Plus tôt cette année, une coalition internationale d’organismes d’application de la loi a pris le contrôle du site Web sombre du célèbre gang de ransomware LockBit, remplaçant son contenu par le message désormais familier des autorités : « Ce site est maintenant sous le contrôle des forces de l’ordre ». L’opération n’a pas perturbé le fonctionnement du groupe pendant trop longtemps, le gang lançant un nouveau site peu de temps après le démantèlement.

Mais le 6 mai, les autorités ont mis à jour l’ancienne page du site LockBit et ont annoncé qu’elles révéleraient l’identité de l’administrateur de LockBit. « Qui est LockBitSupp ? » pouvait-on lire dans un encadré sur le site, qui comprenait également un compte à rebours de 24 heures.

Quand chercheur en cybersécurité Jon DiMaggio a vu l’annonce, il s’est immédiatement demandé : est-ce que les flics ont le même gars que j’ai identifié ?

Une capture d’écran du site Web LockBit darknet saisi.
Une capture d’écran du site Web LockBit darknet saisi. Crédits image : fr.techtribune.net/ capture d’écran
Crédits image : fr.techtribune.net(capture d’écran)

Au cours des deux dernières années, DiMaggio, qui est chercheur au sein de la société de cybersécurité Analyst1, a développé une relation avec LockBitSupp – d’abord en se faisant passer pour un cybercriminel en herbe intéressé à rejoindre le gang, puis en se faisant passer pour lui-même. Et, en fin de compte, DiMaggio a pu découvrir la véritable identité de LockBitSupp avant qu’elle ne soit révélée publiquement par les autorités.

Vendredi, lors d’une conférence lors de la conférence sur le piratage Def Con à Las Vegas, DiMaggio a raconté toute l’histoire de sa relation avec LockBitSupp, détaillant comment il a gagné sa confiance en utilisant un personnage inventé, puis a maintenu la relation même après DiMaggio Révélé publiquement qu’il avait infiltré le gang et trompé LockBitSupp pour qu’il lui donne les détails de l’opération.

Publicité

« Notre relation a connu des hauts et des bas », a déclaré DiMaggio lors d’un aperçu de sa présentation, qu’il a donnée à fr.techtribune.netavant la conférence.

Au début, DiMaggio a expliqué qu’il avait créé une série de comptes de faux-nez pour approcher les personnes qui semblaient avoir des relations directes avec LockBitSupp, ainsi que pour observer leurs interactions. L’objectif au cours de cette phase était de créer un personnage cybercriminel ayant une sorte d’histoire et de connexions dans l’underground, ce qui permettrait de paraître plus crédible lorsqu’on s’adresse directement à LockBit et à son administrateur.

« L’important était de surveiller les conversations qui semblaient non pertinentes. Ceux où ils étaient sur leurs gardes, où ils ne faisaient que parler de merde avec d’autres pirates. Cela m’a permis de voir les choses qu’ils aimaient et celles qu’ils n’aimaient pas. Cela m’a donné un peu de contexte dans leurs opinions politiques », a déclaré DiMaggio. « Toutes ces choses que j’avais besoin de construire avant de pouvoir m’engager, car si je me lançais dans ce domaine et que je commençais à poser des questions sur les attaques et leur fonctionnement, il serait assez évident que j’étais un chercheur. »

DiMaggio a déclaré que sa tentative initiale de rejoindre le gang avait été rejetée, mais qu’il avait continué à parler à LockBitSupp, avec qui il a commencé à avoir une relation directe et amicale. À partir de ce moment-là, DiMaggio a déclaré qu’il s’était concentré sur LockBitSupp, faisant des blagues avec lui, posant avec désinvolture des questions sur les détails de son opération, telles que des questions sur différents éléments et types d’attaques, comment choisir parmi eux, comment négocier avec les victimes et comment établir quelle est la bonne demande de rançon en fonction de l’entreprise victime.

Puis, en janvier 2023, DiMaggio a rédigé un long rapport sur ses découvertes Au cours de ses recherches secrètes, il a essentiellement brûlé tous ses faux personnages de cybercriminels. DiMaggio a déclaré qu’il pensait que ce serait la fin de sa relation avec LockBitSupp. Au lieu de cela, le chef du réseau criminel semble l’avoir pris à la légère, postant sur des forums qu’il aurait aimé que DiMaggio le montre sur des yachts avec des femmes, profitant de sa vie de cybercriminel de haut vol. C’était en soi intéressant pour DiMaggio.

« La personne que je connais, bien qu’elle soit certainement motivée par l’argent, ce n’est pas une personne tape-à-l’œil, ce n’est pas le genre de personne que je m’attendrais à ce qu’elle soit obsédée par les objets matériels », a déclaré DiMaggio. « Il y avait donc un énorme contraste entre son comportement et sa personnalité qu’il présentait sur ces forums par rapport à la personne à qui j’ai parlé en tête-à-tête. »

Ensuite, DiMaggio a déclaré que LockBitSupp a commencé à utiliser sa photo LinkedIn comme avatar dans les forums de piratage comme un moyen de se moquer de DiMaggio. « C’était vraiment un jeu du chat et de la souris, et honnêtement, LockBit a adoré jouer à ce jeu avec moi autant que j’ai aimé y jouer avec eux », a déclaré DiMaggio.

À un pointAu début du mois d’août de l’année dernière, DiMaggio a décidé de troller LockBitSupp en public. Pour plaisanter, il a posté sur X en affirmant qu’il allait publier de nouvelles recherches dans le groupe de ransomware, et que si LockBitSupp voulait l’arrêter, il pourrait lui payer 10 millions de dollars. Il a donné l’impression qu’il essayait d’extorquer les extorqueurs. Étonnamment, il semblait que certains cybercriminels le croyaient et craignaient d’être exposés.

« Cela montre que d’un point de vue psychologique, vous pouvez vraiment vous en l’air avec ces gars-là », a déclaré DiMaggio. « L’aspect mental de cette opération est allé beaucoup plus loin que tout ce que j’ai fait. »

Pendant ce temps, DiMaggio a déclaré que LockBitSupp était resté hors ligne pendant environ 12 jours. Quand il est revenu, il semblait bouleversé, mais n’a pas cessé de communiquer avec lui. À peu près à la même époque, LockBit Responsabilité revendiquée pour une cyberattaque contre un hôpital communautaire qui traite des enfants à Chicago, la deuxième attaque contre un hôpital après celle qui a a frappé l’hôpital SickKids de Toronto, un autre établissement pour les enfants.

Ces attaques, a déclaré DiMaggio, « m’ont vraiment, vraiment énervé ». Et ils l’ont presque convaincu d’envoyer un message de colère à LockBitSupp, leur disant d’aller se faire, et qu’il venait les chercher. Finalement, DiMaggio a déclaré qu’il avait décidé de ne pas l’envoyer, car « vous ne pouvez pas vous investir émotionnellement avec votre cible ».

une photo de Jon DiMaggio sur un fond glitchy avec les logos LockBit.
Le chercheur en Sécurité Jon DiMaggio. Crédits image : fourni / Bryce Durbin / TechCrunch

Ensuite, les forces de l’ordre ont fermé le site Web de LockBit et ont au moins temporairement perturbé les opérations du gang. DiMaggio a déclaré qu’il avait décidé de concentrer tous ses efforts sur l’identification de LockBitSupp, de faire passer le mot dans la cybercriminalité clandestine et, avec d’autres chercheurs, qu’il s’en prenait au chef du gang.

« À ce moment-là, LockBit le savait, la chasse était lancée », a déclaré DiMaggio.

Et cette chasse a été facilitée par un tuyau anonyme que quelqu’un a envoyé à DiMaggio. L’informateur, a déclaré DiMaggio, lui a donné une adresse e-mail Yandex qui appartiendrait à LockBitSupp. Avec cela comme point de départ, DiMaggio a déclaré qu’il avait pu percer le mystère de l’identité de LockBitSupp, ce qui l’a conduit à quelqu’un nommé Dmitry Khoroshev. Mais aussi alléchante que soit cette découverte, DiMaggio ne pouvait pas en être complètement sûr.

Mais ensuite, quelque chose s’est produit auquel même lui ne s’attendait pas. Les autorités ont mis à jour le site Web saisi de LockBit dans le but de révéler l’identité de LockBitSupp. DiMaggio a déclaré qu’à ce stade, il a contacté le FBI, avec qui il a eu une relation en tant que partenaire de l’industrie privée, et leur a dit qu’il avait identifié Khoroshev comme l’administrateur du LockBit, et qu’il prévoyait d’écrire un rapport le révélant. L’objectif, a déclaré DiMaggio, était de demander au FBI s’il devait attendre pour publier son rapport ou non.

