L'étrange cas de Konstantin Kozlovsky
- 29 mars 2021
David J. Smith
29 mars 2021
Le 17 mars, un tribunal de la ville d'Ekaterinbourg, dans le district russe de l'Oural, a ordonné la réarrestation du pirate informatique Konstantin Kozlovsky, qui avait été libéré après avoir purgé plus de quatre ans de prison.
En tant que leader du collectif de piratage Lurk, Kozlovsky a été accusé d'avoir volé des milliards de roubles à plusieurs banques russes (1 $ US = 75 roubles). Mais Lurk a vraiment attiré l'attention en tentant de voler 23 millions de roubles à Concord, une entreprise de restauration favorisée par le Kremlin dirigée par l'initié de Poutine Evgeny Prigozhin. C'est la chose la plus stupide qu'un Russe puisse faire, à moins qu'il n'y ait plus dans l'histoire.
Il y a beaucoup plus.
Le principal titre de gloire de Kozlovsky est que c'est lui qui a piraté les ordinateurs du Parti démocrate à l'approche de l'élection présidentielle américaine de 2016.
Quelqu'un - probablement au Service fédéral de sécurité (FSB), ou peut-être même au Kremlin - ne veut pas que les doigts de Kozlovsky frappent librement un clavier.
Il n'y a aucune preuve accessible au public de tout ce que dit Kozlovsky. Mais les autorités russes se sont un jour contentées de le faire entendre.
Kozlovsky a été arrêté pour la première fois le 18 mai 2016 et détenu à la prison Matrosskaya Tishina de Moscou jusqu'au 27 octobre 2020.
Depuis son perchoir carcéral, il a maintenu une page Facebook et a même accordé une interview, par un intermédiaire, à Dozhd Television. Ce n'est pas un traitement standard dans les établissements pénitentiaires russes, donc quelqu'un d'important voulait diffuser au moins une partie de ce que Kozlovsky avait à dire.
Son affirmation la plus explosive était que tout ce qu'il faisait était pour le FSB, en particulier Dmitry Dokuchaev, chef adjoint du Centre de sécurité de l'information. Ancien hacker, également originaire d'Ekaterinbourg, Dokuchaev — nom de code Ilya — aurait recruté Kozlovsky en 2008.
En 2016, Kozlovsky a déclaré qu'il avait livré 850 Go de données volées du Parti démocrate à Dokuchaev. De plus, Kozlovsky a revendiqué la paternité d'un programme informatique appelé LDCS pour "remplacer les informations sur Twitter, Facebook, Google et les principaux médias américains". Il n'y a pas beaucoup de détails, mais cela ressemble à une variante du logiciel malveillant de piratage de navigateur. Il semble également curieusement proche d'un projet apparemment initié par le SVR (le service de renseignement étranger de la Russie) en 2013-2014 pour automatiser la propagande sur les plateformes de médias sociaux occidentales."La technologie décrite, LDCS, c'est un code assez typique appelé podmena ou substitut en argot russe, principalement utilisé pour modifier de vrais liens publicitaires pour la promotion illégale de quelqu'un d'autre ou pour des opérations de fraude bancaire illégales", explique Vrublevsky. "En réalité, cependant, cela ne peut probablement pas être fait, car si une fraude comme celle-ci se produit à grande échelle, le logiciel antivirus la bloque presque immédiatement."
Le SVR et le FSB sont tous deux issus du KGB soviétique et certains pensent qu'ils exercent un contrôle conjoint sur Cozy Bear, également connu sous le nom de menace persistante avancée (APT)-29. Récemment lié à la brèche de Solar Winds, APT-29 est l'un des deux groupes associés au gouvernement russe impliqués dans les piratages du Parti démocrate. Sans surprise, Kozlovsky a affirmé qu'il était membre de Cozy Bear. L'histoire est cohérente en interne, et il est concevable qu'une personne occupant le poste de Dokuchaev au FSB ait des liens avec l'APT-29.
Selon Kozlovsky, le FSB était également derrière la tentative de casse de Concord. Leur plan était de mettre en place le groupe Lurk pour pirater un proche de Poutine afin que le FSB puisse attraper les coupables, gagnant ainsi la gratitude du Kremlin pour le Centre de sécurité de l'information.
Kozlovsky a même affirmé être l'auteur de WannaCry, un ransomware généralement attribué au groupe nord-coréen Lazarus ou APT-38. Lazarus est connu pour opérer depuis la Corée du Nord, mais aussi depuis la Chine et la Russie. Est-il possible qu'il ait reçu l'aide du FSB et que Kozlovsky ait joué un rôle, bien que plus modeste qu'il ne le prétendait ?
Si Dokuchaev était le gestionnaire de Kozlovsky, c'était un homme occupé. En février 2017, il a été inculpé par un grand jury fédéral américain, alléguant qu'entre 2014 et 2016, lui et d'autres avaient dirigé un « complot de cyber-intrusion » contre Yahoo, volant des informations sur 500 millions de comptes.
« Après quoi les auteurs présumés étaient-ils ?
En partie, ils ont utilisé l'accès aux réseaux de Yahoo pour identifier et accéder à des comptes susceptibles d'intéresser le FSB… Cependant, les co-conspirateurs n'étaient pas au-dessus d'utiliser les informations qu'ils ont volées à des fins financières personnelles », écrit le FBI.
Mais lorsqu'un mandat d'arrêt américain a été émis, Dokuchaev, son patron, Sergey Mikhailov, et Ruslan Stoyanov, un employé de Kaspersky, avaient déjà été arrêtés par le FSB pour trahison d'État. Le mot dans la rue virtuelle est qu'ils ont informé les renseignements américains sur les piratages des ordinateurs du Parti démocrate. Le trio a apparemment été pointé du doigt par le chef arrêté d'un groupe qui faisait chanter de hauts responsables du gouvernement, des oligarques bien connectés et des membres de la Douma d'État.
Il y a certainement une mesure de vantardise dans les affirmations de Kozlovsky.
Et il a sans aucun doute cherché à plaire aux procureurs et à la faction du FSB qui a arrêté Dokuchaev, Mikhailov et Stoyanov. Mais maintenant, quelqu'un de haut placé veut qu'il soit enfermé, et cela indique qu'il y a probablement une part de vérité dans ce qu'il dit – ou pourrait dire.
Et cela en dit long sur la Russie contemporaine.
Copyright © 2021, David J. Smith
REF.: