Ce mardi, 31 juillet La photo de 2018 montre l'entrée du bâtiment du service de renseignement militaire russe, nommé dans l'acte d'accusation du 13 juillet de Robert Mueller, comme siège de l'unité GRU 26165 à Moscou, Russie. La fuite des conversations d'un pirate informatique russe présumé avec un chercheur en sécurité en montre plus sur le groupe obscur de 12 espions russes inculpés par le FBI le mois dernier pour avoir ciblé les élections américaines de 2016. (AP Photo/Alexandre Zemlianichenko)
Il y a six ans, un chercheur en cybersécurité russophone a reçu un e-mail non sollicité de Kate S. Milton.
Milton a affirmé travailler pour la société anti-virus basée à Moscou Kaspersky. Dans un échange qui a commencé par un anglais interrompu et est rapidement passé au russe, Milton a déclaré qu'elle était impressionnée par le travail du chercheur sur les exploits - les crochets de verrouillage numérique utilisés par les pirates pour pénétrer dans les systèmes vulnérables - et qu'elle voulait être copiée sur tout nouveau que le chercheur rencontrerait.
"Vous avez presque toujours tous les exploits haut de gamme, " Milton a dit, après avoir complimenté la chercheuse au sujet d'une publication sur son site Web, où elle a souvent disséqué les logiciels malveillants.
"Pour que notre contact ne soit pas à sens unique, Je vous propose mon aide pour analyser les virus malveillants, et au fur et à mesure que je reçois de nouveaux échantillons, je les partagerai, " Milton continua. " Qu'en pensez-vous ?
La chercheuse, qui travaille comme ingénieur en sécurité et gère le site de partage de logiciels malveillants à côté, a toujours eu la bonne idée que Milton n'était pas celle qu'elle prétendait être. Le mois dernier, elle a obtenu la confirmation via un acte d'accusation du FBI.
L'acte d'accusation, rendu public le 13 juillet, a levé le voile sur l'opération de piratage russe qui visait l'élection présidentielle américaine de 2016. Il a identifié "Kate S. Milton" comme un alias de l'officier du renseignement militaire Ivan Yermakov, l'un des 12 espions russes accusés d'être entrés par effraction au sein du Comité national démocrate et de publier ses e-mails dans le but d'influencer les élections de 2016.
Le chercheur, qui a donné ses échanges avec Milton à l'Associated Press sous couvert d'anonymat, a déclaré qu'elle n'était pas ravie d'apprendre qu'elle avait correspondu avec un espion russe présumé. Mais elle n'était pas particulièrement surprise non plus.
"Ce domaine de recherche est un aimant pour les personnes suspectes, " elle a dit.
Le chercheur et Milton se sont engagés dans une poignée de conversations entre avril 2011 et mars 2012. Mais même leurs échanges clairsemés, ainsi que quelques miettes de pain numériques laissées par Yermakov et ses collègues, offrir un aperçu des hommes derrière les claviers de la direction principale du renseignement de la Russie, ou GRU.
Ce 14 mai, 2018, La photo montre une affiche à l'intérieur de la base militaire russe à Moscou nommée dans l'acte d'accusation du 13 juillet de Robert Mueller contre 12 espions russes. Fuite de conversations par e-mail entre un chercheur en sécurité et l'une des personnes mises en accusation, Ivan Yermakov, dont l'unité 26165 était située à la base, révèlent de nouvelles informations sur le groupe obscur d'espions accusés d'avoir fait irruption dans le Comité national démocrate lors des élections de 2016. (Photo AP)
___
Il n'est pas rare que des messages comme celui de Milton arrivent à l'improviste, en particulier dans le monde relativement restreint des analystes de logiciels malveillants indépendants.
"Il n'y avait rien de particulièrement inhabituel dans son approche, " a déclaré le chercheur. " J'ai eu des interactions très similaires avec des chercheurs amateurs et professionnels de différents pays. "
Le couple a correspondu pendant un moment. Milton a partagé un morceau de code malveillant à un moment donné et envoyé une vidéo YouTube liée au piratage à un autre, mais le contact a fait long feu au bout de quelques mois.
Puis, l'année suivante, Milton a repris contact.
"C'est tout le travail, travail, travail, " Milton a dit en guise d'excuse, avant d'aller rapidement à l'essentiel. Elle avait besoin de nouveaux crochets.
"Je sais que vous pouvez aider, " écrit-elle. " Je travaille sur un nouveau projet et j'ai vraiment besoin de contacts qui peuvent fournir des informations ou avoir des contacts avec des personnes qui ont de nouveaux exploits. Je suis prêt à payer pour eux."
En particulier, Milton a déclaré qu'elle souhaitait des informations sur une vulnérabilité récemment révélée, nommée CVE-2012-0002 - une faille critique de Microsoft qui pourrait permettre aux pirates de compromettre à distance certains ordinateurs Windows. Milton avait entendu dire que quelqu'un avait déjà concocté un exploit fonctionnel.
"J'aimerais l'avoir, " elle a dit.
Dans cette photo d'archive prise samedi, 14 juillet 2018, un homme passe devant le bâtiment du service de renseignement militaire russe à Moscou, Russie. La fuite des conversations d'un pirate informatique russe présumé avec un chercheur en sécurité en montre plus sur le groupe obscur de 12 espions russes inculpés par le FBI le mois dernier pour avoir ciblé les élections américaines de 2016. (AP Photo/Pavel Golovkin, Déposer)
Le chercheur hésita. Le commerce des exploits - à l'usage des espions, flics, des sociétés de surveillance ou des criminels – peut être minable.
"Je me tiens généralement à l'écart des acheteurs et des vendeurs en herbe, " a-t-elle déclaré à l'AP.
