Celui qui s’intéressait trop au transhumanisme (2/3)
Comment un hacker algérien, BX1, va être identifié dans l'enquête sur SpyEye
Bonjour,
Bienvenue ce soir pour la suite de cet épisode de Pwned sur le malware bancaire SpyEye. Mais avant toute chose, pour ceux qui ne sont pas inscrits, voici le formulaire pour recevoir directement ce message dans votre boîte mail.
La semaine dernière, je vous ai donc parlé de l’émergence de SpyEye. Hé bien, l’irruption de ce nouveau venu a également intéressé de nombreux chercheurs en cybersécurité qui vont jouer un rôle important dans cette histoire.
L’un de ses chercheurs s’appelle Loucif Kharouni. On est en 2009, et ce spécialiste travaille chez TrendMicro dans le service de renseignement, l'équipe Forward-Looking-Threat Research.
En surfant sur les forums underground du net, comme Opensc.ws ou Darkode, Loucif Kharouni tombe sur un nouveau kit du parfait cybercambrioleur.
Il s’agit de la suite EyeBot, qui deviendra plus tard SpyEye. Les limiers de TrendMicro vont suivre deux pistes parallèles. D’abord, regarder dans les déclarations publiques sur internet s’il y a des éléments intéressants.
Ensuite, voir s’il y a des éléments techniques dans SpyEye qui permettent d’identifier ses concepteurs. Les spécialistes de l’entreprise japonaise vont ainsi faire de l’investigation numérique en dépiautant le logiciel. Ils infectent volontairement une machine pour voir où partent les informations volées.
Bingo: il y a des infos très intéressantes. La firme arrive ainsi, à la fin de l’année 2010, à localiser un serveur basé juridiquement à Belize, lloydstsb.bz, qui sert de tour de contrôle.
TrendMicro va y dénicher pas mal d’infos. Dans un fichier de configuration décrypté, on retrouve en effet un pseudo, BX1, une adresse email, et des identifiants de connexion pour virtest, un service de test de détection utilisé par les cybercriminels.
Cette mention de BX1 est particulièrement intéressante. Car il s’agit, avec "Gribodemon" et "Harderman", d’un des trois internautes très prolixes autour du logiciel sur des forums louches. TrendMicro rassemble toutes ses trouvailles avant d’avertir le FBI au début de l’année 2011.
Mais pourquoi retrouve-t-on la mention de BX1 dans le logiciel? Visiblement, cela ne vient pas de lui, mais du concepteur du malware. Ce dernier est confronté au même problème que des éditeurs plus classiques, la contrefaçon.
Et l’un des moyens d’éviter de se faire pirater son malware, c’est de taguer les licences. Comme l’expliquera à des juges Mark Ray, l’agent spécial du FBI chargé de l’enquête, chaque version de SpyEye contient le surnom de son acheteur.
L’ONG Underworld indiquera avoir retrouvé la mention de BX1 dans 59 versions différentes. Cela ne veut pas forcément dire qu’il a acheté 59 licences.
Mais peut-être qu’il a développé ou revendu autant de variantes embarquant à chaque fois sans le savoir sa signature. Par exemple, l’une des extensions utilise les comptes facebook des victimes pour diffuser des liens malveillants pour diffuser le malware.
La question de la sécurité de SpyEye est un vrai problème. Car des white hat causent bien des ennuis aux cybercriminels. Un informaticien français, Xylitol, spécialiste du contournement des licences, publie ainsi une version crackée du malware, une façon d’aider les éditeurs d’antivirus à le contrer.
Comme le relève le spécialiste américain Gary Warner, après avoir brièvement entraîné une forte augmentation de l’utilisation de SpyEye, cette publication a en fait définitivement tué le produit.
Avec cette première base fournie par TrendMicro, les enquêteurs américains vont pouvoir aller encore un peu plus loin. Du serveur basé juridiquement au Belize - je pense que la nuance est importante -, ils vont passer à la saisie d’un serveur localisé en Georgie, aux Etats-Unis.
Comme on peut le lire dans un document judiciaire, le FBI s’intéresse au nom de domaine 100myr.com. Alors je n’ai pas compris le lien exact entre lloydstsb.bz et 100myr.com, mais il y a manifestement un lien direct.
Quoiqu’il en soit, pour les policiers, ce serveur interagit avec SpyEye. Les ordinateurs infectés y envoient les informations de connexion bancaires volées. Seul problème: la personne derrière ce serveur change fréquemment d’hébergeur.
Le serveur associé à 100myr.com est localisé dans le Michigan, au Luxembourg ou encore, à partir du 13 février 2011, à Atlanta en Géorgie. Cette fois-ci, le FBI est assez rapide et parvient à saisir le serveur.
La moisson est belle: un téraoctets de données et autant d’indices permettant de préparer de futures arrestations, dont celle de BX1. Le serveur a en effet été enregistré le 20 janvier 2011 par la même adresse mail (random68@live.com) que celle utilisée pour enregistrer le domaine bx1.biz.
Il est de temps de parler un peu plus de cet internaute. C’est un cybercriminel chevronné, une des légendes du web criminel. Quand il commence à parler de SpyEye sur le forum Darkode, on aurait pu croire qu’il ne s’agissait que d’un simple client.
Par exemple, dans ce message, le 6 juillet 2010, il indique juste qu’on peut se fier aux concepteurs du malware. “Je suis un vieux client de Grib [pour Gribodemon], tout est parfait avec lui”, explique-t-il en substance.
Comme souvent dans la cybercriminalité, les premiers messages enthousiastes autour d’un nouvel arrivant ne sont pas vraiment spontanés. La caution de BX1 est tout sauf anodine. Il apporte donc son crédit au malware.
Plus qu’un client, BX1 occupe visiblement un rôle important dans SpyEye, entre le chef du marketing et le développeur. Ce serait donc l’une des chevilles ouvrières du malware, voire même, pour les enquêteurs, celui qui a vraiment été le cerveau de la diffusion du logiciel.
En ligne, BX1 est plutôt désinvolte. Il se vante de nombreux exploits, comme par exemple contrôler 200 000 bots aux Etats-Unis et en France - à lire par exemple ce chat capturé par le journaliste Brian Krebs. Il se plaint également des hébergeurs qui répondent aux réquisitions policières.
Le hacker suggère qu’il a pas mal de relations, comme dans ce post de novembre 2011 où il dit qu’un ami travaillant au FBI lui a indiqué qu’il avait une opération en cours contre Darkode. Dans d’autres messages, le hacker affirme également avoir soudoyé des agents de police pour être tranquille.
On l’observe en train d’utiliser d’autres alias, comme Daniel Del Cor, Hamzanetti, Danny Hamza ou dejavu. Un dernier pseudo utilisé quand il affirme avoir volé 12 millions d’euros à la Bank of America - “je prépare mes bagages pour aller en Australie”, ironise-t-il.
Sous le pseudo danielhb1988, en avril 2011, il affirme enfin dans une vidéo Youtube être BX1 et avoir sa propre version de SpyEye à vendre. Soit la preuve, pour sa défense, qu’il n’était pas vraiment de mèche avec le concepteur du malware. D’autres messages montrent d’ailleurs qu’il a déjà en tête de trahir son partenaire en affaires dans SpyEye.
Mais BX1 pêche visiblement par arrogance. Il y a ces faux papiers au nom Hamza Daniel Bendelladj. Est-ce un doxx d’autres hackers ayant quelques griefs contre lui, ou était-il tellement sûr de lui qu’il s’est fait de faux papiers à son nom?
Loucif Kharouni a bien analysé les choses dans Newsweek. A force de se croire intouchable, le cybercriminel laisse derrière lui de plus en plus d’informations pour l’identifier. Il vient ainsi d’Algérie, parle français et vit au Maroc - même si sa dernière résidence connue sera en Malaisie.
L’agence de presse Bloomberg note d’ailleurs que le hacker a utilisé deux mails qui ont mené à son compte Facebook.
Aux Etats-Unis, les preuves s’accumulent donc. Avec la saisie du serveur en Géorgie, les enquêteurs ont réussi à faire le lien entre SpyEye, BX1, et son vrai nom, Hamza Bendelladj. Il y a assez de preuves pour lancer un acte d’accusation contre l’Algérien en décembre 2011 - contrairement au concepteur du logiciel, nommé John Doe, c'est-à-dire “Monsieur inconnu”.
Puis les enquêteurs vont attendre qu’Hamza Bendelladj fasse une faute. Plus d’un an plus tard, ils obtiennent un bon tuyau. BX1 va voyager de la Malaisie vers l’Egypte où il compte prendre des vacances.
L’occasion pour le FBI de lui mettre le grappin dessus. Ils profitent du stop de son avion à Bangkok, en Thaïlande, pour le faire arrêter. Une affaire assez rocambolesque: les policiers thaïlandais montent à bord de l'avion alors qu'il était sur le tarmac et l’arrêtent. Mais je vous en dirai un peu plus la semaine prochaine.
Bonne soirée,
Gabriel
Relecture: Mnyo
PS: L’histoire vous a plu? Pour me payer une bière - par exemple une Singha - c'est ici ou sur mon wallet BTC (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex).
Sources:
Retour sur la traque du créateur du virus "SpyEye"
Un hacker "white hat" dénonce un forum de "black hats"
Sentencing Memorandum, USA v. Hamza Bendelladj
How the feds brought down a notorious Russian hacker