Quatre ressortissants vietnamiens liés au groupe international de cybercriminalité FIN9 ont été inculpés pour leur implication dans une série d'intrusions informatiques qui ont causé plus de 71 millions de dollars de pertes à des entreprises aux États-Unis.

Les accusés, identifiés comme Ta Van Tai, Nguyen Viet Quoc, Nguyen Trang Xuyen et Nguyen Van Truong, ont perpétré leurs cybercrimes de mai 2018 à octobre 2021, volant des données et des fonds directement auprès d'organisations américaines.

« Les accusés de FIN9 étaient des pirates informatiques internationaux prolifiques qui, pendant des années, auraient utilisé des campagnes de phishing, des attaques contre la chaîne d'approvisionnement et d'autres méthodes de piratage pour voler des millions à leurs victimes. » déclare le procureur américain Philip R. Sellinger.

« Ils ont fait tout cela en se cachant derrière des claviers, des VPN et de fausses identités, et même alors, le ministère de la Justice les a trouvés. »

Le mode opératoire de FIN9

Le groupe aurait utilisé des courriels ou des communications électroniques frauduleux pour inciter des individus à révéler des informations personnelles telles que des identifiants de connexion, des mots de passe et des informations de carte de crédit.

Les attaques de phishing ciblées visaient des individus spécifiques au sein des organisations, apparaissant souvent comme des contacts de confiance pour obtenir un accès non autorisé au réseau informatique de la victime.

Le DOJ affirme que FIN9 ciblait les réseaux informatiques de fournisseurs tiers qui fournissaient des services ou des logiciels essentiels aux opérations de leurs victimes.

En compromettant ces fournisseurs, processus connu sous le nom d'« attaque de la chaîne d'approvisionnement », ils ont obtenu un accès indirect aux réseaux en aval.

Dans d'autres cas, ils auraient utilisé des logiciels malveillants et des scripts pour exploiter des vulnérabilités connues du réseau de la victime, facilitant ainsi l'accès non autorisé et l'exfiltration de données.

Une fois que FIN9 a établi l'accès à un réseau cible, ils ont volé des données confidentielles, notamment des informations financières, des informations d'identification de compte, des avantages sociaux, des cartes-cadeaux et des informations sur les cartes de crédit.

Ces données ont ensuite été monétisées via divers canaux, FIN9 vendant les données volées via les réseaux P2P et les plateformes de médias sociaux en échange de Bitcoin et d'autres cryptomonnaies.

Dans certains cas, FIN9 a utilisé les informations personnelles identifiables (PII) volées pour créer des comptes en ligne frauduleux et dissimuler ses activités illégales derrière des identités d'emprunt.

Le accusationdaté du 11 janvier 2024, indiquant éventuellement l'heure approximative des arrestations, présente des incidents spécifiques survenus en mai 2019.

Un cas mis en évidence est celui où FIN9 a accédé au système de reconnaissance et de récompense des employés d'une entreprise aux États-Unis, émettant environ 7 617 cartes-cadeaux d'une valeur d'environ 1 million de dollars sur des comptes de messagerie sous leur contrôle.

Cette attaque a touché plusieurs commerçants de détail, dont un grand détaillant de jeux vidéo et d’électronique.

La violation des émetteurs de cartes-cadeaux et la génération d'un grand nombre de cartes correspondent à celles de Storm-0539, un groupe de menace distinct qui a commencé à opérer en 2021, ses activités ayant culminé ces derniers mois.

A fait face à des accusations

Les quatre accusés encourent de lourdes peines s’ils sont reconnus coupables pour tous les chefs d’accusation, avec des peines cumulées potentielles s’étendant sur plusieurs décennies de prison.

Les six chefs d'accusation énumérés dans l'acte d'accusation, mais qui ne s'appliquent pas à tous les accusés, sont :

• Complot en vue de commettre une fraude et activités connexes en rapport avec des ordinateurs – Jusqu'à 5 ans de prison
• Complot en vue de commettre une fraude électronique – Jusqu'à 20 ans de prison
• Fraude et abus informatiques – Jusqu'à 10 ans de prison par chef d'accusation
• Vol d’identité aggravé – Peine obligatoire de 2 ans de prison
• Complot en vue de commettre une fraude en matière de documents d’identité – Jusqu’à 15 ans de prison
• Complot en vue de commettre un blanchiment d’argent – ​​Jusqu’à 20 ans de prison

Ta Van Tai est accusé de tout ce qui précède, Nguyen Viet Quoc est exclu des accusations de blanchiment d'argent et les deux autres sont également exemptés des accusations d'usurpation d'identité.

En outre, les défendeurs sont passibles de confiscation de tout bien obtenu directement ou indirectement de leurs activités illégales, avec la possibilité de confisquer des actifs de valeur égale si les biens ont été transférés ou échappent à la compétence du tribunal.