Ces dernières semaines ont été chargées en matière d’actualités sur la cybercriminalité, justifiant la mise à jour de quelques cas que nous suivons de près chez BreachTrace. En Ukraine, le meneur présumé du avalanche malware spam botnet a été arrêté après avoir échappé aux autorités à la suite d’une répression mondiale de la cybercriminalité en 2016. Par ailleurs, une affaire qui a été saluée comme un test pour savoir si les programmeurs peuvent être tenus responsables de la façon dont les clients utilisent leur produit s’est avérée médiocre pendant 27 ans -ancien programmeur Taylor Huddlestonqui a été condamné à près de trois ans de prison pour avoir créé et commercialisé un logiciel espion complexe.
Tout d’abord, le cas ukrainien. Le 30 novembre 2016, les autorités de toute l’Europe ont coordonné l’arrestation de cinq individus soupçonnés d’être liés au gang criminel Avalanche, dans une opération que le FBI et ses partenaires à l’étranger ont décrite comme une réponse mondiale sans précédent des forces de l’ordre à la cybercriminalité. Des centaines de serveurs Web malveillants et des centaines de milliers de domaines ont été bloqués lors de l’action coordonnée.
La distribution mondiale des serveurs utilisés dans la machine criminelle Avalanche. Source : Shadowserver.org
Le chef présumé du gang Avalanche — russe de 33 ans Gennady Kapkanov – n’allait pas tranquillement à l’époque. Kapkanov aurait tiré sur des officiers avec un fusil d’assaut Kalachnikov à travers la porte d’entrée alors qu’ils se préparaient à faire une descente chez lui, puis aurait tenté de s’échapper du balcon de son appartement au 4ème étage. Il a ensuite été libéré, après que la police aurait omis de déposer des dossiers d’arrestation appropriés pour lui.
Mais lundi Agence France Presse (AFP) signalé que les autorités ukrainiennes avaient une fois de plus arrêté Kapkanov, qui aurait vécu sous un faux passeport à Poltav, une ville du centre de l’Ukraine. On ne sait pas encore si Kapkanov a été inculpé, ce qui devait se produire lundi.
Permis de conduire de Kapkanov. Source : npu.gov.ua.
VOULEZ-VOUS VRAIMENT CONNAÎTRE VOS CLIENTS ?
Les avocats de Taylor Huddleston, un programmeur de 27 ans de Hot Springs, Ark., ont initialement demandé à un tribunal fédéral de croire que le logiciel qu’il vendait sur le marché tentaculaire des hackers Forums de piratage – un « outil d’administration à distance » ou « RAT » conçu pour permettre à quelqu’un d’administrer à distance un ou plusieurs ordinateurs à distance – n’était qu’un outil bénin.
Les mauvaises choses faites avec les outils de M. Huddleston, a soutenu le défendeur, n’étaient pas l’œuvre de M. Huddleston. De plus, personne n’avait accusé M. Huddleston d’avoir même utilisé son propre logiciel.
La bête quotidienne a écrit pour la première fois sur le cas de Huddleston en 2017et à l’heure suggérée sa poursuite soulevé la question de savoir si un programmeur pouvait être tenu pénalement responsable des actions de ses utilisateurs. Ma réponse à cet article a été « L’affaire criminelle des logiciels à double usage n’est pas si nouvelle ».
Illustration photo par Lyne Lucien/The Daily Beast
Le tribunal a été influencé par la preuve que OuiM. Huddleston pouvait être tenu pénalement responsable de ces actes. Il l’a condamné à 33 mois de prison après que l’accusé eut reconnu qu’il connaissait son RAT – un cheval de Troie d’accès à distance surnommé « NanoCore RAT” – était utilisé pour espionner les webcams et voler les mots de passe des systèmes exécutant le logiciel.
Bien sûr, Huddleston le savait : il ne commercialisait pas ses produits sur une annonce de marché de logiciels Craigslist, ou via des promotions vidéo sur sa chaîne câblée locale : il commercialisait le NanoCore RAT et un autre programme de licence de logiciel appelé Filet d’étanchéité exclusivement sur Forums de piratage[dot]rapporter.
