Un homme arrêté en Thaïlande cette semaine pour avoir volé des millions sur des comptes bancaires en ligne correspond au profil d’un mécréant surnommé « bx1 », un pirate informatique pointé du doigt par Microsoft comme un opérateur majeur de botnets alimentés par le Zeus cheval de Troie bancaire.
Tel que rapporté par La poste de Bangkok24 ans Hamza Bendellaj, un ressortissant algérien, a été arrêté ce week-end à l’aéroport Suvarnnabhumi de Bangkok, alors qu’il était en transit entre la Malaisie et l’Egypte. Ce jeune homme a attiré l’attention des médias lorsqu’il a été présenté devant des caméras de télévision thaïlandaises menotté mais souriant largement, bien qu’il ait été accusé par le FBI d’avoir piraté les comptes clients de 217 institutions financières dans le monde.
Les enquêteurs thaïlandais ont déclaré aux journalistes que Bendelladj avait amassé « des sommes énormes » en revenus illicites, et qu' »avec une seule transaction, il pouvait gagner 10 à 20 millions de dollars ». Il a parcouru le monde en volant en première classe et a vécu une vie de luxe.
Je n’ai pas pleinement compris pourquoi j’ai trouvé cette affaire si intéressante jusqu’à ce que je commence à chercher son adresse e-mail sur Internet et sur mes propres serveurs. Il s’avère qu’en 2011, j’ai été contacté par message instantané par un pirate informatique qui a déclaré qu’il exploitait des botnets à l’aide des chevaux de Troie Zeus et SpyEye. Cet individu m’a contacté à plusieurs reprises au cours de l’année suivante, sans raison apparente, sauf pour se vanter de ses exploits. Il m’a contacté via la plate-forme de messagerie instantanée MSN de Microsoft, en utilisant l’adresse e-mail [email protected]. Ce compte utilisait l’alias « Daniel ». J’ai découvert plus tard que Daniel utilisait aussi le surnom bx1.
Selon plusieurs forums sur lesquels bx1 traînait jusqu’à très récemment, l’homme arrêté en Thaïlande et bx1 ne faisaient qu’un. Un examen des adresses e-mail et autres informations de contact partagées par bx1 sur ces forums suggère que bx1 était le 19e et le 20e John Doe nommé dans le procès en justice de Microsoft en 2012 visant à découvrir l’identité de 39 botmasters ZeuS présumés. D’après la plainte déposée par Microsoft auprès du tribunal de district américain du district oriental de Virginie et publiée sur Zeuslegalnotice.com:
« Les demandeurs sont informés et croient et allèguent alors que John Doe 19/20 porte les pseudonymes » Daniel « , » bx1 « , » Daniel Hamza » et » Danielbx1 » et peuvent être contactés aux adresses e-mail et de messagerie » 565359703 « , airlord1988 @gmail.com, [email protected], [email protected], [email protected][email protected], [email protected], [email protected], et [email protected]. Sur information et conviction, John Doe 19/20 a acheté et utilisé le code Zeus/SpyEye.
Le Daniel avec qui j’ai discuté était fier de son travail et semblait aimer décrire des attaques réussies. Dans une de ces conversations, datée de janvier 2012, bx1 s’est vanté d’être entré par effraction dans les systèmes d’un pirate informatique qui utilisait le surnom de « Symlink » et était réputé dans l’underground pour ses écrits complexes et personnalisés. Injections Web pour les utilisateurs de ZeuS et SpyEye. Plus précisément, le code de Symlink a été conçu pour automatiser les transferts d’argent depuis les banques des victimes vers des comptes contrôlés par les botmasters ZeuS et SpyEye. Voici un extrait de ce chat :
(00:31:22 AM) Daniel : si tu veux écrire une histoire
(00:31:34 AM) Daniel : un très parfait
(00:31:34 AM) Daniel : même Interpol vous atteindra
(00:31:35) Breachtrace : ?
(00:31:42) Daniel : j’ai piraté le type qui a baisé la plupart des banques
(00:31:48) Daniel : lien symbolique vers le gars qui a créé l’ATS
(00:31:49) Daniel : 🙂
(00:32:02 AM) Daniel : ATS = système de transfert automatique
(00:32:15 AM) Daniel : et obtenez ses sauvegardes + photos et tous ses détails
(00:32:37 AM) Daniel : Emploi récent, etc.
