Joseph James O’Connor, alias « PlugwalkJoke », a plaidé coupable à plusieurs délits de cybercriminalité, notamment des attaques par échange de carte SIM, du cyberharcèlement, du piratage informatique et du détournement de comptes de premier plan sur Twitter et TikTok.
Le pirate informatique avait déjà été inculpé par le ministère américain de la Justice en novembre 2021, accusé d’avoir volé pour 784 000 $ de crypto-monnaie via des attaques par échange de carte SIM.
O’Connor, un citoyen britannique, a finalement été extradé vers les États-Unis depuis l’Espagne le 26 avril 2023, et le tribunal du district sud de New York gère désormais l’affaire.
Une longue série d’attaques
Des documents judiciaires indiquent qu’O’Connor et ses co-conspirateurs se sont livrés à des échanges de cartes SIM entre mars 2019 et août 2020, transférant les numéros de téléphone de leurs victimes sur des cartes SIM sous leur contrôle.
Parmi les cibles de ces attaques figuraient trois dirigeants d’entreprise qui détenaient des quantités importantes d’actifs numériques et dont les comptes étaient protégés par une authentification à deux facteurs par SMS.
Les attaquants ont réussi à voler 794 000 $ de crypto-monnaie aux victimes, en contournant la protection 2FA en utilisant une attaque par échange de carte SIM pour envoyer des codes uniques à leurs propres appareils, puis en blanchissant les montants sur divers mélangeurs Bitcoin.
O’Connor a admis son rôle dans le piratage qui a touché Twitter en juin 2020, où lui et ses trois co-conspirateurs ont eu accès aux comptes de personnalités telles que Barack Obama, Joe Biden, Elon Musk, Bill Gates, Jeff Bezos , Warren Buffet, Binance, Apple, Uber et Bitcoin.
Certains de ces comptes ont été utilisés pour mener une escroquerie de don de crypto-monnaie, permettant aux attaquants de voler environ 105 000 $.
Les pirates ont utilisé l’ingénierie sociale pour obtenir l’accès aux outils administratifs internes utilisés par les employés de Twitter, puis ont transféré le contrôle des comptes cibles à des utilisateurs non autorisés.
En août 2020, le pirate a utilisé l’échange de carte SIM pour détourner un compte TikTok appartenant à une personnalité publique comptant des millions d’abonnés et l’a abusé à des fins d’autopromotion.
Le pirate a en outre menacé le propriétaire du compte victime de divulguer des données personnelles sensibles sur un serveur Discord.
L’annonce du ministère américain de la Justice mentionne que l’accusé a commencé sa frénésie de piratage des médias sociaux en juin 2019 en obtenant un accès non autorisé à un compte Snapchat, en volant des données sensibles, puis en faisant chanter le propriétaire du compte.
« O’Connor a utilisé ses capacités technologiques sophistiquées à des fins malveillantes – mener une attaque complexe par échange de carte SIM pour voler de grandes quantités de crypto-monnaie, pirater Twitter, mener des intrusions informatiques pour prendre le contrôle de comptes de médias sociaux, et même cyberharcèlement de deux victimes, dont une victime mineure, », a déclaré le procureur américain Damian Williams pour le district sud de New York.
O’Connor doit être condamné le 23 juin 2023 et ses multiples accusations peuvent entraîner une peine maximale de 20 ans de prison.
Le défendeur a accepté de renoncer au montant de 794 012,64 $, qui servira à dédommager les victimes de ses cybercrimes.