Trois ans d'infiltration avec les voleurs d'identité

Les vendeurs et les parents connaissent bien la technique. C'est ce qu'on appelle les plats à emporter, et en ce qui concerne Keith Mularski, c'est la raison pour laquelle il a conservé son poste d'administrateur du site de fraude en ligne DarkMarket.

DarkMarket était ce qu'on appelle un site «carder». Comme un eBay pour les criminels, c'était là où les voleurs d'identité pouvaient acheter et vendre des numéros de cartes de crédit volés, des identités en ligne et des outils pour fabriquer de fausses cartes de crédit. Fin 2006, Mularski, qui avait gravi les échelons sous le nom de Master Splynter, venait d'être nommé administrateur du site. Mularski avait non seulement le contrôle sur les données techniques disponibles sur place, mais il avait le pouvoir de faire ou défaire les voleurs d'identité en leur accordant l'accès au site. Et tout le monde n'était pas content de l'arrangement.

Un hacker nommé Iceman - les autorités disent qu'il était en réalité le résident de San Francisco Max Butler - qui dirigeait un site Web concurrent, disait que Mularski n'était pas le spammeur polonais qu'il prétendait être. Selon Iceman, Maître Splynter était vraiment un agent pour le Federal Bureau of Investigation des États-Unis.

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

Iceman avait des preuves pour étayer sa demande mais ne pouvait pas prouver quelque chose de façon concluante. À l'époque, tous les autres administrateurs du site étaient accusés d'être des agents fédéraux et Iceman avait des problèmes de crédibilité. Il venait de pirater DarkMarket et trois autres forums de cardeurs dans une pièce agressive pour prendre le contrôle de tout le marché noir des informations sur les cartes de crédit volées.

C'est alors que Mularski est allé chercher les plats à emporter. Les vendeurs ont longtemps utilisé cette tactique pour sceller des transactions difficiles: Vous prenez simplement l'affaire sur la table dans l'espoir que cela va inciter le client à venir à vous. Blessé par des questions sur sa crédibilité, il a menacé de démissionner complètement. "J'ai décidé de tout risquer et je me suis dit: 'Hé, si tu penses que tu peux faire un meilleur travail sur le site et si tu penses que je suis nourri, alors prends tout ce que je veux. à faire avec », se souvient-il récemment dans une interview. "Quel organisme d'application de la loi, après avoir surveillé le site, voulait le rendre aux méchants?"

Le jeu de Mularski a payé, et les autres administrateurs de DarkMarket l'ont laissé rester encore deux ans.

En fin de compte, ils regretteraient cette décision. Iceman avait raison: l'agent spécial de supervision J. Keith Mularski était allé plus loin dans le monde de la fraude informatique en ligne que tout agent du FBI auparavant. En collaboration avec des services de police en Allemagne, au Royaume-Uni, en Turquie et dans d'autres pays, il a mené une enquête remarquable qui a permis d'arrêter 59 escroqueries et d'empêcher 70 millions de dollars de fraude bancaire avant que le FBI ne mette fin à l'Opération DarkMarket le 4 octobre 2008.

Mularski travaille pour une division peu connue du FBI appelée Cyber ​​Initiative et Resource Fusion Unit, dirigée par la National Cyber-Forensics & Training Alliance à Pittsburgh, en Pennsylvanie. L'unité est différente d'un bureau de terrain typique du FBI. Il travaille main dans la main avec l'industrie et prend le temps de faire les recherches approfondies nécessaires pour pénétrer le monde des criminels en ligne.

"Ils ont une relation personnelle directe avec les gens de l'industrie dans tous les domaines, mais spécifiquement une excellente relation avec le financier. institutions », a déclaré Gary Warner, directeur de la recherche en informatique judiciaire à l'Université de l'Alabama à Birmingham. Le groupe travaille également en étroite collaboration avec les forces de l'ordre internationales, préparant le terrain pour poursuivre les criminels sur Internet qui lancent des attaques au-delà des frontières nationales. "Ces relations leur permettent de prendre en charge des cas que personne d'autre n'assumerait", a déclaré Warner.

La vie de Mularski en tant que spammeur infiltré a commencé en juillet 2005, quand il a créé sa poignée Master Splynter en hommage au joue sensei aux Teenage Mutant Ninja Turtles. Son unité a lancé un projet appelé Slam-Spam, et Mularski, un nerd informatique avoué, a dit qu'il avait ramassé beaucoup de trucs de spam avant de commencer l'opération. "Je pourrais parler boutique," dit-il.

Il n'a pas envoyé de spam lui-même, mais il savait quelles questions poser et - plus important encore - que ne pas demander. Il a gardé son personnage comme un spammeur. Si quelqu'un l'abordait avec une nouvelle attaque «zero day», il ne demanderait pas de détails. Et il a évité d'aller chercher des informations personnelles, ne demandant pas aux membres du forum des cadeaux de copains évidents comme où ils vivaient. "La chose est avec ces gars, vous ne pouvez pas nécessairement les cibler et les approcher à l'improviste," at-il dit. "Donc en étant là-bas et ne se souciant pas vraiment des choses - j'ai joué beaucoup de choses nonchalantes - j'ai pu gagner leur confiance."

Les heures étaient longues; Les escrocs ne travaillent pas de 9 à 5. "Parfois, j'ai passé jusqu'à 18 heures par jour en ligne", a déclaré Mularski. «J'étais en ligne tous les jours depuis août 2006 jusqu'à la fin de l'opération.»

Son temps de discussion le plus actif était entre 10 heures du soir et une ou deux heures du matin. "Tous les soirs je regardais la télé avec ma femme à côté de moi et l'ordinateur était allumé, juste au cas où quelqu'un aurait besoin de m'attraper", se souvient-il.

Après 10 ans de mariage Agent du FBI, la femme de Mularski savait que les opérations pourraient réduire le temps personnel. Cela n'aurait pas pu être facile, cependant. "Elle était la vraie sainte dans toute cette affaire", at-il dit.

Maître Splynter n'a pas non plus pris de vacances, même si Mularski l'a fait. "Habituellement, si vous n'allez pas être en ligne, vous devez donner un avis parce qu'ils se demandent ce que vous faites, que vous ayez été arrêté ou non, donc si je voyageais quelque part et que je ne pouvais pas être en ligne, Je prévois toujours ces types à l'avance. "

En septembre 2006, Mularski était devenu un modérateur sur DarkMarket. Pas aussi puissant qu'un administrateur, il était toujours un gestionnaire de confiance, un cran au-dessus des évaluateurs qui évaluaient la qualité des produits vendus sur le site.

C'est à ce moment-là qu'il a eu sa grande chance. Et il venait d'une source improbable: Iceman lui-même. Selon les autorités, Iceman faisait une pièce pour contrôler le marché des fausses cartes de crédit en piratant quatre sites de cardeurs, dont DarkMarket, les déconnectant et en transférant leur adhésion sur son propre site, CardersMarket.

Même lorsque le site était de retour et en cours d'exécution, Iceman a continué à frapper DarkMarket avec des attaques par déni de service distribué (DDoS), qui l'accableraient de vagues de trafic Internet inutile.

Mularski ne savait pas comment les choses allaient se dérouler, mais en septembre 2006 il a vu sa chance. Il a commencé à parler avec Iceman de rejoindre CardersMarket en tant que modérateur, mais a vite réalisé qu'il avait une meilleure chance avec un autre administrateur de DarkMarket, Renu Subramaniam, alias JiLsi. "Je lui ai dit en gros: 'Hey, je peux sécuriser vos serveurs pour vous'", a déclaré Mularski. JiLsi a fait de lui un modérateur, mais a refusé de lui accorder un accès administratif.

Puis un samedi soir un mois plus tard, DarkMarket a commencé à se faire marteler avec une autre attaque DDoS. "Je parlais avec JiLsi et j'ai dit:" Hey, je peux sécuriser le site, les serveurs sont prêts. "

La réponse de JiLsi:" Allons-y. "

Mularski était maintenant un homme fait. En tant qu'administrateur du site, il pouvait suivre les personnes qui se connectaient et, surtout, lire tout ce que les cyberthieves se disaient les uns aux autres. Travaillant avec ses contacts internationaux en matière d'application de la loi, Mularski compila des preuves et, un à un, son équipe traqua les escrocs qui dirigeaient DarkMarket.

Markus Kellerer, a.k.a. Les autorités allemandes l'ont arrêté avec cinq autres escrocs en mai 2007. Quelques mois plus tard, le mécène de Mularski, JiLsi, a été arrêté au Royaume-Uni, l'une des premières cibles d'une organisation britannique récemment créée, la Serious Organised Crime Agency. Septembre l'année dernière l'opération avait à peu près terminé son cours. L'approbation du FBI pour l'opération DarkMarket devait expirer le 5 octobre, et les autorités turques avaient finalement arrêté Cha0, (le vrai nom de Cagatay Evyapan), considéré comme l'une des meilleures cibles du FBI. Evyapan se considérait comme un "criminel organisé très traditionnel", et pas seulement comme un hacker informatique, a déclaré Mularski, un ingénieur électricien qui fabriquait des appareils d'écrémage de guichets automatiques et de points de vente pouvant être branché à des machines légitimes.Il a montré son côté méchant quand un associé nommé Kier (les nouvelles l'ont appelé comme Mert Ortac) a parlé avec les médias turcs au début de 2008, en colère contre Evyapan. "Il l'a kidnappé et torturé et a posté une photo de Kier dans ses sous-vêtements qui est maintenant célèbre", a déclaré Mularski.

Le panneau lisait, entre autres, "Je suis rat, je suis cochon, je suis journaliste. Evyapan disparut: "Nous avions sorti tous les administrateurs de DarkMarket, et cela me laissait à peu près au sommet", dit Mularski.

Il resta néanmoins dans son personnage pour quelques semaines de plus. En septembre, il a posté une note disant qu'il fermait le site, en partie à cause de l'infiltration policière. "Il est évident que les services spéciaux et les services de sécurité sont toujours là dans nos rangs, ils continuent à rassembler des preuves sur nous, ils lisent nos messages, ils parlent avec nos vendeurs, ils cherchent à voir qui sont Les membres actifs du forum ", écrit-il, selon un article publié sur Wired.com.

Mais Mularski savait toujours qu'avec toutes les arrestations internationales, il y avait une chance, à cause d'erreurs ou de différences dans les processus judiciaires, que son nom serait rendu public. Et c'est finalement ce qui est arrivé. Un journaliste allemand, Kai Laufen, travaillant sur une histoire de la cybercriminalité, a découvert le nom de Mularski dans des documents judiciaires relatifs à l'affaire Kellerer. Le 13 octobre, Wired a rapporté l'histoire et tout le monde savait.

Pourtant, certains des copains de Mularski ont refusé de croire les rapports. «Ces gars-là m'ont tellement fait confiance que même après la publication de l'article de Wired, deux jours plus tard, les gens me demandaient que c'était un canular et s'assuraient que tout allait bien.»

La plupart étaient silencieux Cependant, après que Mularski les ait écrit en disant qu'il était bel et bien un agent du FBI.

Un pirate informatique qui s'appelait Theunknown avait juré à Mularski: «Vous êtes nourris de merde … vous n'allez jamais m'attraper. "Pourquoi ne vous tournez-vous pas? Il bat le reste de votre vie en fuite", a écrit Mularski. Une semaine plus tard, Theunknown suivit son conseil.