Le pirate des transports de San Francisco est un habitué du ransomware
L'affaire du piratage des transports de San Francisco s'est presque bien finie : les trains ont continué à circuler et le pirate n'a pas touché sa rançon.
Le responsable de l'attaque a été ciblé à son tour par un chercheur en sécurité informatique qui a préféré taire son nom mais s'est épanché, auprès du blog Krebs on Security, sur les données découvertes dans la boîte mail du pirate.
Pour rappel, celui-ci avait tenté de faire chanter le Muni, le réseau des transports de San Francisco, à lui payer plus de 100 bitcoins (près de 70 000 €), pour ne pas dévoiler les données personnelles dérobées auprès de ses usagers.
Lundi, Krebs est contacté par sa source anonyme qui affirme avoir hacké le compte mail de [email protected], l'adresse à laquelle le pirate souhaitait être contacté par le Muni. Le chercheur s'est intéressé à cette affaire après en avoir entendu parler dans la presse.
Il lui a ensuite suffi de trouver la réponse à la question secrète du pirate pour changer son mot de passe. Ce compte mail lui a permis de remonter l'historique des opérations et de dresser le profil de ce pirate devenu célèbre.
Les messages de sa boite mail révèlent que c'est le vendredi 25 novembre, dans la soirée, qu'il a envoyé sa première demande de rançon à M. Cunningham, responsable de l'infrastructure du réseau du Muni. Le mail est signé Andy Saolis, du pseudonyme choisi par le hacker.
Un maître chanteur expérimenté
En fouillant plus en avant dans sa boite mail, le chercheur a pu découvrir que l'homme était également responsable d'une autre attaque survenue quelques jours plus tôt. Le 20 novembre, il attaquait ainsi une usine américaine et l'obligeait à lui payer plus de 63 bitcoins (plus de 44 000 €) sous peine de voir toutes ses données disparaître sous 48 heures.
Le pirate semble changer régulièrement de compte Bitcoin pour ses transferts et ses mails montrent qu'il a utilisé, depuis le mois d'août, une douzaine de portefeuilles bitcoins différents. Il aurait ainsi en quelques mois extorqué au moins l'équivalent de 140 000 $ en bitcoin.
Et encore, il ne s'agit là que d'une estimation prudente, la source de Krebs n'ayant pas réussi à pirater une des multiples boîtes aux lettres numériques du pirate. Or, ce compte -- [email protected] -- est régulièrement cité parmi les victimes de ransomware qui partagent leurs malheurs sur des forums en ligne.
Enfin, les mails montrent également que le pirate ne ciblait pas spécifiquement le Muni. Il a simplement été surpris de voir le réseau tomber entre ses filets. Le pirate utilise en effet deux serveurs pour scruter le web et chercher des failles à exploiter, en privilégiant comme cibles les entreprises ayant recours aux systèmes d'Oracle.
Ses victimes habituelles sont plutôt des entreprises américaines de petite ou moyenne taille, ce qui lui permet de ne pas éveiller les soupçons des autorités.
Cynique, le pirate qui exploite quasiment toutes les semaines des failles informatiques à travers les États-Unis finit toujours par offrir son aide à ses victimes pour sécuriser leur réseau contre d'autres attaquants potentiels... en échange de quelques bitcoins supplémentaires.
Ainsi, une de ses victimes qui venait de perdre plus de 14 000 € s'est résolue à payer un supplément pour que le hacker lui permette de sécuriser son réseau. Le pirate a récupéré son argent avant de lui envoyer une simple URL vers un patch de sécurité d'Oracle.
La piste iranienne ?
Les outils utilisés par le pirate laissent entrevoir quelques pistes pour l'identifier. Les 300 adresses de son historique de connexions se situent en Iran tandis que les notes prises sur ses opérations sont rédigées dans une langue ressemblant au persan.
Pour se connecter à son serveur, l'homme utilise notamment le nom d'utilisateur Alireza, soit Ali Reza -- septième descendant de Mahommet --, un nom très courant en Iran.