larges éclaircies
DE | FR
burger
International
Russie

Ukraine: comment des néonazis russes volent des cryptomonnaies

Des Russes volent des sites de dons en Ukraine.
Image: moment rf/watson

Comment des néonazis russes volent des cryptomonnaies aux Ukrainiens

Un groupe paramilitaire néonazi russe se finance avec de la cryptomonnaie volée. Des sites de dons ukrainiens, des drogues et des logiciels malveillants font partie de ce réseau criminel.
22.11.2022, 18:3322.11.2022, 18:34
Carl-Philipp Frank / watson.ch
Plus de «International»

Un enquêteur financier est tombé par hasard sur les activités douteuses d'un groupe néonazi en Russie. Le journal pro-occidental en exil Medusa a expliqué qu'en juillet 2022, Artem Irgebaev téléchargeait un jeu de tir sur un site de torrent: «Synthetik: Legion Rising». Une fois le fichier torrent téléchargé, il remarque un «comportement inhabituel». Quiconque a déjà attrapé un virus sur de tels sites connaît les symptômes: Puissance de calcul utilisée à plein régime, programmes inconnus fonctionnant en arrière-plan, etc.

Artem et ses amis, qui ont également téléchargé le jeu, se rendent compte que quelque chose ne va pas:

«Nous avons directement désactivé Internet et nous avons cherché le logiciel malveillant»

En y regardant de plus près, Artem a remarqué «des adresses de cryptowallet emballées dans le code». L'affaire est maintenant claire: son PC a été infecté par un logiciel malveillant dit du «presse-papiers».

Voici combien de temps votre mot de passe résistera à un hacker
Qu'est-ce qu'un logiciel malveillant du presse-papiers?
Pour transférer des cryptomonnaies à quelqu'un, il faut avoir son adresse. Celle-ci se compose d'un code de caractères (dont la longueur varie en fonction de la blockchain). Comme il est fastidieux de taper au moins 25 caractères à la main, il est possible d'utiliser le code par copier-coller. Le logiciel malveillant du presse-papier remplace le code copié dans le presse-papier par son propre code avant de l'insérer. Ainsi, on ne transfère plus au destinataire souhaité, mais au créateur du logiciel malveillant.

Outre ce logiciel malveillant plutôt difficile à détecter, un deuxième est caché dans le fichier du jeu: un programme de crypto-minage. L'ordinateur de la victime mine ainsi des cryptomonnaies (en consommant de la puissance de calcul et de l'électricité) et les envoie à un portefeuille. Rien d'inhabituel, explique Irgebaev à Medusa.

Armes biologiques en Ukraine: l'ONU refuse d'enquêter pour la Russie

Des militants néonazis à l'œuvre

Par curiosité, Artem cherche sur Google les adresses auxquelles elles appartiennent:

«J'ai immédiatement trouvé divers messages Telegram de chaînes Z [c'est-à-dire pro-russes], dans lesquels des dons sont collectés pour des uniformes et de l'équipement du groupe néonazi Rusich.[...] Auparavant, je pensais que les hackers russes se concentraient principalement sur l'influence des élections américaines; en fait, ils utilisent l'argent de ce logiciel malveillant pour acheter des gilets de protection.»

Rusich est l'un des nombreux groupes paramilitaires néonazis qui combattent aux côtés de l'armée russe en Ukraine. Toutefois, comme elles ne font pas formellement partie de l'armée, de telles unités doivent financer elles-mêmes leur équipement et leurs soins médicaux. La solution parfaite pour cela: les cryptomonnaies.

Selon ses propres déclarations, Rusich utilise effectivement l'argent transféré sur ces portefeuilles pour l'équipement et l'approvisionnement. Dans un post Telegram, le groupe a même publié une liste du matériel nécessaire. Depuis septembre 2022, cinq des portefeuilles de Rusich figurent sur une liste de sanctions américaines.

