FBI Kazakhstan hacker Fxmsp Justice chefs d'accusation

Les autorités américaines rendent public l’acte d’accusation contre le hacker kazakh Fxmsp

Le département de la Justice américain a décidé de rendre public, le 7 juillet dernier, l’acte d’accusation à l’encontre du citoyen kazakh soupçonné d’être derrière le profil cybercriminel « Fxmsp ». Le document met en lumière la coopération entre les services américain, britannique et kazakh pour la traque du hacker responsable de la compromission de plusieurs centaines d’entités à travers le monde.

Suite à la parution d’un rapport de l’éditeur de sécurité informatique Group-IB concernant le hacker Fxmsp le 23 juin dernier, le département de la Justice américain a décidé de révéler l’acte d’accusation du Federal Bureau of Investigation (FBI) attribuant également la parenté du profil cybercriminel à Andreï Tourtchine, un citoyen kazakh d’Almaty.

Novastan est le seul média en français et en allemand spécialisé sur l'Asie centrale. Entièrement associatif, il fonctionne grâce à votre participation. Nous sommes indépendants et pour le rester, nous avons besoin de vous ! Vous pouvez nous soutenir en vous abonnant, en réalisant un don défiscalisé à 66 %, ou en devenant membre actif par ici.

Ce document, maintenu au secret par les autorités américaines depuis le 12 décembre 2018, vient préciser le mode opératoire de Fxmsp, sa victimologie, ainsi que l’identité réelle de l’auteur derrière la compromission des systèmes d’information. En vendant par la suite les accès à ces réseaux d’entreprises et d’entités gouvernementales, Andreï Tourtchine aurait amassé plus d’un million et demi de dollars (1,33 million d’euros) entre 2017 et 2019. Ces reventes seraient à l’origine de nombreuses intrusions, fuites de données et attaques par rançongiciels déployées par les clients de Fxmsp.

Lire aussi sur Novastan : Cybersécurité : un hacker kazakh serait responsable de la compromission de 135 organisations dans le monde

Si les enquêteurs américains révèlent aujourd’hui l’ensemble des éléments à leur disposition, confirmant a priori l’identification publique de Group-IB, cette décision pourrait être motivée par la collaboration du FBI avec le Comité de sécurité nationale (KNB) du Kazakhstan et l’arrestation imminente du hacker par les autorités kazakhes.

De nouveaux éléments dévoilés dans l’enquête du FBI

L’enquête du FBI présentée en 2018 devant la cour de justice de Seattle, dans l’État de Washington, apporte avant tout des précisions sur le ciblage opéré par le cybercriminel. Selon les enquêteurs, Fxmsp serait responsable non plus de la compromission d’une centaine d’organisations, estimation initiale réalisée par Group-IB, mais de près de 300 entités « sur les six continents ». Parmi celles-ci, une compagnie aérienne américaine basée à New York, le ministère des Finances d’un pays africain, le ministère des Mines et de l’énergie d’un pays asiatique, une entreprise de produits pétroliers en Alaska, ou encore une entreprise du secteur médiatique en Asie du Sud. Le hacker aurait par ailleurs annoncé la vente d’accès à 200 réseaux informatiques appartenant à des entités gouvernementales et aux forces de l’ordre du Royaume-Uni.

Lire aussi sur Novastan : Le Kazakhstan veut davantage contrôler son cyber-espace

Même si l’acte d’accusation ne dévoile pas l’ensemble des liens techniques permettant de remonter la trace d’Andreï Tourtchine, le FBI déclare que plusieurs adresses IP utilisées pour se connecter aux réseaux de victimes ont permis de lier l’origine des attaques au Kazakhstan, puis d’identifier directement le ressortissant kazakh de 37 ans.

Andreï Tourtchine reste toutefois présenté comme l’un des membres d’un groupe plus important utilisant une dizaine de pseudonymes pour la vente d’accès illégaux sur différents sites cybercriminels russophones. De nombreuses transactions auraient ainsi eu lieu par l’intermédiaire d’un directeur commercial, attribué dans le rapport de Group-IB à un hacker du nom de Lampeduza. Ce dernier aurait centralisé les négociations avec les clients potentiels, permettant même aux acheteurs intéressés de vérifier la qualité et la fiabilité de l’accès au réseau pendant une période limitée.

Une collaboration inédite entre les autorités américaines et le KNB

Le juge américain en charge de l’affaire, Brian T. Moran, a tenu pour sa part à « féliciter le Kazakhstan pour son aide dans cette enquête ». Et pour cause, cette traque a mobilisé plusieurs agences fédérales américaines, mais aussi l’Agence nationale britannique de lutte contre la criminalité (NCA), les éditeurs privés de sécurité informatique américains FireEye/Mandiant et Intel471, et le Comité de sécurité nationale kazakh. Le FBI a également travaillé avec les victimes pour retracer l’origine des attaques.

Envie d'Asie centrale dans votre boîte mail ? Inscrivez-vous gratuitement à notre newsletter hebdomadaire en cliquant ici.

Cette collaboration internationale souligne l’enjeu d’intégrer les pays de l’espace post-soviétique aux enquêtes concernant les cybercriminels qu’ils accueillent, alors que la plupart des hackers russophones sont appréhendés aussitôt arrivés sur le sol américain ou dans des pays disposant d’accords d’extradition avec les États-Unis.

Au total, cinq chefs d’accusation ont été retenus contre Andreï Tourtchine, dont conspiration pour commettre un piratage informatique, fraude électronique, accès non autorisé et dommages intentionnels à un ordinateur protégé. Il risque théoriquement jusqu’à 50 ans de prison.

Lire aussi sur Novastan : Le Kazakhstan accusé d’employer des hackers pour espionner ses opposants à l’étranger

Toutefois, et même si le Kazakhstan et les États-Unis sont signataires d’un accord d’entraide judiciaire en matière pénale depuis 2015, Nur-Sultan n’extrade théoriquement pas ses propres ressortissants. Il est ainsi possible que Fxmsp, désormais poursuivi au grand jour par les autorités de son pays, soit finalement jugé et condamné par un tribunal kazakh.

Fxmsp, BigPetya, Antony Moricone, Nikolay, Ares ou HeroKuma… Le temps aux chercheurs en sécurité informatique de continuer à spéculer sur la structuration interne du profil et de guetter son hypothétique réapparition sous un nouvel alias. Advanced Intelligence, un cabinet new-yorkais de gestion de risque, a ainsi cru reconnaître en décembre dernier le hacker kazakh derrière les activités d’un groupe structuré au pseudonyme pour le moins suggestif : « b.wanted ».

Vadim Alinov
Rédacteur pour Novastan

Merci d'avoir lu cet article jusqu'au bout ! Si vous avez un peu de temps, nous aimerions avoir votre avis pour nous améliorer. Pour ce faire, vous pouvez répondre anonymement à ce questionnaire ou nous envoyer un email à redaction@novastan.org. Merci beaucoup !

Partager avec
Aucun commentaire

Ecrire un commentaire

Captcha *