« Je suis un enfant bizarre » : les aveux en prison d'un jeune pirate de cryptomonnaies
TechFlow SélectionTechFlow Sélection
« Je suis un enfant bizarre » : les aveux en prison d'un jeune pirate de cryptomonnaies
10 ans de prison, dans l'espoir que cela serve de dissuasion à ce jeune homme «plus intelligent que la plupart des gens».
Dédié à des analyses Web3 approfondiesAuteur :Margi Murphy
Traduction : TechFlow
Noah Urban jouait un rôle clé au sein du célèbre groupe criminel « Scattered Spider », consistant à convaincre des personnes d'accorder involontairement aux criminels un accès à des systèmes informatiques sensibles.
Un après-midi de septembre 2022, dans un salon Telegram rempli d'émoticônes de sacs d'or et de clowns, parsemé d'expressions comme « lmfaos » (rires hystériques) et « loooools » (mort de rire), une miniature pixélisée apparut, montrant un adolescent ensanglanté. Noah Urban, alors âgé de 18 ans et vivant à Palm Coast en Floride, cliqua sur la vidéo.
Dans la vidéo, l’adolescent suppliait Noah de transférer 200 000 dollars à ses ravisseurs qui pointaient une arme sur sa tête. « Elijah, mec, tu sais qu’on a déjà bossé ensemble », dit-il, appelant Noah par l’un de ses pseudonymes. Son visage était gonflé, sa bouche pleine de sang qui coulait sur son sweat blanc Hollister. « Tu sais que je t’ai toujours soutenu. Dis-moi juste ce que tu veux, je ferai tout ce que tu demandes. »
Noah a reconnu immédiatement le garçon. Justin avait travaillé pour lui, l’aidant à voler des cryptomonnaies. Il ne connaissait pas le nom complet de Justin, mais savait qu’il ne devait pas céder aux ravisseurs. De plus, il pensait que la vidéo pouvait être falsifiée. Il n’a donc effectué aucun transfert.
Ce genre de scène aurait pu terrifier la plupart des adolescents, mais en 2022, Noah avait déjà vu bien pire. À cette époque, il était recherché par le FBI en tant que membre d’un groupe de cybercriminels, plus tard connu sous le nom de « Scattered Spider » (note de TechFlow : également désigné UNC3944, un groupe de pirates principalement composé d’adolescents et de jeunes adultes, originaires selon toute vraisemblance des États-Unis et du Royaume-Uni, réputé pour ses techniques sophistiquées d’ingénierie sociale et ses attaques informatiques). Ce groupe est devenu l’une des organisations de cybercriminalité les plus notoires au monde, impliqué dans des dizaines d’attaques contre des entreprises américaines et britanniques. Les plus graves incluent notamment l’attaque par rançongiciel contre MGM Resorts International en 2023, ayant paralysé les systèmes informatiques du casino et coûté 100 millions de dollars à l’entreprise ; ainsi que l’attaque contre le détaillant britannique Marks & Spencer Group Plc plus tôt cette année, dont la perte estimée s’élève à environ 400 millions de dollars.
Hôtel et casino MGM de Las Vegas.
Photographe : AaronP/Getty Images
Le FBI américain et le National Crime Agency britannique ont placé « Scattered Spider » en haut de leur liste cible. L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) décrit le groupe comme une « menace grave et persistante pour les institutions américaines ». La société de cybersécurité Mandiant le classe parmi « les acteurs de menaces les plus agressifs et infiltrants affectant les institutions européennes et américaines ». L’an dernier, l’émission « 60 Minutes » a également rapporté des liens entre « Scattered Spider » et des pirates russes spécialisés dans les rançongiciels.
Noah occupait un rôle central au sein du groupe en tant que « téléphoniste » (caller). Son parcours illustre l’histoire d’un lycéen sans compétences techniques particulières, passant des jeux vidéo au vol rapide de cryptomonnaies, puis à l’infiltration par téléphone des réseaux informatiques de sociétés de télécommunications et de technologie afin de voler des données sensibles. Il a grandi dans une famille de classe moyenne en Floride centrale, passant son temps enfant à pêcher en tongs Crocs et short de surf, à faire de la tyrolienne à Gatorland ou à visiter Universal Studios à Orlando — autant d’activités ordinaires pour un garçon. Mais à mesure que ses crimes se sont intensifiés, les activités virtuelles ont commencé à envahir le monde réel. Des cas d’enlèvements, d’attaques à la bombe incendiaire et de chantage sexuel ont attiré l’attention des forces de l’ordre. Les amis qu’il s’était faits en ligne risquent désormais de longues peines de prison.
