[ad_1]

Les deux articles précédents de ce blog ont présenté des articles sur des banques rachetant des comptes de cartes de crédit et de débit volés lors du piratage de Target et qui ont fini par être vendus sur rescateur[dot]la, un magasin souterrain populaire. Le message d’aujourd’hui se penche un peu plus sur les informations open source sur une éventuelle identité réelle du propriétaire de cette boutique de fraude en ligne.

Réscateur[dot]la est dirigée par un mécréant qui utilise le surnom Réscateuret qui est l’un des principaux membres du forum sur la criminalité en langue russe et anglaise Lampedusa[dot]la. Il exploite plusieurs magasins en ligne qui vendent des données de cartes volées, y compris rescator[dot]la, kadhafi[dot]hk, octave[dot]su et décharges bon marché[dot]org. Rescator maintient également une présence sur plusieurs autres forums de cardage, notamment cpro[dot]su et pour[dot]cc.

Un message privé sur cpro[dot]su entre Rescator et un membre intéressé par sa carterie.  Remarquez l'annonce pour le service d'inondation d'e-mails de Rescator en bas.

Un message privé sur cpro[dot]su entre Rescator et un membre intéressé par sa carterie. Remarquez l’annonce pour le service d’inondation d’e-mails de Rescator en bas ; cela deviendra important au fur et à mesure de votre lecture.

Dans un fil d’août 2011 qui a depuis été supprimé, Rescator s’est présenté aux membres existants de vor[dot]cc, un forum de cardage russe assez exclusif. Lorsque de nouveaux membres rejoignent une communauté de cardeurs, il est de coutume qu’ils expliquent leur expertise et listent les surnoms et forums précédents sur lesquels ils ont établi une réputation.

Rescator, alias "Hel" alias "Helkern", l

Rescator, alias « Hel » alias « Helkern », l’ancien administrateur du forum Darklife, se présente à vor[dot]cc membres du forum sur la criminalité.

Dans le fil illustré ci-dessus, nous pouvons voir Rescator énumérer sa bonne foi et dire aux autres qu’il était « Hel », l’un des trois fondateurs de Vie sombre[dot]ws, un forum de hackers aujourd’hui disparu. Dans la capture d’écran ci-dessous, Rescator précise que « Hel, en fait, c’est moi ».

Rescator dit que son ancien surnom était "Hel", abréviation de Helkern, l

Rescator dit que son ancien surnom était « Hel », abréviation de Helkern, l’administrateur de Darklife.

Le seul membre de darklife qui correspondait à ce surnom était « Helkern », l’un des trois fondateurs de darklife. Les administrateurs de Darklife étaient tous de jeunes hommes qui se considéraient comme des hackers qualifiés, et à un moment donné, le groupe a piraté le vénérable et étroitement surveillé forum de piratage russe. cih[dot]Mme après avoir deviné le mot de passe d’un administrateur là-bas.

L

L’administrateur de Darklife « Helkern » se vante auprès des autres membres d’avoir piraté le cih[dot]ms, un forum de piratage russe plus élitiste.

Dans une contre-attaque documentée dans le fil divertissant qui est toujours affiché comme une sorte de trophée au cih[dot]ms/old/epicfail, pirates de cih[dot]ms a piraté le forum Darklife et a publié des photos personnelles d’Helkern et d’autres dirigeants de Darklife, y compris ces deux-là d’Helkern :

helkern1

Et un autoportrait de Helkern :

helkern-soi

Donc si Helkern est Rescator, qui est Helkern ? Si nous vérifions certains des autres forums russes dans lesquels Helkern était actif au moment où Darklife était en ligne en 2008, nous pouvons voir qu’il était un contributeur assez fréquent au défunt Grabberz[dot]com; dans ce message en cache, Helkern peut être vu coller un exploit qu’il a développé pour une vulnérabilité d’injection SQL à distance. Dans ce document, il revendique la propriété de l’adresse de messagerie instantanée ICQ 261333.

Dans cette page de présentation d’un forum de jeu en russe, un utilisateur nommé Helkern était également actif en 2008 et a revendiqué la même adresse ICQ. Helkern a déclaré que son adresse e-mail était [email protected]son adresse Skype était helkern_skypeet qu’il vivait dans Odessa, la troisième plus grande ville d’Ukraine. Helkern – sous son nom d’utilisateur abrégé « Hel », était également un membre VIP de xaker[dot]Nom. Dans ce message en cache on le voit à nouveau réclamer l’adresse 261333 ICQ, et faire remarquer aux autres membres que son vrai surnom est Helkern.