Elle a poliment refusé - et n'a plus jamais entendu parler de Milton.
___
Le compte Twitter de Milton, dont la photo de profil présente la star de "Lost" Evangeline Lilly, est en sommeil depuis longtemps. Les derniers messages portent des messages urgents, appels maladroitement formulés pour des exploits ou des conseils sur les vulnérabilités.
"Aidez-moi à trouver la description détaillée CVE-2011-0978, " un message lit, faisant référence à un bogue dans PHP, un langage de codage souvent utilisé pour les sites Web. " Besoin d'un exploit de travail, " le message continue, se terminant par un visage souriant.
Il n'est pas clair si Yermakov travaillait pour le GRU lorsqu'il s'est déguisé en Kate S. Milton. Le silence de Milton sur Twitter – à partir de 2011 – et la référence à un « nouveau projet » en 2012 pourraient faire allusion à un nouvel emploi.
Dans tous les cas, Yermakov ne travaillait pas pour la société antivirus Kaspersky, ni alors ni jamais, a déclaré la société dans un communiqué.
"Nous ne savons pas pourquoi il se serait présenté comme un employé, ", indique le communiqué.
Sur cette photo prise mardi, 31 juillet 2018, une vue montre un bâtiment du service de renseignement militaire russe, situé au 22, rue Kirova, Khimki, qui a été nommé dans un acte d'accusation annoncé par un grand jury fédéral américain dans le cadre d'une enquête sur l'implication présumée de la Russie dans l'élection présidentielle américaine de 2016, à Khimki en dehors de Moscou, Russie. La fuite des conversations d'un pirate informatique russe présumé avec un chercheur en sécurité en montre plus sur le groupe obscur de 12 espions russes inculpés par le FBI le mois dernier pour avoir ciblé les élections américaines de 2016. (AP Photo/Alexandre Zemlianichenko)
Les messages envoyés par l'AP au compte Gmail de Kate S. Milton n'ont pas été renvoyés.
Les échanges entre Milton (Yermakov) et le chercheur pouvaient se lire de différentes manières.
Ils pourraient montrer que le GRU essayait de former des personnes dans la communauté de la sécurité de l'information en vue d'obtenir les derniers exploits dès que possible, dit Cosimo Mortola, un analyste de renseignements sur les menaces à la société de cybersécurité FireEye.
Il est également possible que Yermakov ait d'abord travaillé en tant que pirate informatique indépendant, se presser pour des outils d'espionnage avant d'être embauché par le renseignement militaire russe - une théorie qui a du sens pour l'analyste de la défense et de la politique étrangère Pavel Felgenhauer.
"Pour le cyber, il faut embaucher des gars qui comprennent l'informatique et tout ce que les vieux espions du GRU ne comprennent pas, " dit Felgenhauer. " Vous trouvez un bon hacker, vous le recrutez et lui donnez une formation et un grade – un lieutenant ou quelque chose comme ça – et ensuite il fera la même chose. »
___
La fuite des conversations de Milton montre à quel point l'éclat de la publicité révèle des éléments des méthodes des pirates et peut-être même des allusions à leur vie privée.
C'est possible, par exemple, que Yermakov et nombre de ses collègues se rendent au travail par l'entrée voûtée du Komsomolsky 22, une base militaire au cœur de Moscou qui abrite l'unité 26165 du pirate informatique présumé. Des photos prises de l'intérieur montrent qu'il s'agit d'une installation bien entretenue, avec une façade d'époque tsariste, pelouses soignées, parterres de fleurs et arbres ombragés dans une cour centrale.
L'AP et d'autres ont essayé de retracer la vie numérique des hommes, trouver des références à certaines des personnes inculpées par le FBI dans des articles universitaires sur l'informatique et les mathématiques, sur les listes des participants à la conférence russe sur la cybersécurité ou, dans le cas du Cpt. Nikolaï Kozachek, nicknamed "kazak"—written into the malicious code created by Fancy Bear, the nickname long applied to the hacking squad before their identities were allegedly revealed by the FBI.
This photo taken on Monday, 14 mai 2018, a view inside the Russian military base at 20, Komsomolsky Prospect, named in Robert Mueller's July 13 indictment. The leak of an alleged Russian hacker's conversations with a security researcher shows how the glare of publicity is the shadowy group indicted by the FBI into focus. (Photo AP)
One of Kozachek's other nicknames also appears on a website that allowed users to mine tokens for new weapons to use in the first-person shooter videogame "Counter Strike:Global Offensive"—providing a flavor of the hackers' extracurricular interests.
The AP has also uncovered several social media profiles tied to another of Yermakov's indicted colleagues—Lt. Aleksey Lukashev, allegedly the man behind the successful phishing of the email account belonging to Hillary Clinton's campaign chairman, John Podesta.
Lukashev operated a Twitter account under the alias "Den Katenberg, " according to an analysis of the indictment as well as data supplied by the cybersecurity firm Secureworks and Twitter's "Find My Friends" feature.
A tipster using the Russian facial recognition search engine FindFace recently pointed the AP to a VKontatke account that, while using a different name, appears active and features photos of the same young, Slavic-looking man.
Many of his posts and his friends appear to originate from a district outside Moscow known as Voskresensky. The photos show him cross-country skiing at night, wading in emerald waters somewhere warm and visiting Yaroslavl, an ancient city northwest of Moscow. One video appeared to show Russia's 2017 Spasskaya Tower Festival, a military music festival popular with officers.
The AP could not establish with certainty that the man on the VKontatke account is Lukashev. Several people listed as friends either declined to comment when approached by the AP or said Lukashev's name was unknown to them.
Shortly thereafter, the profile's owner locked down his account, making his vacation snaps invisible to outsiders.
© 2018 La Presse Associée. Tous les droits sont réservés.
