La semaine dernière, KrebsOnSecurity a annoncé que l’un des plus grands services de cybercriminalité pour le blanchiment de marchandises volées avait été piraté récemment, révélant ainsi ses opérations internes, ses finances et sa structure organisationnelle. Dans la deuxième partie d’aujourd’hui, nous examinerons des indices sur l’identité réelle de «Intrépide», le surnom choisi par le propriétaire du SWAT USA Gouttes service.
Basée en Russie, SWAT USA recrute des personnes aux États-Unis pour réexpédier des colis contenant des appareils électroniques coûteux achetés avec des cartes de crédit volées. Comme détaillé dans cette histoire du 2 novembreSWAT emploie actuellement plus de 1 200 résidents américains, qui seront tous licenciés sans salaire promis à la fin de leur premier mois de réexpédition de biens volés.
L’actuel copropriétaire de SWAT, un cybercriminel qui utilise le surnom de « Fearlless », opère principalement sur le forum sur la cybercriminalité. Vérifié. Ce forum en langue russe compte des dizaines de milliers de membres et a subi plusieurs piratages qui ont exposé plus d’une décennie de données d’utilisateurs et de messages directs.
Les publications de janvier 2021 sur Vérifié montrent que Fearlless et son partenaire Universel a acheté l’activité de réexpédition SWAT auprès d’un membre vérifié nommé SWAT, qui exploitait le service depuis des années. SWAT a accepté de transférer l’entreprise en échange de 30 pour cent du bénéfice net sur les six mois suivants.
Cabinet de cyber-renseignement Intel 471 dit Fearlless s’est inscrit pour la première fois sur Verified en février 2013. L’adresse e-mail utilisée par Fearlless sur Verified ne mène nulle part, mais un examen des messages directs de Fearlless sur Verified indique que cet utilisateur s’est initialement inscrit sur Verified un an plus tôt en tant que fournisseur de réexpédition, sous l’alias «Apathie.»
Il existe deux indices permettant de conclure qu’Apathyp et Fearlless sont la même personne. Premièrement, les administrateurs de Verified ont averti Apathyp qu’il avait violé les règles du forum interdisant l’utilisation de plusieurs comptes par la même personne, et que les systèmes automatisés de Verified avaient détecté qu’Apathyp et Fearlless se connectaient à partir du même appareil. Deuxièmement, dans ses premiers messages privés sur Verified, Fearlless a demandé aux autres de le contacter sur une adresse de messagerie instantanée qu’Apathyp avait revendiquée comme étant la sienne.
Intel 471 indique qu’Apathyp est enregistré sur Vérifié en utilisant l’adresse e-mail [email protected]. Une recherche sur cette adresse e-mail au service de renseignement sur les violations Constellation Intelligence a découvert qu’un mot de passe communément associé était « joli.» Mais le compte [email protected] n’est connecté à rien d’autre d’intéressant, à l’exception d’un compte désormais supprimé sur Vkontaktela réponse russe à Facebook.
Cependant, en septembre 2020, Apathyp a envoyé un message privé sur Verified au propriétaire d’un magasin de cartes de crédit volé, affirmant que ses informations d’identification ne fonctionnaient plus. Apathyp a déclaré au propriétaire que le mot de passe qu’il avait choisi sur le service était «12Apathie.»
Une recherche sur ce mot de passe chez Constella révèle qu’il n’a été utilisé que par quatre adresses e-mail différentes, dont deux sont particulièrement intéressantes : [email protected] et [email protected]. Constella a découvert que ces deux adresses étaient auparavant associées au même mot de passe que [email protected] – « niceone », ou une variante de celui-ci.
Constella a découvert qu’il y a des années, [email protected] avait été utilisé pour créer un compte Vkontakte sous le nom Ivan Sherban (ancien mot de passe : «12niceone“) de Magnitogorsk, une ville industrielle du sud de la Russie. Cette même adresse e-mail est désormais liée à un compte Vkontakte d’Ivan Sherban qui indique que son domicile est Saint-Pétersbourg, en Russie. Photo de profil de Sherban montre un homme fortement tatoué, musclé et récemment marié individu avec sa belle nouvelle épouse se préparant à partir dans une voiture de sport décapotable.
Un indice essentiel pour valider la recherche sur Apathyp/Fearlless est venu de la société de renseignement d’identité. monNetWatchmanqui a découvert que g[email protected] avait utilisé à un moment donné les mots de passe «геззи1991» (gezze1991) et «gezze18081991.»
Voulez-vous parier sur le moment où Vkontakte annoncera l’anniversaire de M. Sherban ? Dix points si vous répondez 18 août (18081991).
M. Sherban n’a pas répondu aux multiples demandes de commentaires.