Andrew de la photo de profil LiveJournal d'Odessa du compte ikaikki"

Andrew de la photo de profil LiveJournal d’Odessa du compte ikaikki »

Une recherche WHOIS historique commandée à partir de domaintools.com montre que helkern.net.ua a été enregistré pour la première fois en 2008 auprès d’un Andreï Hodirevski à partir de Illitchivsk une ville de la province d’Odessa, dans le sud-ouest de l’Ukraine.

J’ai trouvé un profil Livejournal relativement récent (ikaikki.livejournal.com/profile) pour un Andrew Hodirevski d’Odessa, en Ukraine, qui comprend plusieurs photos de profil qui sont remarquablement similaires aux photos de Helkern divulguées par le cih[dot]Mme les gars. Ce profil (« ikaikki“) indique que l’adresse e-mail de Hodirevski est [email protected]que son adresse de messagerie instantanée Jabber est [email protected]et que son compte Twitter est « violetxcite» (que Twitter a depuis été supprimé). Dans près d’une douzaine d’articles sur LiveJournal, Hodirevski parle de son intérêt pour la programmation Java et inclut même quelques photos de lui-même assistant à un cours sur Java.

La même image de profil anime pour la page LiveJournal d’Andrew est également sur le Profil LinkedIn pour un Andrew Hodirevski d’Ukraine, et les deux pages partagent le profil Twitter susmentionné (purplexcite). La page LinkedIn d’Andrew indique également qu’il est l’administrateur et le développeur Web d’une société d’hébergement en Ukraine appelée fantôme.ua.

Ce site n’est plus en ligne, mais une copie en cache sur archive.org montre que l’entreprise est située à Odessa à cette adresse, et le numéro de téléphone +38 (048) 799-53-13. Ghost.ua répertorie plusieurs plans tarifaires pour ses serveurs, en les nommant d’après différents dirigeants despotiques, dont Fidel Castro et Mouammar Kadhafi (il est orthographié « Kaddafi » sur Ghost.ua). Rappelons comme je le mentionnais en haut de ce post qu’un des clones de la carterie chez Rescator[dot]la est kadhafi[dot]hk.

Cette page sur it-portfolio.net répertorie un Andrey Hodirevski d’Odessa avec la même image de profil d’anime, le profil Twitter « purplexcite » et une adresse Skype du même nom. Il dit que ses compétences professionnelles incluent la programmation en Java, CakePHP et MySQL, entre autres. Cette discussion de groupes Google à propos de CakePHP inclut un message d’un Andrey Hodirevski qui utilise l’adresse e-mail [email protected].

Purpled.biz n’est plus en ligne, mais une copie en cache de archive.org montre que c’était autrefois le site personnel d’Andrew. Ici, nous avons appris que les objectifs actuels d’Andrew (en 2010) étaient de se marier avec sa petite amie, d’acheter la Toyota Solara à 20 000 $ illustrée ci-dessous, de déménager à Helsinki et de dominer le monde. Afin d’atteindre ce dernier objectif, Andrew plaisante en disant qu’il « devra probablement braquer toutes les banques du monde ».

andrew-violetAprès avoir recherché dans mes énormes archives personnelles de forums de cybercriminalité piratés les différentes adresses e-mail et Jabber d’Andrew, j’ai trouvé plusieurs messages privés envoyés par différents utilisateurs sur le Spampoint[dot]affaires forum qui a recommandé aux autres membres l’adresse Jabber « [email protected] » comme personne à contacter afin de louer un service qui pourrait être utilisé pour inonder la boîte de réception Gmail de quelqu’un avec des dizaines ou des centaines de milliers de messages indésirables. Rappelez-vous que cette adresse Jabber est la même que celle indiquée sur le profil LiveJournal d’Andrew.

Pour boucler la boucle, l’un des nombreux services que Rescator vend ces jours-ci est un service d’inondation d’e-mails populaire sur rescateur[dot]moi. Il s’avère que Yours Truly a déjà été la cible directe d’une attaque lancée via le service de Rescator ; J’ai écrit à ce sujet dans cette histoire de juillet 2012, Cyberheist Smokescreen: Email, Phone, SMS Floods.

Le service d'inondation d'e-mails chez rescator[dot]moi

Le service d’inondation d’e-mails chez rescator[dot]moi

Je n’ai aucune idée si Rescator/Helkern/Andrew était impliqué dans le piratage de Target, mais il y a fort à parier qu’il sait au moins qui l’était. J’ai demandé des commentaires à diverses adresses de contact répertoriées ci-dessus pour cet individu et j’ai reçu une réponse de quelqu’un de Kadhafi.[dot]moi qui disais qu’il connaissait Andrew et qu’il lui transmettrait mes questions. En fin de compte, il est revenu vers moi non pas avec des réponses, mais avec un pot-de-vin pour ne pas publier mon histoire.

(13:48:35) meguetaoui// : salut

(13:48:44) meguetaoui// : meguetaoui amine ici

(13:49:05) meguetaoui// : essaie d’atteindre le rescator

(13:49:11) meguetaoui// : alias killua

(1:51:12 PM) meguetaoui// : tu ne crois pas que c’est vraiment meguetaoui?

(13:51:15) meguetaoui// : http://breachtrace.com/wp-content/uploads/2013/12/kaddaficon.png

(13:53:32) meguetaoui// : 🙂

(13:53:53) meguetaoui// : tyt ?

(14:00:14) kaddafi.me : Bonjour meguetaoui🙂

(14:00:24) kaddafi.me n’a pas encore été authentifié. Vous devez authentifier ce copain.

(14:00:24) Une conversation non vérifiée avec kaddafi.me/Muammar a commencé. Votre client n’enregistre pas cette conversation.

(14:00:30) kaddafi.me : ooo tu as OTR

(14:00:37) kaddafi.me : Peur de la NSA ? )

(14:01:38) kaddafi.me : Pourquoi veux-tu parler à Andrew ?

(14:03:46) meguetaoui// : j’ai plus peur des autres

[Image] (14:03:56) Le statut de confidentialité de la conversation en cours est maintenant : Privé

(14:04:11) kaddafi.me : Oui, eh bien, vous devriez le faire après que quelqu’un vous ait envoyé de la drogue depuis Silkroad.

(14:04:24) meguetaoui//: 🙂

(14:04:59) meguetaoui// : tu as raison bien sûr, c’est andrew 🙂

(14:05:17) kaddafi.me : Qu’est-ce qui fait toute cette agitation à propos de Rescator de toute façon ?

(14:05:20) meguetaoui// : eh bien, j’ai une histoire à propos de lui qui monte demain

(14:05:23) kaddafi.me : Avez-vous remarqué que d’autres magasins vendent la même merde ?

(14:05:32) meguetaoui// : bien sûr

(2:05:46 PM) meguetaoui//: mais je ne regarde pas d’autres magasins en ce moment

(14:06:05) kaddafi.me : Eh bien, vous devriez)

(14:06:10) meguetaoui// : dans le temps 🙂

Kadhafi a promis une réponse avant 22 heures HE hier. Ce matin, ne voyant pas de réponse, j’ai de nouveau envoyé un ping à cet individu et j’ai reçu la réponse suivante :

(10:08:46) kaddafi.me : Salut.

(10:09:19 AM) kaddafi.me : Tu ferais mieux de me contacter à partir d’un autre jabber qui n’est pas associé à ton nom, j’ai une offre pour toi.

(10:11:12 AM) Meguetaoui// : pourquoi d’un jabber différent ?

(10:11:33 AM) kaddafi.me : Parce que j’ai une offre pour vous. Donc vous ne pensez pas que j’essaie de jouer à des jeux et de m’amuser avec des journaux après avoir lu mon offre.

(10:11:52) meguetaoui// : quel type d’offre ?

(10:12:27 AM) 10 000 $ pour ne pas publier votre article

De toute évidence, je n’ai pas accepté son offre, en supposant qu’il ne faisait pas que jouer avec moi. Voici une carte mentale que j’ai créée (à l’aide de MindNode Pro pour Mac) qui décrit la quantité de ces informations dérivées et connectées.

resc-mm

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *