Ceux qui n’étaient pas ceux que l’on croyait (2/3)
La tentative d'extorsion vire au fiasco après plusieurs arrestations en France et en Thaïlande.
Bonsoir,
Bienvenue pour la suite de cet épisode de Pwned sur les hackers de Rex Mundi.
Mais tout d’abord, si vous n’êtes pas inscrit, voici le formulaire pour recevoir directement dans votre boîte mail les prochaines histoires.
En ce mois de mai 2017, une entreprise de la City londonienne est dans la mouise. Après avoir découvert une faille, des hackers viennent de s’attaquer à une floppée de comptes clients. Une matière première sensible au vu de son activité, la carte bancaire prépayée. Puis l’un des hacker envoie la note. Il exige plusieurs centaines de milliers de livres sterling contre leur silence sur cette vulnérabilité.
Pour réussir à faire main basse sur ce magot, après ce premier mail d’extorsion, le maître chanteur harcèle sa victime. Plusieurs autres messages sont ainsi envoyés les jours suivants. L’entreprise tente une négociation, aidée d’un spécialiste de la police anglaise qui passe derrière le clavier. Une présence d’ailleurs rapidement décelée par les hackers, qui supposent à raison que l’entreprise essaye de gagner du temps.
Le négociateur explique par exemple que le comité directeur trouve que le paiement de la rançon en bitcoin, c’est compliqué. Et il demande des preuves de l’exploitation de la faille, etc… Est-ce que c’est à cause de ça que le hacker va doubler ses mails de coups de téléphone?
Tant mieux : cela fait une piste de plus à suivre pour les enquêteurs britanniques. Voyons-voir ce qu’ils découvrent. Alors oui, le numéro qui a appelé est bien un “07” français. Mais c’est le numéro d’une carte prépayée Lycamobile achetée anonymement quelques semaines plus tôt. Mauvaise pioche pour les policiers? Pas si vite. Car il y a un autre “07” qui a appelé l’entreprise victime, un appel infructueux de quarante secondes.
Il n’y a pas tant d’appels en provenance de France vers ce numéro de la City. Et immédiatement après cet étrange coup de fil, il y a un nouvel appel depuis le 07 Lycamobile du maître-chanteur. Alors, à qui appartient le second 07? Et bien, les policiers français appelés à la rescousse trouvent quelque chose de très intéressant.
Ce numéro a en effet déjà été repéré l’an passé par les gendarmes. Ces derniers s’étaient penchés sur les activités de Moush, le pseudonyme d'un jeune français vendant des services louches sur le marché noir AlphaBay. Cette marketplace illégale, un temps numéro un, a été démantelée en juillet 2017 (promis, ce sera un jour un épisode de Pwned).
A l’époque, Moush utilisait déjà ce fameux 07, en fait le téléphone de sa sœur ! Il est aussitôt placé sous surveillance et la piste se confirme rapidement. Oui, il semble bien être l'auteur des demandes de rançon et s’est sans doute emmêlé les pinceaux, lors de ses appels d’extorsion, entre les différentes cartes Sim de son téléphone.
Trois semaines après le début de la tentative de chantage, alors que l’entreprise anglaise se dit prête à accepter le paiement d'une rançon de 35 000 euros, Moush est arrêté. Bonne nouvelle, la tentative d’extorsion numérique se solde donc par une arrestation. C’est déjà assez rare pour être souligné.
Mais l’enquête ne s’arrête pas là. Car Moush a des complices. Un homme qui vit en Thaïlande, connu sous le pseudonyme de Silthxcoder, l’a aidé en trouvant comment exploiter la faille de l’entreprise anglaise. Le duo a été mis en relation par une troisième personne, connue sous le nom de Silthx.
Un petit aparté au sujet des pseudos. Dans certains épisodes de Pwned, je mentionne le nom des personnes mises en cause, mais c’est parce qu’il s’agit d’identités déjà largement partagées, ce qui n’est pas le cas dans cette affaire, et parce que cela peut apporter quelque chose à l’histoire, ce qui n’est également pas le cas ici.
Bref, les policiers doivent donc désormais identifier deux nouvelles personnes. Cela ne va pas être très compliqué. Commençons par Silthx. Moush explique avoir fait sa connaissance sur le marché noir AlphaBay après lui avoir acheté un rançongiciel, un malware d’ailleurs obsolète.
Les deux hommes ne se sont jamais vus. Mais ils avaient échangé il y a peu une carte Sim par l’intermédiaire d’un dropper, un tiers chargé de faire le lien entre deux personnes. Les policiers frappent à la porte du dropper avant de remonter la piste de Silthx et de l’arrêter.
Reste enfin à identifier Silthxcoder. Ce dernier est, comme son pseudo l'indique, un partenaire d’affaires de Silthx sur AlphaBay où ils vendent ensemble des services de hameçonnage, des rançongiciels ou des logiciels d’accès à distance comme le Trojan NanoCore. Et bien là aussi, les enquêteurs vont cuisiner avec succès leur nouveau suspect. Silthx et Silthxcoder se connaissaient depuis si longtemps qu’ils ne prenaient plus vraiment de précautions, ils se contactaient par exemple via Facebook.
Ok, la police française a réussi à identifier les trois suspects. C’est le moment donc d’en dire un peu plus sur eux. Moush, le plus jeune, 21 ans au moment de la tentative d’extorsion, vit en région parisienne. Après un CAP boulangerie, il a bifurqué vers le taxi, comme son père. Puis finalement il s’est laissé tenté par le trading avant d’opter pour la cybercriminalité.
On l’a compris, il se cherche, mais ce qui est intéressant pour nous, c’est qu’il n’a aucune compétence spéciale en informatique. Dans le monde du hacking malveillant, ce genre de profil low-tech n’est clairement pas isolé. Malgré son manque de compétences, il va parvenir quand même à se faire un peu d'argent, par exemple en réussissant à refourguer régulièrement le malware obsolète que Silthx lui a vendu.
Mais à d’autres moments, ça coince. Il va par exemple tenter en vain de devenir l’un des affiliés de Cerber, l’un des premiers groupes de rançongiciels à proposer un accès sous forme de location à son outil. Cela ne l’empêche pas d’imaginer des projets grandioses qui ne sont clairement pas de son niveau, comme cet achat d’un listing de 200 000 soi-disant adresses mails EDF dans l’espoir de propager un rançongiciel sur l’informatique de l’électricien.
Le profil des deux autres complices est plus technique. Le jour, Silthx est le gérant d’une petite entreprise de dépannage informatique qui vivote. Et la nuit, ce trentenaire tient sa boutique sur AlphaBay où il vend du trojan et du rançongiciel. Une double vie née de sa passion pour l'exploration des programmes malveillants, dira-t-il plus tard à son procès.
Enfin, comme son nom l’indique, Silthxcoder est le développeur du trio. Ce geek autodidacte de 25 ans alors avait réussi à lancer avec succès à l’adolescence un petit jeu de rôle multijoueur. Cela lui permet d’accumuler le magot nécessaire pour ouvrir un bar de nuit à Carcassonne. Puis il plaque finalement tout et s’envole pour la Thaïlande d’où il proposait ses services informatiques pas très regardants sur la légalité, de la refonte de site web à la construction d’une page de hameçonnage.
Comme il vit à l’étranger, l’arrestation de Silthxcoder est plus compliquée. Mais c’est juste une question de temps. En janvier, un mandat d’arrêt international est lancé. Et quatre mois plus tard, le 18 mai 2018, un an après la tentative de chantage contre l’entreprise anglaise, la police thaïlandaise débarque chez lui pistolets (et caméra) au poing.
Europol peut dégainer un communiqué triomphant, repris par largement par la presse, alléchée par l’info. Des membres de l’énigmatique gang Rex Mundi ont enfin été arrêtés ! Mais est-ce vraiment le cas?
On en reparle la semaine prochaine,
Bonne soirée,
Gabriel
Relecture: Mnyo
PS: L’histoire vous a plu? Pour me payer un café, comme UTip vient de fermer, c’est ici sur mon wallet BTC (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex).
Sources
Le ransomware Cerber est vendu comme un service et il parle
‘Tracers in the Dark’ shows how cops go after crypto-criminals
French coder who helped extort British company arrested in Thailand