La Justice américaine a identifié 7 membres – tous russes – du groupe à l'origine du malware Trickbot. L'un d'entre eux aurait même été arrêté, à Miami, en février. Une développeuse web de 55 ans, au profil somme toute détonant eu égard aux clichés d'ordinaire véhiculés au sujet des cybercriminels russophones.
Le 4 juin le département de la Justice (DoJ) américain a publié un communiqué expliquant qu'« Alla Witte, alias MAX, une ressortissante lettone de 55 ans, a été inculpée de 19 chefs d'accusation pour son rôle présumé dans une organisation transnationale de cybercriminalité responsable de la création et du déploiement d'un cheval de Troie bancaire informatique et d'une suite de logiciels malveillants ransomware appelée Trickbot » :
« Le groupe Trickbot opérait en Russie, en Biélorussie, en Ukraine et au Suriname, et ciblait principalement les ordinateurs des victimes appartenant à des entreprises, des entités et des individus. Les cibles comprenaient les hôpitaux, les écoles, les services publics et les gouvernements. Witte, qui résidait auparavant à Paramaribo, au Suriname, a été arrêtée le 6 février à Miami, en Floride. »
Elle est plus particulièrement accusée d'avoir « collaboré avec d'autres membres de l'organisation criminelle transnationale pour développer et déployer une suite numérique d'outils malveillants utilisés pour cibler des entreprises et des individus du monde entier à des fins de vol et de rançon ».
Le malware Trickbot, accusé d'avoir infecté des dizaines de millions d'ordinateurs dans le monde depuis 2016, avait en effet été conçu pour « capturer les informations de connexion bancaires en ligne et collecter d'autres informations personnelles, notamment les numéros de carte de crédit, les e-mails, les mots de passe, les dates de naissance, les numéros de sécurité sociale et les adresses », précise le DoJ :
« Witte et d'autres auraient également capturé des identifiants de connexion et d'autres informations personnelles volées pour accéder à des comptes bancaires en ligne, exécuter des transferts de fonds électroniques non autorisés et blanchir l'argent via des comptes de bénéficiaires américains et étrangers. »
Selon l'acte d'accusation, Witte a notamment « travaillé en tant que développeur de logiciels malveillants pour le groupe Trickbot », et écrit du code lié au contrôle, au déploiement et aux paiements du ransomware.
Witte aurait en outre fourni au groupe un code qui « surveillait et suivait les utilisateurs autorisés du logiciel malveillant », et aurait également « développé des outils et des protocoles pour stocker les identifiants de connexion volés ».
Une ancienne prof de maths devenue développeuse web
Sur VK, le Facebook russe, Alla Witte dit être née en 1965 à Rostov-sur-le-Don, être mariée, et que son métier est de créer des sites et pages web.
Sur Facebook et LinkedIn, elle dit s'appeler Alla Klimova, se présente comme développeuse web indépendante depuis 2012, vivant à Amsterdam, aux Pays-Bas (d'après LinkedIn), ou à Paramaribo, la capitale du Suriname (l'ex Guyane néerlandaise), en Amérique du Sud (d'après Facebook).
Sur LinkedIn, elle explique avoir étudié les mathématiques appliquées à l'Université de Lettonie de 1983 à 1988, été ingénieure-programmeuse et « responsable d'un mini ordinateur » jusqu'en septembre 1990, puis directrice commerciale à Riga de 1993 à 1999, professeur de mathématiques et d'informatique au lycée de 1999 à 2003, avant de se lancer en tant que développeuse web indépendante en 2012.
« Je suis programmeur informatique de formation », précise son site web, allawitte.nl, en russe, anglais et en néerlandais : « J'aime résoudre des problèmes complexes de la vie qui nécessitent un "brainstorming". C'est exactement à ça que sert le fait de coder ! ».
Alex Holden, un chercheur en sécurité informatique d'origine ukrainienne qui a lu de nombreux messages postés par Anna Klimova sur différents forums en langue russe, confirme que « sa passion tout au long de sa vie a été la programmation », quand bien même elle n'en aurait vraiment fait son métier que passé la quarantaine, à partir de 2012.
En 2013, elle écrivait ainsi : « Je veux être une grande programmeuse capable de créer des solutions exclusives et voyager chez des clients dans différents pays. Je travaille pour moi-même et pour des clients pendant énormément de temps parce que je peux le faire, donc je le fais. »
Recrutée au Pays-Bas, elle s'y serait mariée (d'où le changement de nom de Klimova à Witte), avant de partir vivre au Suriname. Sur Facebook, elle partageait des dizaines de photographies de ses voyages, en Indonésie notamment, avec son mari. Sa dernière photo, prise « au petit matin dans la jungle amazonienne », date de juin 2018.
