Les détails de la dé-anonymisation du fondateur de Try2Check révélés

L’administrateur du service Try2Check, dé-anonymisé par les autorités américaines, a laissé de nombreux indices aux enquêteurs, ce qui a finalement permis de retrouver Denis Koulikov. L’Oncle Sam offre 10 millions de dollars pour sa tête… qui ne semble pas être la bonne !

Le chemin parcouru par les forces de l’ordre pour identifier Denis Koulikov, fondateur du service pirate Try2Check, un portail dédié aux données bancaires piratées a été décrite par l’acte d’accusation contre le Russe diffusée par le Département de la Justice US.

Tout a débuté, pour la première fois, sur le forum cybercriminel Mazafaka. Un portail regroupant des milliers de cybercriminels. Il était connu pour permettra d’acquérir des versions « personnalisées » du malware Zeus. Un outil qui fera parlé de lui au début des années 2000, puis SpyEye et le détournement de millions de dollars par le pirate BX1. Sur Mazafaka, un pirate informatique du nom de KreenJo va venir vanter Try2Check. Ce dernier utilisait le même numéro ICQ (555724) attribué à un autre utilisateur, Nordex. Déjà, côté « ghost », la démarche était ratée !

En février 2005, Nordex écrivait sur le forum Mazafaka qu’il était prêt à travailler sur des comptes bancaires piratés. Il proposait 50% aux pirates partenaires. Une adresse électronique était proposée, [email protected], pour le contacter. Comme les forces de l’ordre l’ont mentionné dans leur document, Nordex se présentait alors dans ses discussions avec d’autres utilisateurs comme Denis, âgé de 24 ans et originaire de Samara.

Après l’action du FBI, un message de Try2 annonçait la continuité du service ! – Capture : zataz.com

Décenie de cyber crime !

12 ans plus tard, nous sommes alors en 2017, le portail dédié à la cryptomonnaie BTC-e était saisi par les autorités américaines. Le FBI va retrouver Denis Koulikov, avec le pseudonyme Nordexin. Il s’y était inscrit avec l’adresse e-mail [email protected] et une adresse physique, à Samara.

Opération « Ghost » 2, ratée ! Là ou cela devient cocasse, les autorités vont réussir à établir que le compte iCloud de Koulikov était enregistré sous l’adresse [email protected]. Un cloud avec des photos de son passeport, de sa famille et de sa voiture de luxe, la fameuse Ferrari repéré sur les réseaux sociaux.

Opération « Ghost » 3, re’re’ratée. L’histoire ne dit pas comment le FBI est rentrée dans l’iCloud !

Le journaliste Krebs indique que Koulikov et Try2Check ont été « matchés » via plusieurs fuites : bankir.com et le forum Exploit. Ip et adresses mails s’y retrouvaient ! Sur bankir.com, avec la même adresse IP, un autre compte avait été enregistré, [email protected]. Cette adresse mail et d’autres similaires commençant par nordia@ partageaient un mot de passe commun, anna59.

En particulier, [email protected] a été utilisé pour s’inscrire sur un forum religieux au nom d’Anna Koulikova de Samara, et sur le portail d’articles ménagers westwing.ru, où son nom de jeune fille, Anna Verkhoturkina-Koulikova, ainsi que son adresse domicile à Samara, rue Kommunisticheskaya, 29, appartement 110, étaient indiqués.

Cette adresse était également enregistrée au nom de Denis Koulikov. La boucle est bouclé. Le Département de la Justice peut proposer 10 millions de dollars pour arrêter le pirate. Argent qui ne sortira jamais des poches du DoJ, tout comme Koulikov ne sortira jamais de Russie.

Dernier détail que ZATAZ peut révéler. L’administrateur d’un « club » de carding russe très couru dans le milieu, affirme que la personne sur la photo présenter par le FBI [capture écran zataz ci-dessus] n’est pas celle de l’administrateur de Try2Check.