Le créateur d’un logiciel criminel populaire connu sous le nom de Kit d’exploitation Phoenix a été arrêté dans sa Russie natale pour avoir distribué des logiciels malveillants et pour possession illégale de plusieurs armes à feu, selon les messages du forum clandestin de l’auteur du logiciel malveillant lui-même.
Le Phoenix Exploit Kit est un outil commercial de crimeware qui, jusqu’à assez récemment, était vendu par son fabricant dans le métro pour un prix de base de 2 200 $. Il est conçu pour piéger les sites Web piratés et malveillants afin qu’ils imposent des téléchargements intempestifs aux visiteurs.
Comme d’autres packs d’exploits, Phoenix sonde le navigateur du visiteur pour détecter la présence de versions obsolètes et non sécurisées des plugins de navigateur aimer Javaet Adobe Flash et Lecteur. Si le visiteur a la malchance d’avoir pris du retard dans l’application des mises à jour, le kit d’exploitation installera silencieusement le logiciel malveillant choisi par l’attaquant sur le PC de la victime (cibles Phoenix uniquement Microsoft Windows des ordinateurs).
L’auteur de Phoenix — un hacker qui utilise le surnom AlexOudakov sur plusieurs forums – ne semble pas s’être trop inquiété de brouiller les pistes ou de cacher son identité. Et comme nous le verrons dans un instant, son personnage en ligne a été très disposé à discuter de sa situation juridique actuelle avec d’anciens clients et d’autres habitants de l’underground.
Par exemple, Alex Udakov était membre de Darkode.com, un forum de cybercriminalité anglophone assez exclusif dont j’ai parlé la semaine dernière. Ce message a révélé que les comptes d’administrateur de Darkode avaient été compromis lors d’une récente effraction et que les intrus avaient pu accéder aux communications privées des administrateurs. Cet accès comprenait le droit de voir les profils complets des membres de Darkode, ainsi que les adresses e-mail privées des membres de Darkode.
AlexUdakov s’est enregistré sur Darkode en utilisant l’adresse « [email protected] ». Cet e-mail est lié à un profil à Vkontakte.ru (une version russe de Facebook) pour un Andrey Alexandrov, un homme de 23 ans (né le 20 mai 1989) de Iochkar-Olaune ville historique d’environ un quart de million d’habitants située sur les rives de la rivière Malaya Kokshaga en Russie, à environ 450 miles à l’est de Moscou.
Cette adresse [email protected] est également connectée à des comptes sur plusieurs forums et sites Web en russe consacrés à la discussion sur les armes à feu, notamment talk.guns.ru et popgun.ru. C’est intéressant parce que, alors que je cherchais les annonces de vente du kit Phoenix Exploit d’AlexUdakov sur divers forums de cybercriminalité, je l’ai rencontré en train de discuter d’armes à feu sur l’un de ses fils de vente à exploit.in, un forum underground semi-exclusif. Là, un utilisateur avec le surnom d’AlexUdakov vendait Phoenix Exploit Kit depuis de nombreux mois, jusqu’en juillet 2012 environ, lorsque les clients d’exploit.in ont commencé à se plaindre qu’il ne répondait plus aux demandes de vente et d’assistance. Pendant ce temps, le compte AlexUdakov est resté silencieux pendant de nombreux mois.
Puis, en février 2013, Alex Oudakov a recommencé à poster, expliquant son absence en détaillant son arrestation par le Service fédéral de sécurité (FSB), l’équivalent russe du FBI. L’auteur de Phoenix Exploit Kit a expliqué qu’il avait été arrêté par des agents du FSB pour distribution de logiciels malveillants et possession illégale d’armes à feu, dont deux Fusils d’assaut AKS-74Uune glockune TT (pistolet de fabrication russe) et un PM (également connu sous le nom de Makarov).
Dans son billet exploit.in, AlexUdakov dit qu’il vit dans un appartement avec sa femme et son enfant. La partie principale du message se lit, en partie:
« Le _ mai, un agent du FSB a effectué un achat contrôlé, l’argent a été transféré via WebMoney.
Le 1er juillet, des agents du FSB m’ont arrêté et ont effectué des perquisitions au domicile, au siège social, dans les voitures que j’utilisais. Tous les ordinateurs et périphériques de stockage ont été pris à l’exception d’un routeur Wi-Fi.
Lors de la perquisition au domicile ils ont également emporté 2 mitrailleuses automatiques AKS74U, Glock, arme de poing TT, arme de poing PM, munitions. Je n’ai pas de casier judiciaire et j’ai fait des aveux, j’ai été libéré sous mon propre engagement. Je suis inculpé de 3 chefs d’accusation – complot en vue de distribuer des logiciels malveillants (article 273 du Code pénal russe), production illégale d’armes à feu, de munitions et d’explosifs (article 223), possession illégale d’armes, de munitions et d’explosifs (article 222)…..
… Ensuite, il y a eu quelques mois d’attente, et l’examen médico-légal informatique a eu lieu, qui a tenté de déclarer le pack d’exploits comme étant un logiciel malveillant. L’examen a eu lieu à _Labs, le même endroit qui a rendu l’avis préliminaire, qui à son tour est devenu la base pour ouvrir une affaire pénale. L’examen a déterminé que le logiciel (pack d’exploitation) était un logiciel malveillant. »
Après être tombé sur le fil exploit.in d’AlexUdakov, j’ai parcouru les différents forums piratés et les bases de données d’affiliation que j’ai collectées au fil des ans. Il s’avère qu’un mécréant qui a adopté le surnom d’AlexUdakov était également affilié à Logiciel Bakaun système de paiement à l’installation lucratif qui a lancé de faux antivirus ou programmes « scareware » entre 2008 et 2009. AlexUdakov s’est enregistré auprès de Baka en utilisant l’adresse e-mail [email protected]. Cet e-mail était connecté à un autre profil Vkontakte (désormais interdit par Vkontakte pour abus), également de Yoshkar-Ola.
À ce stade de l’enquête, j’ai fait appel à une de mes sources de confiance qui a la capacité de consulter les dossiers fiscaux des citoyens et des entreprises russes, et j’ai demandé à cette source s’il y avait un homme de 23 ans à Iochkar-Ola qui correspondait le nom dans le profil Vkontakte enregistré sur [email protected].
La source est revenue avec un seul hit : un Andreï Anatolevitch Alexandrovné le 20 mai 1989 et résidant actuellement à un appartement de 365 pieds carrés avec sa femme et son petit enfant à Yoshkar-Ola. Selon ma source, Alexandrov est actuellement le conducteur enregistré de deux automobiles, une Lexus RS350 et une 1995 VAZ-2109une berline de fabrication russe.
Je ne peux pas dire avec certitude si le Phoenix Exploit Kit a quelque chose à voir avec M. Alexandrov de Yoshkar-Ola, ou même si ce jeune homme a déjà reçu la visite du FSB. Les demandes de commentaires envoyées aux deux e-mails mentionnés dans cette histoire sont restées sans réponse. Et il est certainement possible que le personnage d’AlexUdakov qui a vendu son package de logiciels criminels sur tant de forums clandestins ait simplement assumé l’identité réelle d’un homme innocent.
Mais sur la base d’enquêtes antérieures telles que celle-ci, il ne serait pas exagéré de conclure que les deux identités sont une seule et même identité. Les lecteurs de ce blog ont parfois du mal à croire que les personnes impliquées dans la vente et la distribution de logiciels malveillants et criminels seraient si négligentes de séparer leur moi en ligne de leur vie réelle. La réalité est que de nombreux joueurs de haut niveau dans cet espace montrent systématiquement que, bien qu’ils puissent posséder des compétences de piratage offensif assez avancées, ils ne sont pas aussi experts en défense.
Ce manque général de sécurité opérationnelle pourrait résulter de plusieurs facteurs. Premièrement, de nombreuses personnes impliquées dans la cybercriminalité peuvent croire (peut-être à juste titre) qu’il est peu probable que les autorités de leur pays s’intéressent un jour à leurs activités. En outre, certains fraudeurs aiment même se vanter de leurs crimes, et il est probable que certains cybercriminels ne considèrent tout simplement pas ce qu’ils font comme une activité criminelle grave et ne voient donc aucune raison de se cacher.
Mais beaucoup plus commun est l’enfant brillant qui est progressivement entraîné dans le côté le plus sombre de l’Underweb, et qui laisse presque invariablement derrière lui une traînée cumulative d’indices qui pointent vers son identité réelle – tout cela parce qu’il ne s’attendait jamais à réussir ou à faire beaucoup d’argent de ses activités illicites.
Je voudrais ajouter une note spéciale de remerciement à « Filosov » et Aleksey pour leur aide avec les traductions du russe vers l’anglais dans ce post.