Rusich: Ces néonazis qui incitent à mutiler et tuer au nom de Poutine

Des mercenaires et des hackers

L'une des adresses de portefeuille apparaît également sur le site web de la fondation ukrainienne de dons Happy New Life. Les personnes peuvent y soutenir financièrement les forces armées ukrainiennes et les réfugiés, notamment par des crypto-paiements. La fondation a été créée en juin 2022 à Dnipro. Elle est née d'un mouvement local de bénévoles. Pourquoi donc les dons de la fondation vont-ils à Rusich?

Le fondateur de la fondation, Daniel Ovtcharenko, ne sait pas comment l'adresse de Rusich s'est retrouvée sur son site web. Il explique à Medusa que c'est l'adresse du portefeuille de la fondation qui devrait s'y trouver:

«Le portefeuille de la fondation, je l'ai eu de MetaMask [un logiciel qui crée des portefeuilles] et il est très différent [de l'adresse de Rusich], sauf les trois premiers caractères qui sont les mêmes.»

Il admet qu'il n'a, lui-même, presque pas participé à la création du site web et qu'il a été créé «rapidement et à moindre coût».

Rapide et à moindre coût signifie souvent aussi mal sécurisé. Pour l'enquêteur financier Irgebaev, il est donc clair que Rusich a piraté le site et échangé les adresses:

«Les arnaqueurs sur Internet font ça tout le temps et Rusich est un groupe avec beaucoup de talents. Ils ont des mercenaires et des hackers.»

Le site de Happy New Life est désormais en cours de maintenance. Le portefeuille Rusich en lien est toujours en service. Il contient actuellement plus de 7000 francs en Ethereum (au taux de change actuel).

Moscou multiplie les cyberattaques et la Suisse fait partie des victimes

Liens avec le trafic de drogue en ligne

Retour au PC d'Artem. L'infection par le logiciel malveillant a eu lieu juste après le téléchargement des fichiers du jeu. On peut donc penser que le groupe a créé lui-même le logiciel malveillant et l'a intégré dans le jeu sur le site de torrents. Selon Irgebaev, ce n'est pas forcément le cas: il est très probable que les néonazis se soient fait aider par des cybercriminels professionnels.

Le tout est appelé service de cybercriminalité: chaque étape d'une action criminelle sur Internet peut être achetée. Les logiciels malveillants, par exemple, sont généralement loués pour environ 200 francs par mois, selon leur complexité. On paie ensuite le propriétaire du site de torrent pour qu'il intègre lui-même le code du maliciel dans son propre site. L'utilisation de tels sites est en effet illégale dans la plupart des pays, c'est pourquoi aucun utilisateur n'a intérêt à poursuivre le propriétaire en cas d'infection.

On trouve facilement de tels services de cybercriminalité sur le Darknet. Rusich y a également des liens: Irgebaev a pu prouver qu'entre juillet et octobre 2022, le groupe a reçu l'équivalent de plus de 1700 francs de trois bourses de drogue séparées.

Il est peu probable que le groupe Rusich vende lui-même de la drogue sur Internet, tout comme il est peu probable que les exploitants de ces bourses aient payé le groupe pour ses services (militaires).

La solution la plus évidente est que les bourses de la drogue ont été utilisées pour anonymiser les paiements. Sur de telles plateformes, on achète une monnaie interne avec des crypto-monnaies «normales». On l'utilise ensuite pour payer la drogue, le service, etc. Ces transactions internes n'apparaissent pas dans la blockchain. On peut donc seulement voir que l'on a dépensé de l'argent sur la bourse, mais pas à qui cet argent a été versé.

«On se moque de nous»: des soldats russes font grève pour recevoir leur argent

Plus de 150 000 francs de «dons»

La majeure partie des avoirs sur les portefeuilles de Rusich provient de transactions directes. D'autant plus que les adresses officielles de dons de Telegram et les adresses des logiciels malveillants sont les mêmes, il n'est pas possible de déterminer exactement quelle quantité provient de quelle source. Les transactions présentent toutefois des caractéristiques curieuses:

  • 27 895 ETH (Ethereum), soit plus de 45 000* francs, transférés en 146 transactions, en moyenne plus de 300 francs par «don».
  • 2,2611 BTC (Bitcoin), soit plus de 47'000 francs, transférés en 433 transactions, en moyenne plus de 106 francs par «don».
  • 20 142.37 USDC (USD Coin), soit plus de 20'000 francs, en moyenne 5000 francs par «don».

Ces chiffres sont tout de même très élevés pour que ces «dons» proviennent uniquement d'utilisateurs de Telegram qui ont vu des annonces de Rusich. Les montants moyens des dons, en particulier, semblent douteux.

Que dit Rusich?

Medusa a interrogé le leader du groupe, Alexei Milchakov, sur les faits: le volume important d'argent, la fondation piratée, les attaques de logiciels malveillants, les bourses de drogue. Milchakov avoue candidement tout:

«Ce sont nos propres services financiers et informatiques qui ont commis les actes décrits. Oui, notre service informatique est capable de pirater les sites web et autres ressources Internet de l'ennemi, et nous pouvons également mener d'autres activités contre la soi-disant ‹Ukraine› (notre éventail d'activités est encore plus large). Ce site web [la fondation ukrainienne] n'est que la partie émergée de l'iceberg. D'ailleurs, les collaborateurs qui causent le plus de morts chaque mois par leur travail sont généreusement rémunérés. Le département financier effectue des opérations dans les domaines de la cryptographie, des pierres précieuses, des transactions en espèces et du blanchiment d'argent (uniquement en dehors de la Russie, nous respectons les lois de notre pays). Cela comprend également des voyages d'affaires chez des trafiquants internationaux du marché noir qui souhaitent nous parrainer (Mexique, Hong Kong, Somalie, etc.). Notre ‹projet› bénéficie, selon nous, d'un soutien important de la part des gangs et des cartels qui ne sont pas satisfaits de la domination mondiale des Etats-Unis.»

Milchakov souligne qu'il ne bénéficie pas personnellement d'argent des dons; il décide seulement de la manière dont il est dépensé.

En septembre, sur le canal de Rusich, Milchakov a suggéré aux soldats russes de faire chanter les proches de prisonniers de guerre ukrainiens: «Ne laissez pas les corps [des prisonniers morts] sur place, prenez une photo sur laquelle le visage est bien visible. Ensuite, contactez les proches et proposez-leur de révéler l'endroit où leur bien-aimé a été enterré en échange de 2000 dollars américains».

Thèmes
Russie: un soldat exige devant l'équipe qu'on lui verse les 300 000 roubles promis
Video: twitter
Plus d'article sur la bataille de Kherson
Retrait de Kherson: le château de cartes de Poutine s'effondre
Commentaire
En quittant Kherson, la Russie reconnaît sa défaite
«La Russie veut éliminer l'ethnie ukrainienne»: ce que cache l'évacuation de Kherson
Les combats pour Kherson deviennent de plus en plus féroces
Dans le sud, une défaite complète des Russes est désormais envisageable
Les Ukrainiens s'approchent de Kherson, voici comment les Russes se préparent
Montrer tous les articles
0 Commentaires
Connexion
user avatar
Comme nous voulons continuer à modérer personnellement les débats de commentaires, nous sommes obligés de fermer la fonction de commentaire 72 heures après la publication d’un article. Merci de votre compréhension!
Les plus lus
1
Quel est le supermarché le plus cher de Suisse? Le résultat est inattendu
2
Migros met un frein à la «plus grande innovation produit de son histoire»
3
Vous avez voté pour la plus belle patinoire de Suisse: voici le résultat 🏆
Le procès qui effraie Trump a vraiment démarré et on y était
L'ouverture du procès pénal de l'ex-président américain promet quelques semaines d'évènements dramatiques. Notre correspondante à New York vous raconte l'ambiance cinématographique qui s'y trame.

Dans un tribunal, les choses ne se passent pas comme dans les films, avertissait le juge Juan Merchan, aux douze jurés du procès pénal de l'ex-président Donald Trump. C'est peut-être vrai en ce qui concerne certaines règles et normes – pourtant, on a rarement vu un procès aussi digne d'un scénario cinématographique.

L’article