Celui qui s’intéressait trop au transhumanisme (3/3)
Ou comment le FBI a réussi à identifier le concepteur de SpyEye.
Bonjour,
Bienvenue ce soir pour ce dernier volet de Pwned sur le malware bancaire SpyEye. Mais avant toute chose, pour ceux qui ne sont pas inscrits, voici le formulaire pour recevoir directement ce message dans votre boîte mail.
Au passage, c’est le dernier mail de la saison 1 de Pwned. Avec Mnyo, nous avons pris beaucoup de plaisir à vous raconter ces affaires de cybercrime. On vous donne donc rendez-vous à la rentrée pour de nouvelles histoires. Le format reste le même, avec un cadencement plus réaliste d’une histoire par mois découpée en plusieurs volets.
S’il y a des affaires que vous souhaitez voir évoquées, vous pouvez les suggérer en commentaires ou par mail. N’hésitez pas si vous avez également des suggestions sur le format de la série. Et si vous aimez les épisodes, pensez à liker les messages, cela fait toujours plaisir.
La semaine dernière, je vous parlais donc de l’arrestation en Thaïlande de BX1, ce hacker algérien. Mais comme l’a expliqué l’agent du FBI Mark Ray dans une interview donnée à un podcast, l’identification de BX1 n’a pas été la partie la plus difficile de l’affaire.
Qui est ce black hat, Hamza Bendelladj pour l’état civil? Ce père d’un enfant est alors âgé seulement de 23 ans. Le natif de Tizi Ouzou est originaire de Kouba, un quartier populaire du sud-est d’Alger. Ce serait un étudiant très doué, parlant cinq langues et diplômé d’une licence en informatique, selon Jeune Afrique.
Mais d’autres sources indiquent au contraire qu’il aurait arrêté l’école en troisième et appris l’informatique dans les cybercafés. Son sourire à son arrestation, repris sur les clichés de la presse, lui vaudra le surnom du “Smiling hacker”, le hacker souriant.
La suite est assez surprenante. Des histoires sur les réseaux sociaux, reprises dans des articles, le présentent comme un robin des bois moderne, qui aurait hacké les riches pour aider des Palestiniens et des associations caritatives.
On dit également qu’il a été condamné à mort aux Etats-Unis. Ou encore qu’il aurait refusé, après son arrestation, d’aider Israël à mieux lutter contre des cyberattaques, alors que ça aurait pu lui permettre d’obtenir une remise de peine.
BX1 n’a évidemment pas été exécuté, ce qui serait une première assez effrayante pour un cybercriminel motivé uniquement par des escroqueries financières. Plus généralement, on ne trouve aucune source fiable pour toutes les autres affirmations.
Le portrait d’un BX1 dépeint en robin des bois est particulièrement douteux quand on voit qu’il n’y a aucune référence à cela dans sa défense. Cela aurait pourtant été un bon argument à faire valoir.
Quoiqu’il en soit, malgré l’arrestation de BX1, les enquêteurs ont encore du pain sur la planche. Ils doivent encore coincer Gribodemon et Harderman, les deux vendeurs de SpyEye. En fait, il s’agit d’une seule personne. Un black hat est derrière ses deux comptes.
Et il va être assez habile pour masquer ses traces. Par exemple, les adresses IP relevées dans l’enquête conduisent à des impasses. L’homme va également utiliser une tonne de comptes mails jetables et pas mal de fausses identités, comme Robert Smart, John Lecun ou Andrew Schwart.
Mais tout le monde commet des erreurs, et Gribodemon aussi. Deux faiblesses vont booster l’enquête pénale. D’abord, comme l’a montré son association avec BX1, il a besoin de partenaires pour vendre et développer son malware bancaire. L’un d’entre eux, un jeune du Wisconsin est repéré par le FBI.
Au petit matin, les enquêteurs débarquent et l’arrêtent. On n’en sait guère plus au sujet de son rôle, sans doute parce que cette personne a certainement dû se mettre à table pour sauver sa peau.
Dans l’interview qu’il a donnée, l’agent spécial Mark Ray explique plus généralement qu’il existe en réalité toute une équipe autour de SpyEye. Des personnes qui font des logos à côté d’autres qui développent des fonctionnalités malveillantes.
Cette première arrestation dans le Wisconsin va conduire à d’autres arrestations. Ce qui va permettre, comme dans une enquête sur du trafic de stupéfiants, de remonter à la tête du réseau. Par exemple, les enquêteurs découvrent que l’un des comptes Gmail du vendeur de SpyEye est utilisé pour envoyer des mises à jour du malware.
L’un des destinataires, le britannique James Bayliss, est identifié et arrêté en 2011. Avec son arrestation, le FBI met la main sur des chats particulièrement intéressants, où il discute avec Gribodemon et BX1 de nouveautés ou d’extensions. Selon TrendMicro, Jam3s était impliqué dans le codage du plugin ccgrabber de SpyEye, utilisé pour collecter les numéros de cartes de crédit.
Autant d’éléments qui vont permettre aux enquêteurs de mettre un nom derrière Gribodemon: Alexander “Sasha” Panin, un développeur d’une vingtaine d’années qui vit à Moscou. Toutefois, l’enquête contre Panin est fragile. Les enquêteurs cherchent à renforcer leurs arguments judiciaires avant son interpellation.
C’est là que réside la deuxième faiblesse d’Alexander Panin. Ce dernier a une passion dévorante, et elle s’appelle le transhumanisme. Il en parle beaucoup sur son blog, vous pouvez aller lire ses posts ici. En quelques mots, le transhumanisme, c’est cette idée qu’on va pouvoir, grâce aux sciences, fabriquer un homme nouveau.
Je vous laisse méditer sur cette citation de l’inquiétant milliardaire Elon Musk qui résume le tout: “Si vous ne pouvez pas battre la machine, le mieux est d’en devenir une". Comme sa mère le racontera à USA Today, Panin voulait depuis ses 16 ans “faire tout son possible pour vivre éternellement”. Ce qui passait sans doute par de gros moyens financiers.
Pour le FBI, cette passion est particulièrement intéressante. Elle lui permet en effet de renforcer son faisceau de preuves contre Panin. L’un des comptes Gmail jetable utilisé par Gribodemon a en effet été réutilisé par Alexander Panin pour s’inscrire dans une association russe dédiée au transhumanisme.
Ayant ficelé son dossier d’enquête, le FBI attend désormais une faute du suspect. Comme il vit en Russie et qu’il ne voyage pas beaucoup, il est pour le moment hors d’atteinte. C’est là que les enquêteurs ont eu un sacré coup de chance. Alexander Panin, qui n’est quasiment jamais sorti de Russie, décide d’aller passer voir un ami en République dominicaine.
Pour autant, il n’a pas été arrêté là-bas. L’agent du FBI Mark Ray avoue que l’histoire a eu des airs de “James Bond”, une affaire rocambolesque d’espionnage. C’est vrai que l’interpellation reste bien mystérieuse. Arrivé sur l'île d'Hispaniola, Alexander Panin est invité par la police locale à quitter la République dominicaine.
Selon Newsweek, les responsables locaux de la sécurité lui expliquent qu’il y avait un problème avec ses papiers, avant de le mettre dans un avion. La mère d’Alexander Panin, interrogée par le média d’Etat russe RT, dit que les autorités dominicaines auraient promis à son fils de le renvoyer vers la Russie par le prochain vol. Mais on ne lui a visiblement pas dit qu'il allait partir aux Etats-Unis. Son vol commercial se termine pourtant à Atlanta, où il est arrêté en juin 2013, plus de six mois après BX1.
En avril 2016, les deux chevilles ouvrières de SpyEye sont finalement condamnées après avoir plaidé coupable. Alexander Panin écope de quasiment dix ans de prison, tandis que Hamza Bendelladj (BX1) prend 15 ans. Si vous avez bien suivi les premiers épisodes, cela peut vous sembler bizarre que le concepteur de SpyEye ait été condamné à une peine inférieure à celle d’un des affiliés, BX1.
Sauf qu’en réalité, la répartition de leurs rôles semble avoir été bien mouvante. Ils ont été un temps associés. Mais aussi un temps ennemis, quand BX1 a voulu doubler Panin. Hamza Bendelladj a enfin été particulièrement actif, avec un préjudice financier estimé à 100 millions de dollars avec ses opérations liées à SpyEye.
Il y a quelques mois, Alexander Panin a fini de purger sa peine aux Etats-Unis, après huit ans de détention. Une durée un peu plus courte que prévu qui s’explique peut-être par sa coopération. Il a aussi été expulsé vers la Russie. Quant à Hamza Bendelladj, il est toujours, pour visiblement encore quelques années, en détention.
Bonne soirée et à la rentrée prochaine,
Relecture: Mnyo
PS: L’histoire vous a plu? Pour me payer une bière - par exemple une Presidente Golden Light - c'est ici ou sur mon wallet BTC (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex).
Sources:
Algérie : Hamza Bendelladj, cracker indécryptable
Thai police arrest Algerian hacker on FBI list
"Le pirate souriant": un héros légendaire ou un escroc mondial ?
SpyEye-using Cybercriminal Arrested in Britain
L'avenir selon Elon Musk résumé en 5 citations stupéfiantes
How the feds brought down a notorious Russian hacker
Moscow rips into ‘vicious practice’ of extraditing Russian nationals to US
U.S. Deports Second Russian Hacker After Long Prison Term End