avait faite en 2016 sur Hack Forums sous le pseudonyme de « Syrius01 » selon laquelle il travaillait comme technicien en TI pour le gouvernement du Canada. Une fois que le gouvernement a appris qu’il était un affilié qui utilise des rançongiciels, il a été renvoyé.

Le compte de messagerie personnel de l’affilié l’a également lié au paiement de la rançon pour la cinquième organisation ciblée.

Restez à l’affût pour la sixième partie de cette série sur l’affilié où nous continuons à démêler comment Sébastien Vachon Desjardins s’est fait prendre.

PLUS VOUS EN SAVEZ

Comprendre ce qui motive les criminels, qui ils sont et comment ils travaillent est essentiel pour assurer la résilience des organisations. S’informer contribue à rendre la cybersécurité plus tangible pour les gens ordinaires et permet aux individus et aux organisations d'élaborer des plans pour mieux se protéger contre les menaces en ligne. Partagez cette série pour aider plus de gens à comprendre la criminalité au 21e siècle et apprendre comment se protéger.