Comment IRS-CI a utilisé Blockchain Intelligence pour démanteler la place de marché xDedic

‍

L'Internal Revenue Service, Criminal Investigation (IRS) est chargé d'enquêter sur les infractions pénales au code fiscal américain et sur les délits financiers connexes. Ils sont spécialisés dans la recherche de l'argent lié à de nombreuses violations de la loi fédérale, y compris le blanchiment d'argent, la cybercriminalité et les délits fiscaux. 

Depuis la création du groupe en 2018, l IRS a travaillé sur la plupart des plus grandes affaires de crypto-monnaie illicite au monde, ce qui a donné lieu aux plus importantes saisies d'actifs numériques à ce jour. L IRS continue de jouer un rôle essentiel dans la lutte contre la criminalité fiscale, à la fois au niveau national aux États-Unis et au niveau mondial, en collaboration avec des partenaires internationaux. 

L'essor de la place de marché xDedic

La place de marché xDedic s'est fait connaître aux alentours de 2014. Cette place de marché du darknet vendait des identifiants d'accès à distance compromis à des systèmes informatiques dans le monde entier, ce qui permettait aux cybercriminels de faire toutes sortes de ravages dans la vie des individus et des organisations, notamment en matière de fraude financière, de Rançonlogiciel et d'extorsion.

"La place de marché xDedic répertoriait plus de 700 000 identifiants pour des serveurs du monde entier, dont 150 000 aux États-Unis et 8 000 en Floride", a déclaré Justin Allen, agent spécial de l'IRS. "L'une des plus grandes victimes était les sociétés d'experts-comptables aux États-Unis. 

M. Allen a expliqué que les auteurs de la menace utilisaient des identifiants volés sur la place de marché xDedic pour accéder aux données des clients des cabinets d'experts-comptables, voler les informations fiscales des clients, puis utiliser ces informations pour remplir de fausses déclarations de revenus l'année suivante, générant ainsi d'importants remboursements frauduleux que les auteurs de la menace empochaient pour leur propre compte.

Comment la coopération internationale a conduit à la disparition du xDedic

L'IRS a eu connaissance du système xDedic en 2016, lorsqu'une victime de Tampa, en Floride, a alerté les autorités locales sur les informations et les remboursements volés. M. Allen et son équipe ont réagi avec leurs partenaires fédéraux chargés de l'application de la loi, ont examiné les artefacts numériques compromis et ont déterminé que les informations d'identification, ainsi que celles de centaines de milliers d'autres personnes, avaient été vendues sur la place de marché xDedic.

Une fois que l IRS et ses partenaires ont identifié les adresses de crypto-monnaies associées à la place de marché, ils ont utilisé l'blockchain intelligence pour démêler le réseau d'adresses associées et la procédure légale pour identifier les sujets du monde réel. Ils ont ensuite été en mesure d'identifier l'emplacement du serveur et ont travaillé avec des partenaires internationaux pour saisir les données, qui ont fourni encore plus d'informations sur les administrateurs et les vendeurs utilisant la place de marché.

Les enquêteurs ont également retracé les paiements effectués sous couverture sur les comptes xDedic. Ils ont ensuite examiné les transactions sortantes afin d'identifier les paiements d'infrastructure, les fournisseurs et les administrateurs. Ces paiements aux fournisseurs et aux administrateurs n'étaient pas directs ; ils passaient fréquemment par des services non attribués ou des mélangeurs. Les enquêteurs ont donc combiné l'analyse de la blockchain et les renseignements de sources ouvertes pour identifier les acteurs de la menace. 

‍

‍

"Nous avons identifié et inculpé 19 personnes, dont certains administrateurs, vendeurs et personnes qui utilisaient le site", a expliqué M. Allen. 

M. Allen et son équipe ont également travaillé en étroite collaboration avec les autorités chargées de l'application de la loi en Belgique et en Ukraine, l'agence européenne chargée de l'application de la loi, Europol, l'unité nationale de lutte contre la criminalité de haute technologie de la police nationale néerlandaise et le Bundeskriminalamt allemand. Grâce à leur soutien, IRS a pu arrêter et extrader des individus impliqués dans ces crimes dans quatre pays différents, y compris un sujet extradé qui avait utilisé la place de marché xDedic pour demander des remboursements d'impôts américains d'un montant supérieur à 68 millions de dollars sur une période de neuf mois.

Connecter le xDedic à d'autres cas de cryptographie

Non seulement l IRS et ses partenaires ont fermé la place de marché xDedic et arrêté plusieurs administrateurs et vendeurs, mais l'enquête a également généré de nombreuses pistes basées sur les transactions en crypto-monnaie des cybercriminels concernés. 

Par exemple, M. Allen a fait remarquer que les informations provenant du démontage du xDedic ont permis d'identifier l'administrateur du SSNDOB Marketplace, qui répertoriait et vendait les numéros de sécurité sociale de plus de 24 millions de personnes aux États-Unis. Grâce à la persévérance de l'IRS et de ses partenaires, ils ont également pu démanteler le SSNDOB Marketplace et extrader de Hongrie l'un des administrateurs du site.

Outre la vente d'identifiants d'accès à distance compromis, xDedic a également vendu des informations personnelles identifiables (PII) de citoyens américains. L'analyse médico-légale a révélé que cela se faisait par l'intermédiaire d'une API avec la place de marché SSNDOB. L'analyse de la chaîne de blocs pour d'autres paiements d'infiltration effectués à SSNDOB a révélé des transactions avec des processeurs de paiement en bitcoins et des échanges centralisés. Les enquêteurs ont pu obtenir des enregistrements de ces sites qui ont permis d'identifier les administrateurs.

La saisie de xDedic a été un énorme succès pour les enquêtes sur la crypto criminalité à l'IRS. Ce type de résultats - marqués par une forte collaboration internationale et alimentés par l'blockchain intelligencetémoigne de l'important travail des agents et des enquêteurs criminels qui luttent contre la crypto criminalité à l'échelle mondiale, et l'une des nombreuses raisons pour lesquelles TRM est fière de s'associer à l'IRS.