« S’ils me disaient d’attendre, il y avait de fortes chances que j’aie le bon gars. S’ils m’avaient dit de faire ce que je voulais, alors j’aurais probablement quand même attendu parce que c’était peut-être parce que j’avais le mauvais gars », a déclaré DiMaggio, qui a ajouté que le FBI lui avait dit d’attendre.

DiMaggio se rendait à la conférence sur la cybersécurité RSA à San Francisco, alors « j’ai fait mes valises, j’ai pris l’avion pour San Francisco, j’ai atterri, je suis arrivé à l’hôtel et j’ai passé toute la journée, toute la nuit à travailler et à écrire », a déclaré DiMaggio. « J’écrivais tout ce que j’avais sur Dmitry. Et j’allais attendre que ce compte à rebours s’arrête. Et quand ils l’ont publié, si nous avions le même gars, j’allais publier mon rapport.

Lorsque le compte à rebours de 24 heures a atteint zéro, comme promis, le ministère américain de la Justice l’accusé Dmitri Khorochev d’être le cerveau et l’administrateur de LockBit. À ce moment-là, DiMaggio pourrait passer en direct avec son propre rapport doxing Khoroshev.

« C’était la première fois que je doxais quelqu’un. Et bien, ils ont sorti son nom, j’ai sorti tout le reste sur ce mec. J’avais l’endroit où il vivait, j’avais ses numéros de téléphone, actuels et précédents », a déclaré DiMaggio. « Et c’était difficile de ne pas simplement appeler ce gars au téléphone, ayant son numéro de téléphone légitime avant l’inculpation, juste pour voir si j’avais le bon gars, mais je ne l’ai pas fait. »

DiMaggio a même publié un message pour Khorosehv, comme une façon de lui dire au revoir et de lui dire qu’il devait le doxer avant que les autres ne le fassent.

« LockBitSupp, vous êtes un gars intelligent. Vous avez dit que ce n’est plus une question d’argent, et que vous voulez avoir un million de victimes avant d’arrêter, mais parfois vous devez savoir quand vous éloigner. C’est ce moment-là, mon vieil ami », a déclaré DiMaggio écrivirent.

« Tu as toujours été sincère avec moi, et je veux être vrai avec toi. Prenez votre argent et profitez de votre vie avant de vous retrouver dans une situation où vous ne pouvez pas. Tout comme REvil, vous avez poussé les choses trop loin. Il est temps de passer à autre chose. Je ne te déteste pas ; Je déteste ce que vous faites, et je n’ai pas aimé vous mettre en colère aujourd’hui parce que nous nous connaissons depuis longtemps. La vérité, c’est que si je ne l’avais pas fait aujourd’hui, quelqu’un d’autre l’aurait fait. J’ai trop de respect pour toi en tant qu’adversaire pour te voir te faire démanteler par un clown avec un manuel OSINT, ce qui est tout ce qu’il faudrait maintenant que ton identité est connue. Avec notre histoire, il fallait que cela vienne de moi. Il est temps de passer à autre chose », a-t-il écrit.

Depuis lors, DiMaggio a dit qu’il n’a pas eu de nouvelles de Khoroshev.

En parlant ouvertement de son opération, DiMaggio a déclaré qu’il espérait montrer comment les chercheurs peuvent trouver des informations sur les cybercriminels en infiltrant leurs groupes, et pas seulement en collectant des données provenant de piratages ou en se cachant sur des forums. Mais DiMaggio a également déclaré qu’il voulait que les chercheurs sachent que faire ce qu’il a fait pourrait avoir des conséquences, même si, pour l’instant, il n’a que des rumeurs selon lesquelles Khoroshev aimerait se venger, bien que rien ne se soit passé.

« Personne ne s’en sort indemne », a déclaré DiMaggio, « quand vous vous moquez de criminels comme ça. »

5/5 - (196 votes)
Publicité
Article précédentTom Glynn-Carney de HOUSE OF THE DRAGON explique pourquoi Aegon n'a pas de moustache
Article suivantCe poisson rouge vient de battre Elden Ring : Shadow Of The Erdtree

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici