Ce dernier a ciblé des gouvernements dans de nombreux pays, notamment le Brésil, la République dominicaine, Trinidad et Tobago, l’Argentine, la Thaïlande, le Vietnam et la Nouvelle-Zélande. De nombreux messages laissés sur les sites web dégradés laissaient entendre que les attaques étaient motivées par un sentiment anti-gouvernemental et qu’elles étaient menées pour lutter contre des injustices sociales que le pirate estimait être le résultat direct de la corruption du gouvernement.

Bien que ce soient ces activités de dégradation de sites web qui ont attiré l’attention sur VandaTheGod, le vol de données de cartes bancaires et la fuite de données personnelles sensibles en font également partie.

En examinant de près ces attaques, nous avons pu cartographier les activités de VandaTheGod au fil des années, et finalement découvrir la véritable identité du pirate.

Activité sur les réseaux sociaux

La personne qui se cache derrière « VandaTheGod » a opéré sous plusieurs alias dans le passé, notamment « Vanda de Assis » et « SH1N1NG4M3 », et elle était très active sur les réseaux sociaux, principalement sur Twitter. Elle partageait souvent les résultats de ses activités de piratage avec le public :

Un lien vers ce compte Twitter était même parfois ajouté au message que VandaTheGod laissait sur les sites web compromis, confirmant que ce profil était bien géré par le pirate.

De nombreux tweets sur ce compte ont été rédigés en portugais. Le pirate a également affirmé faire partie de la « cyber armée brésilienne » ou « BCA », affichant souvent le logo de la BCA dans les captures d’écran des comptes et des sites web compromis.

Hacktivisme ou simplement piratage ?

VandaTheGod ne s’en est pas seulement pris aux sites web de gouvernements. Il a également lancé des attaques contre des personnalités publiques, des universités et même des hôpitaux. Dans un des cas, le pirate a prétendu avoir accès aux dossiers médicaux d’un million de patients en Nouvelle-Zélande, qui ont été mis en vente pour 200 dollars :

Si l’annonce publique des activités d’un pirate peuvent parfois le dissuader de s’attaquer à de nouvelles cibles, VandaTheGod semble apprécier l’attention et se vante souvent des annonces mentionnant ses exploits. Il a même publié certaines des vidéos de cette couverture médiatique sur sa chaîne YouTube.

La plupart des attaques de VandaTheGod contre les gouvernements étaient motivées par des raisons politiques, mais un examen plus attentif de certains des tweets montre que le pirate essayait également d’atteindre un objectif personnel : pirater un total de 5 000 sites web.

Selon les données de zone-H (un service qui enregistre les incidents de dégradation de sites web), cet objectif a presque été atteint, car il existe actuellement 4 820 signalements de sites web piratés liés à VandaTheGod. Bien que la plupart de ces sites ont été piratés en raison de leurs vulnérabilités, la liste comprend également de nombreux sites gouvernementaux et universitaires, que VandaTheGod semble avoir délibérément sélectionnés.

Qui se cache derrière le masque

Le rôle majeur de VandaTheGod dans plusieurs groupes de piratage, ainsi que son amour de la publicité, signifient qu’il est resté en contact avec d’autres membres de la communauté du piratage via ses nombreux comptes de réseaux sociaux, ses comptes de secours, ses adresses emails, ses sites web et bien d’autres encore. Au fil des ans, cette activité a laissé une longue piste que nous avons pu maintenant remonter.

Par exemple, les données de WHOIS sur VandaTheGod[.]com montrent que le site a été enregistré au nom d’une personne au Brésil, plus précisément à Uberlândia, à l’aide de l’adresse email fathernazi@gmail[.]com. Il se trouve que dans le passé, VandaTheGod prétendait être un membre du groupe de piratage UGNazi.

Cette adresse email a été utilisée pour enregistrer des sites web supplémentaires, tels que braziliancyberarmy[.]com

Ce n’est pas le seul cas où les détails publiés en ligne par VandaTheGod ont fourni des informations précieuses sur l’identité du pirate. Par exemple, la capture d’écran suivante montre le compte de messagerie compromis de Myrian Rios, une actrice et présentatrice de télévision brésilienne :

La capture d’écran montre également un onglet Facebook ouvert avec le nom « Vanda De Assis ». Une recherche sur ce nom nous a conduit à un profil appartenant au pirate :

Bien que ce profil ne donne aucun détail sur la véritable identité de VandaTheGod, nous avons pu constater de nombreuses similitudes avec les comptes Twitter exploités par le pirate, car le même contenu était souvent partagé sur les deux plateformes :

Le plus intéressant est que la capture d’écran ci-dessus a révélé le nom d’un utilisateur que nous n’identifierons ici que par ses initiales : M. R.

Au début, nous n’étions pas sûrs que M. R. soit les véritables initiales de VandaTheGod, mais nous avons décidé que cela valait la peine d’enquêter, car un prénom avec ces initiales apparaissait également dans plusieurs captures d’écran partagées par VandaTheGod sur Twitter, comme nom d’utilisateur de la machine utilisée pour cette activité de piratage.

Nous avons essayé de rechercher sur Facebook des personnes s’appelant M. R., mais nous nous sommes retrouvés bien entendu avec trop de possibilités.

Le déclic s’est opéré lorsque nous avons recherché M. R. en liaison avec la ville que nous avions précédemment observée dans les informations WHOIS de vandathegod[.]com : UBERLANDIA

Nous avons obtenu de nombreux profils Facebook, mais nous avons pu localiser parmi eux un compte contenant une image soutenant la cyber armée brésilienne.

Nous savions dès lors que nous étions sur la bonne voie. Il ne nous restait plus qu’à relier le compte de cet individu à l’un des comptes connus de VandaTheGod.

Nous avons pu faire plusieurs recoupements entre le profil nouvellement découvert et le compte Facebook de Vanda de Assis.

Nous avons fini par localiser des photos partagées du même environnement sous différents angles, notamment le salon de l’auteur des articles. Cela a confirmé que les comptes de M. R. et de VandaTheGod sont contrôlés par la même personne.

Notification des services de police

Check Point a fait part de ces constatations aux services de police compétents. Tous les profils sur les réseaux sociaux existent toujours, mais de nombreuses photos sur le profil personnel du pirate qui ont un rapport avec celles du pseudonyme VandaTheGod ont été supprimées par la suite. Ces profils ne montrent plus d’activité depuis fin 2019, et personne n’a publié de nouveaux billets depuis.

Conclusion

Depuis 2013, l’activité de piratage de VandaTheGod vise aussi bien des gouvernements que des entreprises et des particuliers. Il a dégradé des sites web gouvernementaux, vendu des informations sur des entreprises et mis en ligne les informations de cartes bancaires de nombreux individus.

Alors que beaucoup ont tendance à considérer les pirates qui dégradent des sites web comme étant de simples cybervandales écrivant des slogans sur des sites web, VandaTheGod a prouvé, par de nombreuses attaques réussies contre des sites web réputés, que le hacktivisme franchit souvent la frontière pour s’étendre à d’autres activités criminelles, telles que le vol d’identifiants et de cartes bancaires, et qu’il fait effectivement partie de la communauté de la cybercriminalité au sens large, ce qui en fait un danger très réel pour la sécurité en ligne. .

VandaTheGod a réussi à mener de nombreuses attaques de piratage, mais a finalement échoué du point de vue de l’OpSec, car il a laissé de nombreuses traces qui ont conduit à sa véritable identité, surtout au début de sa carrière de pirate. En fin de compte, nous avons pu relier avec certitude l’identité de VandaTheGod à un individu brésilien vivant dans la ville d’Uberlândia. Nous avons transmis nos conclusions aux autorités afin de leur permettre de prendre les mesures appropriées.