Son profil GitHub, qui comporte 97 repositories, montre qu'elle y était encore active en décembre dernier. En réponse à un chalenge OSINT lancé suite à l'annonce de son arrestation, un Vietnamien a par ailleurs listé plus d'une dizaine de comptes, pour une bonne part sur des réseaux de développeurs, reliés à son identité.
MAX, la menace
Le DoJ, pour sa part, écrit dans l'acte d'accusation qu'elle aurait eu accès au serveur de développement de Trickbot à partir du mois d'octobre 2018. En décembre, elle fournissait au groupe une vidéo démontrant comment utiliser le logiciel de tracking des utilisateurs autorisés de Trickbot.
Un an plus tard, en octobre 2019, elle leur fournissait un code permettant de déployer le module de ransomware de Trickbot. Le DoJ souligne que le ransomware contenait un code qui multipliait automatiquement par deux le montant de la rançon si la victime ne la payait pas dans le temps imparti.
En janvier 2020, elle recherchait sur Internet « laravel faker bitcoin address », une référence au fait de pouvoir créer une fausse adresse Bitcoin pour tester le système de paiement du ransomware, précise le DoJ.
On retrouve de fait la trace de messages qu'elle avait postés sur le GitHub de laravel au sujet d'erreurs qu'elle ne parvenait pas à identifier, en novembre 2019, ainsi que sur Stackoverflow en mai et octobre 2020.
On y retrouve aussi des messages au sujet de Binance, la plateforme qui permet d'échanger plus de 100 cryptomonnaies, postés en septembre et octobre 2018, au moment où elle aurait commencé à accéder au serveur de développement de Trickbot. Sans que l'on puisse pour autant faire de lien entre ce qu'elle partageait sur GitHub et ce qu'elle aurait fait pour Trickbot.
L'acte d'accusation mentionne également de nombreux transferts bancaires de plusieurs dizaines voire centaines de milliers de dollars, dont 7 aux alentours du 3 octobre 2018, pour un montant total cumulé de 859 200 dollars, aux dépens d'une société immobilière dans l'Ohio. Le texte ne précise pas, cela dit, si Witte est accusée d'y avoir activement participé, ou si elle en est accusée du fait de sa participation au groupe.
Un malware, des inconnues
Alex Holden relève de son côté que sa « plus grande erreur s'est peut-être produite aux alentours de Noël en 2019, lorsqu'Alla Witte a infecté l'un de ses propres ordinateurs avec le malware Trickbot, lui permettant de voler et d'enregistrer ses données dans l'interface du botnet ».
De fait, en janvier 2020, un chercheur en cybersécurité avait partagé sur Twitter le fait que son site web, allawitte.nl, hébergeait un .exe contenant Trickbot.
On en retrouve d'ailleurs la trace sur plusieurs sites d'analyse de malwares, qui avaient eux aussi identifiés le fait qu'un ou plusieurs fichiers .exe hébergés par http://allawitte.nl/ étaient associés à Trickbot.
Le fichier aurait tout aussi bien pu y avoir été déposé par des personnes mal-intentionnées profitant d'une éventuelle faille de sécurité. On peine en effet à imaginer qu'un développeur contribuant, sous pseudo, au développement d'un malware, serait assez bête pour déposer sur le site web associé à sa véritable identité un .exe le reliant explicitement à ses activités criminelles.
Reste que le DoJ ne mentionne pas cet impair, pas plus qu'il ne précise comment il serait parvenu à relier Alla Witte à « MAX », non plus qu'à Trickbot. Il n'explicite pas plus comment ont été identifiés les 6 autres membres russes du gang dont les noms ont, contrairement à celui de « MAX », été anonymisés dans l'acte d'accusation.
Il ne détaille pas non plus ce pourquoi, alors que Trickbot était dans le viseur des autorités américaines, « MAX » se serait ainsi rendue à Miami en février dernier, prenant le risque d'y être arrêtée.
Et ce, alors même que Trickbot avait fait l'objet d'une contre-attaque coordonnée par le Cyber Command de l'armée américaine et la Digital Crimes Unit (DCU) de Microsoft, en octobre dernier, qui serait parvenu à désactiver 120 des 128 serveurs (soit 94 %) du centre de commande et de contrôle de Trickbot...
Ce qui n'avait pas empêché la Cybersecurity & Infrastructure Security Agency (CISA, l'ANSSI américaine) de lancer une nouvelle alerte en mars dernier.