(00:33:06) Breachtrace : comment s’appelle-t-il ?
(00:33:17) Daniel : nom complet ?
(00:34:03) Breachtrace : ouais
(00:34:10) Daniel : hmmmm
(00:34:50) Daniel : besliu vasile
(00:35:01 AM) Breachtrace : quel genre de nom est-ce ?
(00:35:11 AM) Breachtrace : roumain ?
(00:35:13 AM) Daniel : nom moldave
(00:35:53) Daniel : il est moche.
(00:36:18) Daniel : après l’avoir piraté, il a dit que j’avais détruit sa vie (
(00:36:27 AM) Breachtrace : aww
(00:36:55) Daniel : oui parce que je lui ai parlé
(00:37:10) Daniel : J’ai dit combien vous payez pour que vos informations restent confidentielles
(00:37:19) Daniel : puis il a dit qu’il avait détruit son [hard drive]
(00:37:28 AM) Daniel : j’ai dit que je m’en fichais, j’avais une sauvegarde
(00:37:32) Daniel : il m’a fallu des mois pour tout télécharger
(00:37:48) Daniel : son travail précédent..ats..preuve vidéo
(00:37:55) Daniel : sa photo avec le botnet Zeus montrant de l’argent
(00:38:12 AM) Daniel : son numéro de plaque d’immatriculation
(00:38:17 AM) Daniel : les amies des filles
(00:38:23) Daniel : son atelier. il est mécanicien
(00:40:49) Breachtrace : hein. comment ça se fait qu’il t’a fallu des mois pour [download]?
(00:41:43) Daniel : je l’attends
(00:41:46) Daniel : s’il ne le fait pas [pay] alors je partage juste ses informations personnelles
(00:41:57) Daniel : et des vidéos qui prouvent 🙂 à propos de ses emplois, etc.
—
Il n’est pas clair si bx1 a quelque chose à voir avec cela, mais selon un long fil sur Mazafaka, l’un des forums de cybercriminalité les plus exclusifs d’Underweb, Symlink a été arrêté à la fin de l’année dernière en Moldavie. Dans un message du 11 octobre 2012, des habitués du forum ont déclaré que Symlink avait été arrêté la veille et qu’il s’était fait prendre parce qu’il avait fait étalage de sa richesse mal acquise avec des voitures de luxe (un Land Cruiser 200 entièrement chargé, d’une valeur de plus de 100 000 $ ) et des choix de vie ostentatoires qui étaient apparemment considérés comme bien au-delà des moyens d’un mécanicien automobile local. Comme ils le font chaque fois qu’un membre du forum est arrêté, les administrateurs du forum ont interdit le compte de Symlink pour se distancer de l’ancien membre.
«La police économique est venue hier sur le lien symbolique. Tous les ordinateurs ont été saisis, un était crypté et deux non, tous les baragouins au moment de la saisie étaient en ligne. Bannissez-le temporairement, mais mieux définitivement. Il a été reçu adulte [meaning, arrested seriously]. Idiot surjoué.
Il est sûr de dire que bx1 avait sa part d’ennemis, et il est possible que Symlink et/ou ses copains aient le dernier mot. Selon les informations obtenues par BreachTrace, les attaquants ont récemment ciblé bx1 dans un piratage réussi pour s’introduire dans son ordinateur, s’emparant de nombreux fichiers, e-mails, captures d’écran et images de sa machine.
Parmi eux figuraient des copies numérisées de deux cartes d’identité portant toutes deux le nom et l’effigie de Hamza « Daniel » Bendelladj ; une d’une « Université de Sutton » et une autre qui semble être une sorte de carte d’identité internationale. Il n’est pas clair si ces documents sont légitimes ou fabriqués, mais probablement ce dernier : le domaine attaché à l’adresse e-mail MSN de bx1 — universitédesutton.com — est enregistré avec les coordonnées suivantes :
domain: universityofsutton.com owner: Daniel Delcore organization: VIRUS & Malware Scanner email: [email protected] address: 522 8th street city: Columbus state: IN postal-code: 47201 country: US phone: +1.7573011758 admin-c: CCOM-1611324 [email protected] tech-c: CCOM-1611324 [email protected] billing-c: CCOM-1611324 [email protected]