Le pirate qui a attaqué les transports de San Francisco et tenté d'obtenir une rançon a lui-même été attaqué par un chercheur en sécurité informatique. Ses découvertes prouvent qu'il était loin d'en être à son coup d'essai.

L’affaire du piratage des transports de San Francisco s’est presque bien finie : les trains ont continué à circuler et le pirate n’a pas touché sa rançon. Mais ce dernier s’est montré trop optimiste s’il pensait rester anonyme après un tel coup d’éclat.

Le responsable de l’attaque a été ciblé à son tour par un chercheur en sécurité informatique qui a préféré taire son nom mais s’est épanché, auprès du blog Krebs on Security, sur les données découvertes dans la boîte mail du pirate.

Pour rappel, celui-ci avait tenté de faire chanter le Muni, le réseau des transports de San Francisco, à lui payer plus de 100 bitcoins (près de 70 000 €), pour ne pas dévoiler les données personnelles dérobées auprès de ses usagers.

376743192_bb97936104_o

Lundi, Krebs est contacté par sa source anonyme qui affirme avoir hacké le compte mail de cryptom27@yandex.com, l’adresse à laquelle le pirate souhaitait être contacté par le Muni. Le chercheur s’est intéressé à cette affaire après en avoir entendu parler dans la presse.

Il lui a ensuite suffi de trouver la réponse à la question secrète du pirate pour changer son mot de passe. Ce compte mail lui a permis de remonter l’historique des opérations et de dresser le profil de ce pirate devenu célèbre.

Les messages de sa boite mail révèlent que c’est le vendredi 25 novembre, dans la soirée, qu’il a envoyé sa première demande de rançon à M. Cunningham, responsable de l’infrastructure du réseau du Muni. Le mail est signé Andy Saolis, du pseudonyme choisi par le hacker.

Un maître chanteur expérimenté

En fouillant plus en avant dans sa boite mail, le chercheur a pu découvrir que l’homme était également responsable d’une autre attaque survenue quelques jours plus tôt. Le 20 novembre, il attaquait ainsi une usine américaine et l’obligeait à lui payer plus de 63 bitcoins (plus de 44 000 €) sous peine de voir toutes ses données disparaître sous 48 heures.

Le pirate semble changer régulièrement de compte Bitcoin pour ses transferts et ses mails  montrent qu’il a utilisé, depuis le mois d’août, une douzaine de portefeuilles bitcoins différents. Il aurait ainsi en quelques mois extorqué au moins l’équivalent de 140 000 $ en bitcoin.

461657765_21dcd3c57e_b

Et encore, il ne s’agit là que d’une estimation prudente, la source de Krebs n’ayant pas réussi à pirater une des multiples boîtes aux lettres numériques du pirate. Or, ce compte  — w889901665@yandex.com — est régulièrement cité parmi les victimes de ransomware qui partagent leurs malheurs sur des forums en ligne.

Le pirate aurait ainsi en quelques mois amassé plus de 140 000 $

Enfin, les mails montrent également que le pirate ne ciblait pas spécifiquement le Muni. Il a simplement été surpris de voir le réseau tomber entre ses filets. Le pirate utilise en effet deux serveurs pour scruter le web et chercher des failles à exploiter, en privilégiant comme cibles les entreprises ayant recours aux systèmes d’Oracle.

Ses victimes habituelles sont plutôt des entreprises américaines de petite ou moyenne taille, ce qui lui permet de ne pas éveiller les soupçons des autorités.

Des serveurs opérés par Facebook.

Cynique, le pirate qui exploite quasiment toutes les semaines des failles informatiques à travers les États-Unis finit toujours par offrir son aide à ses victimes pour sécuriser leur réseau contre d’autres attaquants potentiels… en échange de quelques bitcoins supplémentaires.

Ainsi, une de ses victimes qui venait de perdre plus de 14 000 € s’est résolue à payer un supplément pour que le hacker lui permette de sécuriser son réseau. Le pirate a récupéré son argent avant de lui envoyer une simple URL vers un patch de sécurité d’Oracle.

La piste iranienne ?

Les outils utilisés par le pirate laissent entrevoir quelques pistes pour l’identifier. Les 300 adresses de son historique de connexions se situent en Iran tandis que les notes prises sur ses opérations sont rédigées dans une langue ressemblant au persan.

Pour se connecter à son serveur, l’homme utilise notamment le nom d’utilisateur Alireza, soit Ali Reza — septième descendant de Mahommet –, un nom très courant en Iran.

Partager sur les réseaux sociaux

Articles liés