Cet article s’appuie sur des documents judiciaires, des conversations Discord et des messages Telegram, ainsi que sur des entretiens avec des dizaines d’analystes de renseignement sur les menaces, d’agents des forces de l’ordre et d’autres personnes connaissant la carrière criminelle de Noah. Parmi eux figure Noah lui-même, qui a parlé à Bloomberg Businessweek lors de dizaines d’appels téléphoniques depuis une prison en Floride, à condition que ces échanges ne soient publiés qu’avant son jugement.
« Bonjour, je m’appelle Kevin, j’appelle au nom du département interne de sécurité de T-Mobile. »
Noah n’était pas vraiment un hacker. Né en 2004, l’année du lancement de Facebook, il préférait la natation et le football américain à la programmation. Il avait quelques amis et une petite amie au lycée, mais passait le plus clair de son temps seul, peu impliqué en classe. « J’étais un gamin bizarre », se souvient Noah. « Je n’avais pas beaucoup d’amis, donc je n’ai jamais appris ces indices sociaux qu’on acquiert en interagissant avec les autres. » Trois ans après son diplôme, son professeur préféré ne se souvenait même plus de lui.
À l’âge de 8 ou 9 ans, Noah a commencé à jouer à Minecraft, et à 15 ans, via le jeu, il a rencontré des gens et entendu parler pour la première fois de la fraude par « swap de SIM ». Cette escroquerie consiste à transférer le numéro de téléphone d’une personne vers un téléphone que vous contrôlez, afin d’intercepter les codes de sécurité, de prendre le contrôle de leurs comptes en ligne et de transférer des fonds. Cela ne nécessite aucune compétence en programmation : la clé est l’ingénierie sociale — convaincre ou corrompre des employés d’opérateurs télécoms pour qu’ils « activent » le numéro pour vous.
Noah a rapidement fait preuve d’un talent remarquable pour la conversation, possédant une voix grave inhabituelle pour son âge, capable de tromper les victimes pour obtenir leurs informations personnelles. Il attribue aussi ses talents d’ingénieur social à ses parents : « La politesse et le respect, c’est ce que j’ai appris de plus important étant petit », dit-il.
Le chef du groupe de swap de SIM qu’il avait rencontré via Minecraft lui versait 50 dollars chaque fois qu’un vol de cryptomonnaie réussissait grâce à son appel téléphonique. La première semaine, il a gagné 3 000 dollars.
Photo d’enfance de Noah Urban.
Source : Rob Urban
Noah n’avait pas besoin d’argent. Ses parents s’étaient séparés alors qu’il était encore jeune, mais vivaient tous deux confortablement. Sa mère possédait une maison dans une communauté fermée au nord d’Orlando, travaillant dans les ressources humaines ; son père, ancien de la marine, dirigeait une entreprise de marketing en ligne et possédait une résidence voisine avec piscine et jacuzzi.
Pourtant, l’adrénaline procurée par le swap de SIM, ainsi que l’amitié difficile à trouver dans la vie réelle, le fascinaient. « Si tu fais la queue à Walmart avec dix personnes, tu n’en trouveras peut-être pas beaucoup avec qui tu t’entendras, dit-il. Mais si tu peux choisir tes amis en ligne — où tout le monde partage les mêmes centres d’intérêt — c’est tellement plus facile de s’entendre. »
Noah a rejoint un groupe d’environ 15 joueurs, dont Daniel Junk, un adolescent de 17 ans originaire de Portland, Oregon, et Tyler Buchanan, un autre de 17 ans d’Écosse. Noah affirme qu’ils ont acheté une base de données volée à la société de portefeuilles cryptographiques Ledger SAS, contenant une liste de détenteurs de cryptomonnaies et leurs adresses e-mail. Ensuite, ils ont cherché à accéder à ces comptes e-mail, ciblant ceux utilisant Outlook, AOL ou Yahoo !, car, selon ses amis, ces comptes étaient les plus faciles à pirater.
