Le chef présumé de JabberZeus, pionnier des gangs de cybercriminels ukraino-russophones, arrêté en Suisse

Le chef présumé du gang JabberZeus, pionnier des gangs ukraino-russophones de cybercriminels, vient d'être arrêté à Genève. Recherché par le FBI depuis 2012, il avait été successivement protégé par le fils de l'ex-président ukrainien, les officiers chargés de le surveiller, et le chef du SWAT de Donetsk censé l'arrêter.

Vyacheslav Igorevich Penchukov, un Ukrainien de 40 ans recherché par le FBI pour son implication dans le gang de cybercriminels JabberZeus, a été arrêté à Genève il y a trois semaines, révèle le journaliste spécialisé Brian Krebs, alors qu'il s'y rendait pour retrouver sa femme. L'Office fédéral de la justice (OFJ) a confirmé à watson.ch qu'il avait été placé en détention en vue de son extradition aux États-Unis.

L’acte d’inculpation pour racket en réunion, fraudes informatique et bancaire, vol d’identité, qui remontait à août 2012 avait été rendu public seulement en 2014 à l’occasion de la comparution devant la justice de deux Ukrainiens extradés du Royaume-Uni, précise l'AFP. 

La Justice américaine l'accuse d'avoir volé plus de 70 millions de dollars un peu partout dans le monde, et lui reproche en particulier de s'être rendu coupable « d'extorsion, de fraude bancaire et d'usurpation d'identité », précise watson.ch : 

« Lors de son audition du 24 octobre 2022, la personne poursuivie n'a pas consenti à son extradition vers les États-Unis dans le cadre d'une procédure simplifiée. Au terme de la procédure formelle d'extradition, l'OFJ a décidé le 15 novembre 2022 d'autoriser son extradition vers les États-Unis. »

La décision de l'Office fédéral de la justice peut cela dit encore faire l'objet d'un recours auprès du Tribunal pénal fédéral.

Trahi pour avoir donné le prénom, et le poids, de son bébé

Vyacheslav Igorevich Penchukov, connu en tant que célèbre DJ (« DJ Slava Rich ») à Donetsk, dans la province russophone du Donbass annexée par la Russie, appréciait également parader au volant de ses BMW et Porsche de luxe, précise Krebs, lui-même connu pour être parvenu à identifier de nombreux cybercriminels.

JabberZeus avait fait développer une variante du cheval de Troie bancaire Zeus qui les alertait via la messagerie Jabber dès qu'une nouvelle victime envoyait le code à usage unique sur la page de phishing imitant leur banque. Zeus ciblait principalement les petites et moyennes entreprises, afin de leur extorquer des sommes confiées à des mules chargées de les récupérer, avant de les renvoyer au gang.

Krebs raconte que les enquêteurs américains avaient réussi à infiltrer la messagerie Jabber du gang et à le relier à celui qui y intervenait sous le surnom de « Tank » parce qu'il y avait annoncé, le 22 juillet 2009, la naissance de sa fille Miloslava, tout en indiquant son poids.

Ils avaient alors cherché dans les registres de naissance ukrainiens, et il n'existait qu'une seule Miloslava née ce jour-là et pesant le même poids. Ce qui leur a servi à identifier Penchukov.

Il avait été protégé par le fils de l'ancien président ukrainien...

Las : Krebs raconte que ses connexions politiques lui ont permis d'échapper à la Justice. Viktor Yanukovych Jr, fils de celui qui était alors le président ukrainien, pro-russe, était en effet le parrain de Miloslava.

En 2010, Penchukov a été informé que le service de sécurité ukrainien (SBU) se préparait à l'arrêter en même temps que plusieurs autres membres du gang, ce qui lui donna le temps de détruire les preuves pouvant l'impliquer, raconte Krebs, et de ne pas être chez lui au moment du raid du SBU.

Il est parvenu, de plus, à transférer le suivi de son affaire par un autre service dirigé par son contact corrompu au SBU. En 2010, la MIT Technology Review racontait dans une longue enquête consacrée à la traque, alors avortée, de Tank et de ses sbires, que les enquêteurs avaient découvert, effarés, un message posté sur Jabber prévenant le gang : « Vous êtes foutus. Le FBI vous surveille. J'ai vu les logs », et donc que les autorités ukrainiennes avaient été infiltrées, ou corrompues.

En réponse à Tank, d'abord effrayé à l'idée d'être extradé aux États-Unis, l'indic' avait alors tenté de le tempérer : « C'est la vie que nous avons choisie. Vivre par l'épée, mourir par l'épée ».

... par les officiers précisément chargés de le surveiller...

La réaction de Tank étonne, à ce moment là, le FBI. Plutôt que de détruire immédiatement le serveur et de déplacer leurs opérations ailleurs, lui et son équipe ont changé de pseudos, et ont continué ensuite à utiliser le système compromis pendant un mois.

En juin 2010, près de 20 officiers de cinq pays (USA, Grande-Bretagne, Ukraine, Russie et Pays-Bas) se rendent à Kiev, en prévision de l'arrestation simultanée de dizaines de membres du gang.

Mais rien ne se passe comme prévu. Le SBU n'a de cesse de reporter l'opération, encore et encore. Un des enquêteurs raconte qu'il n'était censé rester que deux jours, mais qu'il a dû attendre des semaines. Après lui avoir expliqué qu'il traquait tous les mouvements de Tank, le SBU a fini par lui expliquer qu'ils l'avaient perdu : 

« Les Américains étaient dépités, et un peu surpris. Mais ils étaient également résignés à ce qu'ils considéraient comme les réalités du travail en Ukraine. Le pays avait un problème de corruption notoire. La blague courante était qu'il était facile de trouver l'unité anti-corruption du SBU - il suffisait de chercher le parking rempli de BMW. »

Quand, le SBU valide finalement la perquisition, ses officiers entrent en premier dans son appartement, alors que les agents du FBI patientent à l'extérieur. Une fois autorisé à y entrer, le FBI découvre que le ménage a été fait en grand, et que personne n'a dû y résider depuis pas mal de temps alors même que les officiers du SBU en charge de la surveillance de Tank leur ont assuré que le suspect avait été chez lui récemment. Cinq de ses complices sont certes arrêtés ce jour-là, mais Tank, dont la fille a comme parrain le fils du président ukrainien de l'époque, y échappe.

... et par le chef corrompu du SWAT de Donesk censé l'arrêter

La MIT Review précise que certains responsables ukrainiens, qui ne conduisaient pas de BMW et ne cautionnaient pas la corruption ni les fuites au sein des services de sécurité du pays, en ont conclu que le raid de 2010 à Donetsk contre Tank et l'équipe de JabberZeus avait échoué à cause d'un tuyau d'un officier corrompu du SBU nommé Alexander Khodakovsky.

Alors chef d'une unité SWAT du SBU à Donetsk, connue sous le nom d'équipe Alpha, il était censé coordonner les opérations dans la région, et servait d'indic' à certains suspects, leur permettant de détruire les preuves et de s'enfuir avant que n'aient lieu les perquisitions.

« Grâce à ses liens corrompus avec la direction du SBU, Tank s'est arrangé pour que toutes les procédures judiciaires à son encontre soient menées par le bureau local du SBU à Donetsk et non par le siège du SBU à Kiev, et il a finalement réussi à y faire classer l'affaire », déplore un ancien du SBU : 

« Grâce à ses liens avec la famille du président Yanukovych, Tank avait réussi à développer des liens de corruption dans les échelons supérieurs du gouvernement ukrainien, y compris les forces de l'ordre. »

C'est la deuxième fois en quelques jours seulement qu'un cybercriminel recherché par la Justice américaine est arrêté en Europe alors qu'il fuyait l'Ukraine.

• Le FBI fait incarcérer l'auteur de Raccoon Stealer, un logiciel de braquage en ligne

Zeus était lié à Gameover Zeus, « le plus sophistiqué »  des botnets auquel les États-Unis et ses alliés avaient alors été confrontés. Il avait notamment été utilisé pour déployer le rançongiciel « CryptoLocker », lui aussi pionnier du genre. 

Ils auraient fait perdre près de 130 millions de dollars à leurs victimes avant d'être démantelé lors d'une opération internationale menée par les États-Unis avec l’aide de dix autres pays (dont la France) et le soutien d’entreprises telles que Microsoft, McAfee ou bien encore Symantec, en 2014.

• Extorsion de fonds : opération d’envergure contre le botnet Gameover Zeus