Encore un hacker qui venait du froid. En 2019, «Fxmsp» a mis en vente des accès et le code source de plusieurs entreprises de cybersécurité. Il promettait à ses client·es de devenir «les dieux invisibles des réseaux».
Son identité vient d'être rendue publique par un tribunal américain: il s'agit du Kazakh Andreï Tourtchine, 37 ans. C'est le chercheur Seamus Hugues qui a d'abord révélé cette information sur Twitter.
The Feds have unsealed charges against alleged hacker Andrew Turchin aka fxmsp.
— Seamus Hughes (@SeamusHughes) July 7, 2020
One of the reasons for unsealing: a cyber security company revealed his identity in a report last month. pic.twitter.com/cu0IwOCpNy
Les poursuites, jusqu'ici secrètes, datent de 2018 mais un juge américain vient de les rendre publiques. En cause, le dévoilement antérieur de l'identité d'Andreï Tourtchine par la firme de cybersécurité Group-IB, il y a un mois.
McAfee, Trend Micro et Symantec piratés
Le pirate informatique émerge en 2016. Il s'attaque d'abord aux réseaux informatiques de banques et d'hôtels. En 2019, il annonce avoir accès aux données de trois acteurs majeurs de la cybersécurité: McAfee, Trend Micro et Symantec. Il propose les accès et les codes sources pour des prix allant de 265.000 à 883.000 euros. Selon les autorités américaines, les entreprises victimes perdent des dizaines de millions en raison de ces attaques.
«Il a eu accès aux firmes du secteur de l'énergie, aux organisations gouvernementales et même à certaines entreprises classées au Fortune 500», détaille Dimitri Volkov de Group-IB.
Selon la société, Tourtchine utilisait des techniques peu sophistiquées mais efficaces, s'appuyant sur des failles de sécurité courante. Il était très actif sur les forums du cybercrime russophone et a collaboré avec un autre hacker, «Lampeduza».
Grandeur et décadence
«Les prix variaient [...] de quelques milliers de dollars à [...] plus de cent mille dollars, selon la victime et le degré d'accès et de contrôle du système», a déclaré le département de la Justice américain. L'utilisation d'un courtier et d'un dépôt fiduciaire permettait aux client·es de tester l'accès au réseau pour un temps limité avant d'acheter.
Tourtchine a aussi commis des erreurs: il a ainsi mis en vente des accès aux réseaux informatiques du Kremlin, violant une règle implicite du cybercrime russophone et se faisant bannir des forums. D'autres imprudences ont permis aux enquêteur·rices de l'identifier.
Mis en examen aux États-Unis pour une demi-douzaine de chefs d'accusation, il est toutefois peu probable qu'il y soit jugé: il est citoyen kazakh et le pays n'a pas signé d'accord d'extradition avec Washington. Il pourrait néanmoins comparaître devant les juridictions nationales.
