Bonsoir,
Bienvenue pour la fin de cet épisode de Pwned sur les (pseudos) hackers de Rex Mundi.
Mais tout d’abord, si vous n’êtes pas inscrit, voici le formulaire pour recevoir directement dans votre boîte mail les prochaines histoires.
On s’était quittés la dernière fois sur l’arrestation de Silthxcoder en Thaïlande en mai 2018. A l’époque, c’est analysé comme un gros coup de filet contre les hackers de Rex Mundi. On l’avait vu en effet au début de cette histoire, les personnes derrière la tentative d’extorsion de cette entreprise anglaise de la City revendiquent être des membres de ce gang de pirates informatiques.
Mais finalement, c’est un peu plus compliqué que cela. Car l’enquête va montrer que la tentative d’extorsion était une sorte d’usurpation criminelle, un copycat. Le lien réel avec Rex Mundi est en fait bien ténu.
L’un des trois hackers mis en cause dans cette histoire, Moush, va finalement expliquer à la police avoir bien été en relation avec un membre de Rex Mundi. Mais c’est une simple connaissance qu’il a rencontré sur French freedom zone, un marché noir francophone…
Cette tentative d’approche ne va pas aller bien loin. Son contact lui refile cependant un bon tuyau. Il lui suggère d’aller voir du côté de l’entreprise anglaise. Un bon filon, assure-t-il, car l’une des filiales de l’entreprise vient justement de passer à la caisse suite à un piratage mené par les hackers de Rex Mundi.
A ce stade de l’histoire, vous avez le droit d’être circonspect sur ces déclarations de Moush. Cela semble évident qu’un cybercriminel pris la main dans le sac va tenter de minimiser la portée de ses activités malveillantes. Mais pourtant, c’est assez crédible.
Moush n’a d’abord clairement pas le bagage technique que l’activité de Rex Mundi suggère. Ces derniers ont d’abord réussi à sévir pendant de nombreuses années sans se faire prendre, signe d’une certaine maîtrise de l’informatique.
Ensuite, ses premières activités dans le cybercrime se situent vers la fin de l’activité du groupe de cybercriminels. Et si Moush avait effectivement été un collaborateur régulier de Rex Mundi, les enquêteurs auraient probablement trouvé d'autres éléments compromettants.
A défaut de remonter des traces techniques des attaques, ils auraient par exemple pu identifier la trace d’un magot correspondant à des rançons obtenues, ou tout au moins la trace de dépenses sans rapport avec les revenus du jeune homme, du genre flambeur.
Au lieu de ça, qu’est-ce qu’on a? Plutôt trois loustics qui semblent clairement vivoter. Sur AlphaBay, les ventes de Silthx sont modestes. Il assure que son activité lui a rapporté environ 10 000 euros de commandes en deux ans d’existence. C’est pas grand chose franchement dans l’informatique. Un freelance ayant même une activité modeste pourrait facilement faire mieux. On est vraiment loin du fantasme des hackers multimillionnaires.
Et encore, sur cette somme, Moush est l’un des meilleurs clients. Il a fait pour un millier d’euros d’emplettes, principalement des logiciels malveillants qu’il revend à son tour pour une petite centaine d’euros par mois de profits. A la vue de ce petit commerce d’armes numériques, la somme demandée à l’entreprise de la City détonne.
Le trio de hackers a en fait certainement cru qu’ils venaient de toucher le gros lot. Après tout, ils avaient bien réussi à identifier une faille dans l’informatique de l’entreprise, non? Il n’y avait en effet pas de limite au nombre d’essais de code qu'un internaute pouvait tenter pour accéder à un compte.
L’attaque par force brute est simple, elle tient en tout dans un script d’une trentaine de lignes. Elle démontre surtout la légèreté de l’entreprise victime dans sa sécurité informatique.
Mais elle n’est pas vraiment efficace et va être rapidement repérée et contrée. On peine à comprendre comment les hackers ont cru qu’ils pourraient soutirer autant d’argent à leur victime. Les trois jours de procès à Paris de Moush et de ses deux complices ont renforcé cette impression d’amateurs.
Il y a eu par exemple cet épisode assez incroyable quand en pleine audience Silthx s’accuse tout seul d’une nouvelle infraction. On découvre également au cours du procès les échanges du trio de hackers pendant la phase de négociation de la rançon. C’est assez gratiné.
Pendant leur coup, ils jubilent et se moquent allègrement du responsable de la sécurité de la victime. Avec des messages du style :“Il se chie dessus, il code avec ses pieds, il ne doit pas dormir”. C’est assez cocasse a posteriori au vu de la suite des événements, et ça ne fait pas très pro.
Alors vous l’avez compris, et les juges aussi, ce ne sont pas des génies du cybercrime. En juin 2022, Moush, Silthx et Silthxcoder sont finalement condamnés à des peines de prison et de fortes amendes. Le tout est largement assorti du sursis, permettant d’éviter le retour par la case détention.
Si vous avez été un peu curieux depuis le mail de la semaine dernière, vous avez peut-être été chercher des infos sur la fameuse arrestation de Silthxcoder en Thaïlande. Ne le faites pas, il n’y a plus grand chose en ligne.
A l’époque, le nom du développeur arrêté en Thaïlande avait largement été ébruité en l’associant à Rex Mundi. On sait maintenant que ce lien était en fait très lointain. L’explication la plus logique, c’est que Silthxcoder a réussi à convaincre (à raison) les différents titres de presse ayant couvert son arrestation que ces articles lui portaient un sérieux préjudice.
Ce qui nous renvoie à la question de l’attribution, un sport très difficile qui se révèle souvent glissant. Regardez par exemple les gangs de rançongiciels. Qu’est-ce que cela veut dire, quand un groupe revendique une attaque? Deux attaques revendiquées par LockBit ont par exemple peut-être été faites par des hackers différents (ou pas).
Le point commun, c’est qu’à un moment les personnes derrière cette attaque ont collaboré d’une manière ou d’une autre avec LockBit. Ces gangs fonctionnent un peu comme des franchises du commerce. Le groupe LockBit prête son nom, sa réputation et d'autres avantages éventuels, ici un accès à une infrastructure criminelle permettant de gérer le déploiement d’un rançongiciel et la négo d’une rançon.
Mais comme Michel Leclerc n’est pas derrière chaque rayon poissonnerie des supermarchés du même nom, les développeurs de LockBit ne sont pas forcément à l'œuvre derrière chaque attaque informatique.
Restons dans cette métaphore pour conclure notre histoire. Il y a quelques années, la police a retrouvé trois hommes au rayon épicerie d’une grande enseigne. Mais s’ils avaient le look et la démarche, ce n’étaient pas des employés, juste de simples fans. Rex Mundi, ce n’était finalement pas eux.
A bientôt pour une nouvelle histoire de cybercrime,
Bonne soirée,
Gabriel
Relecture: Mnyo
PS: L’histoire vous a plu? Pour me payer un café, comme UTip vient de fermer, c’est ici sur mon wallet BTC (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex).
Sources
Black Hand et Rex Mundi : Week-end difficile pour le cybercrime français