Si Alla Witte était reconnue coupable de l'ensemble des 19 chefs d'accusation dont elle est accusée, elle pourrait être condamnée à une peine maximale de 87 années cumulées :
- cinq ans de prison pour complot en vue de commettre une fraude informatique et une usurpation d'identité aggravée ;
- 30 ans de prison pour complot en vue de commettre une fraude électronique et bancaire ;
- 30 ans de prison pour chaque chef d'accusation de fraude bancaire importante ;
- une peine obligatoire de deux ans pour chaque chef d'usurpation d'identité aggravée, qui doit être purgée consécutivement à toute autre peine ;
- et 20 ans de prison pour association de malfaiteurs au blanchiment d'argent.
Commentaires (20)
#1
Dommage… Les développeuses brillantes et médiatiques ne courent pas les rues, mais son choix de carrière la rend difficilement présentable pour inciter les jeunes à se donner leur chance dans l’informatique… XD
À part ça l’article était intéressant à lire, mais je ne suis pas sûr de comprendre ce qui a motivé son traitement ? Était-ce précisément parce que c’était une développeuse et pas le classique barbu ? ^^
#1.1
pourquoi ? Mitnick a inspire ceux des annees 90.
#1.2
Je parlais d’inspirer des jeunes à apprendre l’informatique pour travailler du côté légal de la barrière moi…
Après pour celles ou ceux qui se sentent rebelles ou au moins libertaires, effectivement ce peut être un exemple à suivre, mais en prenant note des erreurs à éviter tant qu’à faire alors. XD
J’avoue que c’est un détail croustillant mais qui finalement, en creux, ne fait qu’illustrer la crédibilité du site et de sa communauté pour fournir de l’expertise technique sur-mesure.
#1.3
Il existe tout plein de facteurs pouvant conduire (ou pas) à la rédaction d’un article, à commencer par le fait qu’il doit s’agir d’une information d’intérêt général et, si possible, d’une histoire emblématique et/ou extraordinaire.
En l’espèce, je n’ai pas vocation à (ni le temps de) couvrir l’ensemble des malwares, ransomwares, cyberattaques ou arrestations de cyber-escrocs (que je préfère au terme cybercriminels, puisqu’ils commettent bien plus d’escroqueries que de crimes).
Mais pour le coup, cette histoire me semblait suffisamment (d)étonnante & intrigante pour mériter d’être relatée sur NXI et, donc, potentiellement intéresser ses abonnés.
#2
incroyable.
la meuf va se balader aux US quelques mois après que le serveur de C&C du bot ait été poutré par les US. ^^
#2.1
(commentaire annulé par l’auteur)
#2.2
Ben comme dit dans l’article ça fait parti des truc louches dans cette affaire (JM Manach a l’air friand de ce genre choses
)…
Parce qu’entre ça, les exécutables présents sur son site perso, les messages / recherches “retrouvés”, le fait qu’elle soit la seule nommée sur l’acte d’accusation ça sent quand même vachement fort le fusible qu’on a fait péter pour se couvrir..
De là à savoir si réellement elle est impliquée, je pense que oui, mais à quelle point réellement? Là je ne me mouille pas (et pourtant il fait chaud
)
#3
Une développeuse qui fait du trickbot
Au moins, dans cet affaire, il n’y a pas de doute, c’est bien de la cyberattaque illégale
#3.1
Avant la femme faisait du tricot. Maintenant elle fait du trickbot…
Ça m’paraît cohérent.
#3.2
Sexisme. 🤔
#4
Voilà. Apprenez a une meuf à faire qqch, et elle fait n’importe quoi…
#4.1
Tu vas encore te faire sworder toi…
#4.2
Tu veux parler de Marie Curie??
#4.3
La pêche à la dynamite c’est pas que le vendredi normalement ? Parce que là techniquement t’as fait ton com dans le samedi déjà
#5
Donc même les hackeurs russe posent des questions sur StackOverflow :)
Sérieux elle n’était pas discrète !
#6
#6.1
Je m’attendais tellement à ce qu’un bas du front lâche le mot-troll (ou alors c’était un contre-troll-humoristique ?)…
Heureusement que d’autres savent prendre du recul.
#7
Ça me rappelle l’histoire de Marcus Hutchins, un ado brillant qui s’est fait manipuler par des gens peu recommandables et qui a écrit des malwares bancaires :
https://www.wired.com/story/confessions-marcus-hutchins-hacker-who-saved-the-internet/
Faudrait voir pourquoi elle s’est mise à coder ces virus, l’histoire est intéressante.
#7.1
Merci pour le lien perso j’irai lire ça a l’air intéressant.
Après est-il pertinent de comparer ? Entre un ado de quoi, 14-15 berges et une femme (normalement) mature vu les 40+ années, on peut raisonnablement s’attendre à plus de recul et de méfiance.
Bien sûr, ce ne sont que des préjugés, nous connaissons tous certainements des gens très sages de 18 ans ou moins et d’odieux irresponsables de 40+…
#7.2
Je l’avais lu et je te confirme que c’est sympa à lire