Ce vaste forum de langue anglaise propose un large éventail de discussions techniques sur l’utilisation des RAT et d’autres outils pour enregistrer subrepticement des mots de passe et des vidéos d' »esclaves », le terme dérisoire désignant les systèmes secrètement infectés par ces RAT.
Huddleston savait ce que beaucoup de ses clients faisaient parce que de nombreux utilisateurs de NanoCore utilisaient également le programme Net Seal de Huddleston pour empêcher que leurs propres RAT et autres outils de piratage personnalisés ne soient désassemblés ou « crackés » et mis en ligne gratuitement. En bref : il savait sur quels programmes ses clients utilisaient Net Seal, et il savait ce que ces clients avaient fait ou avaient l’intention de faire avec des outils comme NanoCore.
La condamnation suggère que l’endroit où vous choisissez de vendre quelque chose en ligne en dit long sur ce que vous pensez de votre propre produit et sur qui l’achètera probablement.
Auteur du Daily Beast Kévin Poulsen noté dans une histoire de juillet 2017 que Huddleston a changé de ton et a plaidé coupable. L’histoire indiquait une accompagnement plaidoyer dans lequel Huddleston a stipulé qu’il « a sciemment et intentionnellement aidé et encouragé des milliers d’intrusions informatiques illégales » en vendant le programme à des pirates et qu’il « a agi dans le but de favoriser ces intrusions informatiques non autorisées et de les faire se produire ».
N’AVEZ JAMAIS AUCUN CLIENT À CONNAÎTRE ?
Ordinateur qui bipe Catalin Cimpanu observe que le cas de Huddleston est similaire à un autre poursuivi par les procureurs américains contre Marcus « MalwareTech » Hutchinsle chercheur en sécurité qui a contribué à stopper la propagation de l’épidémie mondiale de rançongiciel WannaCry en mai 2017. Les procureurs allèguent que Hutchins était l’auteur et le propriétaire de « Kronos », une souche de malware conçue pour voler les informations d’identification bancaires en ligne.
Marcus Hutchins, juste après avoir été révélé comme l’expert en sécurité qui a arrêté le ver WannaCry. Image : twitter.com/malwaretechblog
Le 5 septembre 2017, BreachTrace a publié « Qui est Marcus Hutchins ? », un fil d’Ariane sur les profils d’utilisateurs publics connus pour avoir été utilisés par Hutchins. Les données ne l’impliquaient pas dans le cheval de Troie Kronos, mais elles relatent l’évolution d’un jeune homme qui semble avoir vendu et publié en ligne un certain nombre d’échantillons de logiciels malveillants uniques et puissants – y compris plusieurs RAT et packs d’exploits personnalisés (ainsi que l’accès à PC piratés).
MalwareTech a refusé d’être interviewé par cette publication à la lumière de ses poursuites en cours. Mais Hutchins a affirmé qu’il n’avait jamais eu de clients parce qu’il n’avait pas écrit le cheval de Troie Kronos.
Hutchins a plaidé non coupable des quatre chefs d’accusation retenus contre lui, notamment de complot en vue de distribuer des logiciels malveillants dans l’intention de causer des dommages à 10 ordinateurs concernés ou plus sans autorisation, et de complot en vue de distribuer des logiciels malveillants conçus pour intercepter les communications électroniques protégées.
Selon une histoire à BankInfoSécuritéles éléments de preuve présentés par les procureurs du gouvernement comprennent :
- Déclarations faites par Hutchins après son arrestation.
- Un CD contenant deux enregistrements audio d’une prison du comté du Nevada où il a été détenu par le FBI.
- 150 pages de discussions Jabber entre l’accusé et un individu.
- Dossiers commerciaux d’Apple, Google et Yahoo.
- Déclarations (350 pages) de l’accusé sur un autre forum Internet, qui ont été saisies par le gouvernement dans un autre district.
- Trois à quatre échantillons de logiciels malveillants.
- Un mandat de perquisition exécuté sur un tiers, qui peut contenir des informations privilégiées.
L’affaire contre Hutchins se poursuit rapidement dans le Wisconsin. Une ordonnance de programmation des requêtes préalables au procès déposée le 22 février suggère que le tribunal souhaite avoir un procès rapide qui se termine avant la fin avril 2018.