Ces nouveaux amis faisaient partie du réseau clandestin appelé « Com » (communauté), largement réparti sur Discord et Telegram, regroupant de nombreux jeunes adeptes de pseudonymes prestigieux, de butins de jeux vidéo et de cryptomonnaies récupérables par prise de contrôle de comptes. Le FBI enquête sur « Com » depuis 2018, et selon les agents, le groupe avait déjà volé 50 millions de dollars à cette époque.
Avec l’essor du vol de cryptomonnaies par swap de SIM, la demande a augmenté. Certains spéculaient sur quel opérateur télécom, comme T-Mobile US Inc. ou AT&T Inc., avait des employés de centre d’appel sous-traités particulièrement faciles à berner. D’autres engageaient des enfants pour entrer dans des boutiques de téléphones et voler les iPad des conseillers clients. Par amusement, les voleurs filmaient souvent ces actions et les publiaient en ligne.
Photographe : Jakub Porzycki/Getty Images
Noah explique que Junk avait trouvé un moyen d’enregistrer son ordinateur personnel sur le réseau d’entreprise de T-Mobile, puis d’utiliser un logiciel d’accès à distance pour accéder aux outils d’activation de cartes SIM, parfois pendant plusieurs mois. Quand T-Mobile détectait une connexion suspecte, elle réinitialisait le compte, bloquant Junk. Il a alors commencé à payer Noah pour passer des appels téléphoniques destinés à tromper les employés afin qu’ils livrent leurs identifiants. Noah prétendait être un employé du service informatique et réussissait ainsi à obtenir les mots de passe.
D’autres participants au swap de SIM écoutaient les appels de Noah sur Discord, tout en jouant à Counter-Strike ou Call of Duty, lisant le script que Junk lui avait écrit. « Bonjour, je m’appelle Kevin », commençait le script, « j’appelle au nom du département interne de sécurité de T-Mobile. » Quand un représentant de vente naïf permettait à Noah d’accéder au système, Junk et ses amis retenaient leur souffle, attentifs à chaque mot. Quand Noah faisait une erreur, ils éclataient de rire. (Un porte-parole de T-Mobile a indiqué que l’entreprise avait amélioré ses mesures de sécurité pour « réduire les swaps de SIM illégaux ».)
Au fur et à mesure que Noah dupait davantage de personnes, il découvrait que ses cibles n’étaient pas seulement prévisibles, mais foncièrement bonnes. Bien qu’il fût difficile de convaincre les employés qu’ils avaient soumis une demande IT, il pouvait les persuader que la demande avait été accidentellement liée à leur compte — pouvaient-ils l’aider à la clore afin qu’il termine son travail ? Ils coopéraient presque toujours. Quand Noah réussissait à pénétrer un nouveau compte par la parole, la reconnaissance de ses nouveaux amis surpassait la satisfaction procurée par Minecraft.
« C’est choquant de voir des enfants aussi jeunes capables d’inciter à des fusillades quelque part dans le monde, avec pratiquement aucune responsabilité. »
La mère de Noah a commencé à soupçonner ce qu’il tramait. Des pizzas commandées par des inconnus arrivaient mystérieusement chez elle. Elle entendait des discussions sur le swap de SIM. Quand elle a tenté d’imposer des règles plus strictes, Noah, alors âgé de 16 ans, est allé vivre chez son père.
Robert Urban vivait dans une maison de cinq chambres à Deland, en Floride. Son garage était rempli d’outils, son salon jonché des jouets des deux enfants de son compagnon. Un petit chien maltais blanc aboyait à ses pieds. Il dit avoir remarqué un changement quand Noah a commencé à l’appeler « buster » (loser). Noah avait alors environ 15 ans. « Tu ne conduis pas de Ferrari, tu paies un crédit immobilier, tu travailles dur et tu galères quand même », se souvient Robert qu’il lui disait. À partir de là, Robert a observé un « changement radical » dans le comportement de son fils.
Quand des vêtements de luxe arrivaient à la maison, ou lors d’occasions sociales rares où Noah portait une montre Rolex incrustée de diamants valant 35 000 dollars ou des baskets Louis Vuitton, il disait à son père qu’il vendait des objets dans Minecraft et investissait les gains en cryptomonnaies. Robert, amateur de Bitcoin lui-même, vantait même le succès de son fils auprès de ses amis.
Robert a tenté de convaincre Noah de convertir une partie de ses actifs cryptographiques en placements plus traditionnels. « Non, papa », répondait Noah, « j’ai mes propres projets. » Au lieu de cela, il a dépensé 80 000 dollars pour acheter un compte Minecraft nommé Elijah, 30 000 dollars pour le pseudo @e sur Twitter, et une somme « absurde » supplémentaire pour @autistic.
Robert Urban chez lui à Deland, Floride.
Photographe : Michelle Bruzzese/Bloomberg Businessweek
Noah a vite commencé à employer ses propres téléphonistes, dont Justin, qu’il connaissait. Il payait entre 60 et 1 000 dollars selon le niveau de sécurité du compte télécom. S’il parvenait à convaincre un employé d’installer un outil d’accès à distance, la récompense pouvait atteindre 4 000 dollars. Quand la pandémie a forcé la fermeture des écoles, Noah s’est réjoui du temps libre supplémentaire dont disposaient les employés.
L’accès intermittent aux opérateurs télécoms a conduit certains fraudeurs à se voler entre eux. Certains ont commencé à « doxer » (publier les noms et coordonnées réels) d’autres hackers pour les faire chanter. Bloomberg Businessweek a consulté des dizaines de vidéos Discord et Telegram montrant des jeunes lançant des briques sur des maisons en criant les noms de leurs factions de swap de SIM — un acte appelé « bricking ». Ils pirataient et diffusaient aussi les photos nues et données personnelles des petites amies de leurs rivaux, encourageant autrui à les harceler. Des salons Telegram spécifiques existaient même pour humilier les petites amies des membres de « Com ».
Le détective David Hale du service de police de Westampton-East Goshen, en Pennsylvanie, affirme avoir découvert « Com » en janvier 2022, appelé dans une résidence cossue où huit coups de feu avaient été tirés dans le salon, avec trois personnes présentes. Deux semaines plus tôt, une attaque à la bombe incendiaire avait été signalée dans une autre maison du quartier. Les deux attaques visaient des jeunes femmes liées à « Com ». « C’est choquant de voir des enfants aussi jeunes capables d’inciter à des fusillades quelque part dans le monde, avec pratiquement aucune responsabilité », dit Hale.
Noah affirme ne pas avoir participé à ces conflits internes, mais savait que les ennuis pouvaient surgir. En 2021, des hackers ont lancé des briques sur la maison de sa mère, pensant qu’il y vivait encore. Elle a reçu des messages anonymes menaçant de poursuivre les attaques si son fils ne transférait pas des dizaines de milliers de dollars en cryptomonnaies. Noah a refusé, et finalement les attaques ont cessé.
Allison Nixon s’inquiétait de plus en plus. En tant que directrice de la recherche chez Unit221B, une société de cybersécurité, elle était frustrée par l’impunité des hackers face à la police et inquiète de l’agressivité de leurs attaques.
Dans le domaine de la cybersécurité, les adultes ont généralement une attitude indulgente envers les jeunes hackers, essayant de les orienter vers des carrières professionnelles pour exploiter leurs talents. Mais selon Nixon, cette approche ne fonctionne plus. « La seule façon de régler ce problème, dit-elle, c’est que le gouvernement intervienne historiquement, comme face aux gangs violents. »
Ses recommandations n’ont pas trouvé d’écho chez les responsables gouvernementaux. Elle les décrit comme « complètement dépassés », agissant comme s’ils avaient des choses plus importantes à faire que de traquer des enfants en ligne. Elle et d’autres enquêteurs en cybersécurité ont averti les forces de l’ordre que les membres de « Com » pourraient devenir une menace plus grande.
En 2022, Noah approchait de la fin du lycée. De plus en plus isolé, il manquait les rassemblements et les bals, et n’a pas remis une compilation YouTube montrant ses camarades avec des masques. Selon les documents judiciaires, Noah était déjà millionnaire, mais il souhaitait surtout élever son entreprise criminelle à un nouveau niveau.
« Je voulais juste la liberté financière, passer mes journées à jouer avec mes amis, écouter de la musique. »
En cherchant de nouvelles listes de détenteurs de cryptomonnaies, Noah a eu l’idée de cibler Twilio Inc., une entreprise de technologie des communications. Puisque son logiciel est utilisé par 50 000 entreprises pour gérer les SMS et appels clients, Noah pensait qu’elle détenait d’importantes données précieuses. En août 2022, quelques semaines avant son 18e anniversaire, lui et ses amis ont acheté un domaine falsifié ressemblant à la page de connexion d’Okta Inc., puis ont envoyé des SMS avec lien à des employés de Twilio.
« Attention !!! Votre agenda Twilio a été modifié. Cliquez sur twilio-okta.com pour voir les modifications ! »
Noah a réussi à piéger un employé de Twilio. Mais quand celui-ci n’avait pas les données convoitées, Noah s’est connecté à son compte Slack et a envoyé un message à un employé supérieur qu’il avait trouvé sur LinkedIn. « Je leur ai dit en gros qu’on avait besoin de ces données pour un audit ou quelque chose comme ça », dit Noah, « puis ils ont exporté la base de données et me l’ont envoyée. »
Grâce au code d’accès aux clients entreprises de Twilio, Noah et ses complices ont pu infiltrer davantage de sociétés. Au total, ils ont obtenu les données clients de 209 entreprises utilisant Twilio, y compris les codes de vérification par SMS. « On se sentait comme des dieux », dit Noah.
Quelques jours plus tard, une société de cybersécurité, Group-IB, a annoncé le vol de données dans un blog et a nommé les hackers 0ktapus. Paniqué, Noah a abandonné son ordinateur et son téléphone valant 3 000 dollars, et en a pris de nouveaux. Peu après, un membre d’0ktapus a partagé les données avec un autre fraudeur de SIM, qui les a largement diffusées. À mesure que de plus en plus de membres de « Com » choisissaient des noms dans la base, celle-ci a perdu toute valeur sur le marché noir.
Photo : Jaque Silva/Getty Images
Les membres de l’équipe de Noah sont restés discrets un temps, mais face à l’absence de descente policière, ils sont devenus plus audacieux. Selon Group-IB, 0ktapus a continué en 2022 à voler des identifiants de milliers d’employés. Une fois un compte d’entreprise compromis, ils identifiaient les employés disposant de privilèges supérieurs pour les cibler. En décembre de la même année, le groupe a volé les données personnelles de 5,7 millions de clients de Gemini Trust Co., une bourse de cryptomonnaies appartenant aux frères Winklevoss, puis a mis ces données en vente sur des forums criminels.
Après son 18e anniversaire, Noah a quitté la maison de son père pour emménager dans un Airbnb à long terme dans un quartier calme de Palm Coast, en Floride. Il a aménagé son logement avec un lit, une table, un canapé, une télévision, et adopté un chat noir et blanc nommé Diana, au pelage rappelant un biscuit Oreo. « Je voulais juste la liberté financière, passer mes journées à jouer avec mes amis, écouter de la musique », dit-il.
Une fois par semaine, il conduisait sa Dodge Challenger vers un centre commercial, alternant entre Olive Garden et un restaurant de grill japonais, laissant des pourboires en espèces de 100 à 200 dollars. Il aimait aussi rouler vite sur les autoroutes la nuit, en écoutant Lil Uzi Vert, Playboi Carti et Ken Carson.
Noah était très actif sur un forum nommé Leakth.is, où les gens postaient des « leaks » (titres inédits) de leurs artistes préférés. Il a décidé de cibler des employés de Universal Music Group NV et Warner Music Group Corp. pour accéder aux comptes Dropbox ou iCloud d’ingénieurs du son et de producteurs, suspectant qu’ils contenaient des musiques inédites.
En 2022, Noah a utilisé un compte Twitter nommé King Bob pour publier un extrait d’un morceau inédit de Playboi Carti, « Money N Drugs ». Ce pseudonyme rend hommage aux Minions de « Mince alors ! » Son nombre d’abonnés a explosé à 11 000 en une nuit. Sur internet, diverses théories circulaient sur l’identité de King Bob, les fans spéculant qu’il pouvait être un promoteur de studio ou un assistant producteur en fuite. (Les maisons de disques ont refusé de commenter, et le manager de Playboi Carti n’a pas répondu à la demande de commentaire.)
Noah affirme qu’il n’était pas le seul à utiliser le pseudonyme King Bob pour voler de la musique, et pense que publier des leaks était une forme de promotion, pas un vol. Pourtant, ceux qu’il a attaqués voient les choses différemment. Nasir Pemberton, producteur travaillant pour Kanye West, A$AP Rocky et Playboi Carti, accuse Noah d’avoir volé des centaines de ses chansons et d’avoir partagé des captures d’écran de son Dropbox sur Discord. « Il a failli ruiner ma vie », dit Pemberton.
« C’est entièrement lié au statut dans leur communauté. C’est juste une question de pouvoir impressionner. »
0ktapus n’était pas le seul groupe de « Com » à attirer l’attention. Une autre faction — plus tard surnommée « Scattered Spider » après avoir fusionné avec l’équipe de Noah — voulait aussi aller au-delà du swap de SIM. Ce groupe incluait d’anciens membres de Lapsus$, qui avaient attaqué Nvidia Corp. et Uber Technologies Inc. L’un d’eux, un hacker nommé Jack, vantait ses liens avec des fournisseurs de rançongiciels et possédait un logiciel capable de contourner les outils de sécurité avancés. (Un autre membre, Thalha Jubair, alias EarthtoStar selon l’accusation, a été arrêté au Royaume-Uni ce mois-ci. L’accusation américaine, rendue publique le 18 septembre, affirme que Jubair, âgé de 19 ans, a aidé à extorquer 115 millions de dollars à 47 entreprises américaines. Son avocat britannique a refusé de commenter.)
Noah trouvait cool de collaborer avec eux. Il a commencé à nouer des liens avec Jack, impressionné par l’intrusion dans Twilio, mais méprisant la stratégie de Noah et de ses amis consistant à voler des bases de données d’entreprises. Selon Jack, il était bien plus rapide de faire chanter les entreprises compromises.
Noah affirme qu’ensemble, ils ont infiltré par téléphone le compte d’un employé de la plateforme de cryptomonnaies Crypto.com. Ils ont aussi utilisé les systèmes de UPS pour collecter des données personnelles de victimes potentielles. (Un porte-parole de Crypto.com indique que cette attaque n’avait pas été précédemment rapportée, concernait uniquement « un très petit nombre de personnes » et que les fonds clients n’ont pas été touchés. UPS a affirmé en 2023 avoir corrigé les failles, mais a refusé de donner plus de détails pour cet article.)
Le groupe aspirait à obtenir plus de données. Noah dit qu’entre deux cours virtuels, il utilisait ChatGPT pour étudier quelles organisations pouvaient accéder aux détails personnels nécessaires au vol de cryptomonnaies, et quels types d’employés pouvaient détenir ces informations. En janvier 2023, ils ont infiltré Riot Games Inc., volant le code source de leur jeu populaire League of Legends ainsi que des outils anti-triche. Ils ont exigé 10 millions de dollars pour rendre les données — la première tentative de chantage du groupe. Riot Games a refusé de payer.
Noah affirme ne pas avoir participé à la tentative de chantage, mais avait auparavant infiltré la société grâce à ses talents de téléphoniste. Pendant le vol, il a amélioré son propre compte Riot Games, ce qui est devenu une piste cruciale pour les enquêteurs — ainsi que, selon l’accusation, un message qu’il aurait envoyé quelques jours plus tard semblant reconnaître l’attaque.
Photo d’arrestation de Noah.
Source : Bureau du shérif du comté de Volusia
Le 1er mars 2023, tôt le matin, tout a commencé à s’effondrer. Alors que Noah ramenait son chat du vétérinaire, plus de vingt agents du FBI et policiers ont encerclé sa voiture, exigeant qu’il ouvre la portière. Il a hésité, craignant que Diana ne s’échappe, ce qui a suscité des soupçons initiaux. Après explication, les policiers lui ont permis d’emmener le chat à l’intérieur.
Noah s’est assis sur le canapé pour lire le mandat de perquisition tandis que les agents fouillaient son domicile, confisquant son ordinateur et son iPhone. Il a refusé de donner ses mots de passe. Quand il a demandé à appeler son père, un agent du FBI a accepté et a levé le téléphone de Noah devant son visage pour tenter de le déverrouiller. « Bonne tentative », pensa Noah, tout en esquivant.
Les procureurs affirment que les agents ont saisi environ 4 millions de dollars en cryptomonnaies, 100 000 dollars en espèces et 100 000 dollars de bijoux, incluant une montre Rolex et cinq autres montres. Ils ont aussi pris une machine à compter les billets et la PlayStation 5 de Sony de Noah. Noah dit qu’on ne lui a laissé que 16 dollars et un passeport.
« Comme tous les pères, mon cœur est brisé, mais je l’aimerai toujours et ne l’abandonnerai jamais avant ma mort. »
Noah n’a pas été arrêté ce jour-là, mais les agents du FBI l’ont accusé d’avoir infiltré Riot Games et d’être impliqué dans plusieurs vols de cryptomonnaies. « Ils m’ont fait asseoir et ont dit : “On sait que tu es un ingénieur social”, se souvient Noah. “On sait que tu fais partie de Scattered Spider.” »
Il s’est avéré que le FBI suivait Noah depuis 2021, après qu’il a été repéré comme participant mineur à un cas de swap de SIM à Portland, en Oregon. Malgré son manque de compétences techniques, il restait « l’un des meilleurs swappers de notre connaissance à l’époque », dit Douglas Olson, agent spécial responsable du bureau de Portland et impliqué dans l’enquête. « Il était très, très doué pour tromper les employés afin d’obtenir des numéros de téléphone et des informations personnelles pour commettre des crimes. »
Noah est retourné vivre chez son père, qui dit avoir été choqué en apprenant l’ampleur des crimes de son fils. Le même mois, ils se sont envolés vers l’Oregon avec leurs avocats, où les agents du FBI suivaient Junk, un associé de Noah. Selon les documents judiciaires, Noah a admis devant le parquet avoir volé jusqu’à 15 millions de dollars entre fin 2020 et début 2023. Il a affirmé qu’il ne toucherait plus jamais aux cryptomonnaies ni au piratage.
Malgré les propos de Noah lors des entretiens, l’agent du FBI Olson pense qu’il « n’a absolument pas montré de remords ». Selon Olson, toute la vie sociale de Noah tournait autour de la cybercriminalité, ce qui l’a rendu insensible aux victimes. En réalité, Noah a dit aux agents que la majorité de ses gains était presque aussitôt dépensée sur des sites de paris cryptographiques et de jeux. « C’est entièrement lié au statut dans leur communauté », dit Olson. « C’est juste une question de pouvoir impressionner. »
Même après la perquisition de sa maison, Noah a continué ses activités d’ingénierie sociale et de vol de musique, selon un agent du FBI impliqué dans l’enquête et souhaitant rester anonyme. Des chercheurs en cybercriminalité indiquent que Scattered Spider a semblé se calmer un temps après la descente. En septembre de la même année, le groupe aurait infiltré Caesars Entertainment Inc. et fait chanter la société de casinos à hauteur de 15 millions de dollars. Caesars n’a pas répondu à la demande de commentaire.
Quelques jours plus tard, MGM Resorts a découvert que des hackers avaient pénétré son système et volé les mots de passe Okta des employés. MGM a désactivé ses systèmes informatiques. Dans les salles de casino de Las Vegas, les machines à sous ont cessé de payer. Des invités, dont la présidente de la FTC Lina Khan, se sont retrouvés bloqués hors de leurs chambres. L’entreprise n’a pas versé de rançon, mais estime la perte à 100 millions de dollars.
Cet événement a choqué. Les rançongiciels étaient jusque-là l’apanage de groupes russophones, mais les preuves montraient désormais qu’ils étaient utilisés par des hackers beaucoup plus proches géographiquement.
Les sociétés de cybersécurité CrowdStrike Holdings Inc. et Mandiant affirment que Scattered Spider a traqué activement leurs clients pendant des mois. Elles ont partagé avec des entreprises de cybersécurité des enregistrements des appels entre Scattered Spider et leurs employés service client, et les chercheurs ont été surpris d’y entendre des accents fam
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
@Bloomberg
