Un Ukrainien dit qu’il a pénétré par effraction dans le portefeuille principal du marché de la drogue Solaris et a détourné ses fonds vers une organisation caritative ukrainienne.

Ce Noël, l’expert ukrainien en cyber-intelligence Alex Holden redonne à sa patrie. Le résident de Mequon, dans le Wisconsin, joue à Robin Hood sur le dark web : son équipe de Hold Security a piraté l’un des plus grands marchés de la drogue en ligne de Russie, surnommé Solaris, et a détourné la crypto en raison des revendeurs et des propriétaires du site vers une organisation caritative, Enjoying Life, qui fournit l’aide humanitaire dans toute l’Ukraine.

Holden, qui a quitté Kyiv à l’adolescence dans les années 1980 au milieu des retombées de la catastrophe nucléaire de Tchernobyl, a refusé de révéler comment il l’avait fait, mais a déclaré qu’il était capable de prendre le contrôle d’une grande partie de l’infrastructure Internet alimentant Solaris, un certain nombre de comptes d’administrateur exécutant le bazar illicite, le code source du site Web et une base de données de ses utilisateurs, ainsi que des lieux de dépôt pour les livraisons de drogue. Pendant une brève période, son équipe a également eu le contrôle du « portefeuille principal » de Solaris. Ce portefeuille était utilisé par les acheteurs et les revendeurs pour déposer et retirer des fonds, agissant comme l’échange de crypto-monnaie du site.

Holden a montré Forbes plusieurs captures d’écran d’accès aux comptes d’administration Solaris et au portefeuille principal, et un expert ukrainien en cybersécurité a confirmé que les captures d’écran semblaient effectivement montrer l’accès aux comptes backend Solaris.

Avec de l’argent entrant et sortant rapidement du portefeuille, il contenait rarement plus de 3 bitcoins, d’une valeur de 50 000 $, a déclaré Holden. Cela signifiait qu’il n’y avait pas une somme énorme à siphonner, bien qu’il ait réussi à récupérer 1,6 bitcoin, d’une valeur de 25 000 $, et l’a envoyé à Enjoying Life. Hold Security fait également un don distinct de 8 000 $.

La cofondatrice de Enjoying Life, Tina Mikhailovskaya, a confirmé que l’organisation à but non lucratif avait reçu le don, affirmant que toutes les contributions allaient directement aux personnes âgées, aux familles et aux personnes déplacées à l’intérieur du pays qui ont souffert à cause de la guerre en Russie.

Holden est maintenant assis sur une importante cache d’informations sur les utilisateurs et les opérations de Solaris, qui, selon lui, pourraient être utilisées pour identifier les allées et venues de tout cybercriminel russe qui utilise le site pour alimenter leurs opérations. Il a également gardé le contrôle de diverses parties du marché, jusqu’à présent sans être détecté. En devenant public via Forbes, il veut effrayer les propriétaires pour qu’ils ferment le site. Il y a aussi un avantage politique à l’attaque. « Peut-être que les Russes sans leurs drogues regarderaient sobrement leur pays et feraient quelque chose », a-t-il dit. « Peut-être que le Kremlin ne défendra pas le trafic de drogue de son pays et ne réglera pas les problèmes de drogue au lieu d’envahir l’Ukraine. »

La connexion Killnet

Les attaques pourraient avoir un impact au-delà du trafic de drogue sur le dark web en Russie. Cela peut perturber l’un des associés de Solaris : une équipe de piratage connue sous le nom de Killnet. Apparu au début de l’année, Killnet a d’abord proposé de supprimer des sites Web moyennant des frais en les inondant de trafic, communément appelé attaque par déni de service distribué (DDoS). Mais après l’invasion de l’Ukraine par la Russie, Killnet est devenu une équipe de piratage mercenaire patriotique, promettant de cibler les Ukrainiens et leurs partisans. Il a ensuite ciblé les sites Web des aéroports américains, la National Geospatial-Intelligence Agency et divers sites Web du gouvernement des États avec des attaques DDoS. Parmi ses cibles européennes figuraient le concours Eurovision de la chanson, le gouvernement estonien et l’Institut national italien de la santé, selon des informations. Bien que ces attaques aient pu ralentir ou empêcher l’accès aux sites Web des organisations ciblées, elles ont eu un impact minime par rapport à l’armée ukrainienne de l’informatique, qui a ciblé diverses grandes organisations russes, dont la Sberbank et la bourse de Moscou, avec ses propres Attaques DDoS.

Holden tient à contrecarrer Killnet de toutes les manières possibles, et son infiltration de Solaris offre une voie car l’échange a de nombreux liens avec le groupe de piratage russe. Au cours de l’été, ce dernier a mené des attaques DDoS contre le principal rival de Solaris, Rutor, devenu le leader du marché clandestin de la drogue en Russie après la fermeture d’un autre bazar, Hydra, en mars. Les analystes de la société américaine de cybersécurité ZeroFox ont déclaré plus tôt cette année qu’il semblait que Solaris payait pour les services DDoS de Killnet.

La propre direction de Killnet a également exprimé son soutien de Solaris. Dans une interview accordée en octobre à la publication russe RT, un fondateur de Killnet connu sous le nom de KillMilk a déclaré que son gang bénéficiait d’un « énorme soutien » de la part de « l’équipe audacieuse et solide » de Solaris. Après s’être engagé à pirater les agences gouvernementales américaines en réponse au soutien américain à l’Ukraine, il a déclaré qu’il connaissait l’équipe Solaris « depuis très longtemps ».

Andras Toth-Czifra, analyste de la société de cyber-intelligence Flashpoint, a suivi les opérations de Killnet au cours de la dernière année. Il a noté que peu de temps après l’interview de RT, les pirates ont déclaré dans un article de Telegram qu’ils avaient reçu des contributions financières de Solaris. « C’était essentiellement une publicité placée sur la chaîne de Killnet », a déclaré Toth-Czifra.

Holden, estimant que Killnet est financé par l’argent de la drogue de Solaris, a ajouté que « peut-être que la rupture de cette connexion éliminera un peu de carburant du feu d’ordures de Killnet ».