Les forces de l’ordre internationales viennent de porter un coup sévère à la cybercriminalité. L’opération Magnus, menée conjointement par plusieurs pays dont les États-Unis et les Pays-Bas, a permis de démanteler l’infrastructure de deux redoutables malwares : Redline et Meta. Ces chevaux de Troie étaient utilisés pour dérober des informations sensibles à des millions de victimes à travers le monde.
Les failles de sécurité du développeur présumé de Redline
Maxim Rudometov, un ressortissant russe, a été inculpé par la justice américaine pour son rôle présumé dans le développement et la distribution de Redline. Son identification a été rendue possible grâce à une série d’erreurs en matière de sécurité opérationnelle (opsec).
Selon l’acte d’accusation, Rudometov a utilisé un compte email Yandex connu des autorités pour s’inscrire sur des forums de hacking russophones. Il y employait plusieurs pseudonymes, réutilisés sur d’autres plateformes comme Skype et iCloud. C’est justement dans son compte iCloud que les enquêteurs ont pu récupérer de nombreux fichiers, dont certains identifiés comme étant liés à Redline.
La même adresse email a également permis de remonter jusqu’au profil VK de Rudometov. Les autorités ont constaté une forte ressemblance entre lui et un individu apparaissant dans une publicité vantant ses compétences en développement de botnets et stealers. Pour couronner le tout, l’un de ses pseudonymes était même utilisé sur le site de rencontres de VK !
Redline, un malware aux nombreuses victimes
Grâce à un tuyau d’une entreprise de sécurité, les autorités américaines ont pu analyser les données contenues sur l’un des serveurs utilisés par Redline. Elles ont ainsi pu établir des liens supplémentaires entre Rudometov et ce malware, qui a infecté des millions d’ordinateurs depuis février 2020, y compris plusieurs centaines de machines du Département de la Défense américain.
Rudometov accédait et gérait régulièrement l’infrastructure de Redline, était associé à divers comptes de cryptomonnaies utilisés pour recevoir et blanchir les paiements, et était en possession du malware.
Département de la Justice américain
Une opération d’envergure internationale
Au niveau européen, l’opération Magnus a permis la mise hors service de trois serveurs aux Pays-Bas et la saisie de deux domaines utilisés pour le contrôle de Redline et Meta. Plusieurs comptes Telegram liés à ces malwares ont aussi été fermés, stoppant net leur distribution.
En Belgique, deux autres individus ont été interpellés, dont un client du malware. Cette action coordonnée montre la détermination des forces de l’ordre à s’attaquer aux réseaux criminels qui profitent de la numérisation de notre société.
Les leçons à tirer pour la sécurité
Au-delà de la prouesse policière, cette affaire met en lumière l’importance cruciale de l’opsec pour les acteurs légitimes comme illégitimes. Voici quelques enseignements clés :
- Cloisonner strictement ses identités numériques pour éviter les recoupements
- Utiliser des moyens de communication chiffrés et des emails jetables
- Stocker le minimum de données sensibles dans des services cloud
- Ne jamais réutiliser un pseudonyme d’un contexte à l’autre
L’opération Magnus prouve que même les cybercriminels les plus avertis ne sont pas à l’abri d’erreurs. C’est une bonne nouvelle pour la sécurité de tous, mais aussi un rappel constant de la vigilance à observer dans nos vies numériques.
