Brickings, Firebombings & Shootings for Hire – Krebs on Security


Un homme de 21 ans du New Jersey a été arrêté et accusé de harcèlement dans le cadre d’une enquête fédérale sur des groupes de cybercriminels qui règlent des comptes en engageant des personnes pour mener des attaques physiques contre leurs rivaux. Les procureurs affirment que l’accusé a récemment participé à plusieurs de ces stratagèmes, notamment en tirant avec une arme de poing sur une maison de Pennsylvanie et en incendiant une résidence dans une autre partie de l’État avec un cocktail Molotov.

Patrick McGovern-Allen d’Egg Harbor Township, NJ a été arrêté le 12 août sur un mandat du Bureau fédéral d’enquête des États-Unis. Une plainte du FBI allègue que McGovern-Allen faisait partie d’un groupe de co-conspirateurs qui sont à l’avant-garde d’une dangereuse escalade des tactiques de coercition et d’intimidation de plus en plus utilisées par des groupes cybercriminels concurrents.

Les procureurs disent que vers 2 heures du matin le 2 janvier 2022, McGovern-Allen et un co-conspirateur non identifié ont tiré plusieurs coups de feu dans une résidence de West Chester, en Pennsylvanie. Heureusement, aucun des résidents à l’intérieur de la maison à l’époque n’a été blessé. Mais les procureurs affirment que les assaillants ont en fait enregistré une vidéo de l’attaque comme « preuve » que la fusillade avait eu lieu.

UN copie de cette vidéo a été obtenu par KrebsOnSecurity. Selon les enquêteurs, McGovern-Allen était l’un des tireurs, qui a crié « Justin Active était là » alors qu’ils tiraient au hasard au moins huit coups dans l’étage inférieur de la résidence West Chester.

Le 18 décembre 2021, la police du canton d’Abington, en Pennsylvanie, a répondu aux informations faisant état d’un incendie de maison par des propriétaires qui ont déclaré que cela ressemblait à quelque chose qui avait été jeté sur leur résidence juste avant l’incendie.

Des semaines plus tard, le jour de la fusillade à West Chester, un détective du département de police de Westtown East Goshen a contacté la police d’Abington et a partagé une autre vidéo qui circulait sur plusieurs babillards électroniques en ligne qui semblaient montrer deux individus incendiant le canton d’Abington. résidence. La plainte pénale indique que les deux policiers ont convenu que le même suspect était présent dans les deux vidéos.

Une copie de cette vidéo a également été obtenu par KrebsOnSecurity, et il montre au moins deux individus brisant une fenêtre, puis allumant une bouteille de vin de raisin Mad Dog 20/20 imbibée de chiffon et la jetant sur le côté de la maison [Update: My apologies for the file download link, but YouTube just deleted both of the videos included in this story — for allegedly violating their community standards].

« Le cocktail Molotov a enflammé les environs immédiats, y compris le revêtement de la maison, l’herbe et la chaise en bois », déclare la plainte du gouvernement contre McGovern-Allen. « Les deux suspects se sont alors enfuis à pied vers la rue et se sont mis à crier quelque chose lorsque la vidéo s’est arrêtée. »

Le gouvernement ne mentionne les victimes que par leurs initiales – « KM » dans la fusillade et « AR » dans l’attentat à la bombe incendiaire – mais a déclaré que les deux avaient été la cible de harcèlement antérieur par des groupes cybercriminels rivaux qui comprenaient attaques par écrasementdans lequel les auteurs usurpent un appel de détresse à la police au sujet d’une prise d’otage, d’un suicide ou d’une alerte à la bombe dans le but d’envoyer une réponse policière lourdement armée à une adresse ciblée.

Un certain nombre d’incidents d’écrasement antérieurs sont devenus mortels. Mais ces attaques plus « pratiques » et à la première personne sont de plus en plus courantes au sein de certaines communautés cybercriminelles, en particulier celles qui Échange de carte SIMun crime dans lequel les voleurs d’identité détournent le numéro de téléphone portable d’une cible et l’utilisent pour prendre le contrôle des différents comptes et identités en ligne de la victime.

La plainte mentionne un identifiant et un identifiant d’utilisateur qui auraient été utilisés par le personnage en ligne de McGovern-Allen « Tongue » sur le service de chat Discord (utilisateur : « Tongue # 0001 »).

« Dans les discussions, [Tongue] dit aux autres utilisateurs de Discord qu’il était la personne qui a tiré sur la maison de KM et qu’il était prêt à commettre des attentats à la bombe incendiaire en utilisant des cocktails Molotov », allègue la plainte. « Par exemple, dans un chat Discord de mars 2022, [the defendant] indique ‘si vous avez besoin de quelque chose pour $ lmk [“let me know”]/J’ai fait un tournage/Molotov/mais je peux aussi faire des choses pour ton divertissement.

KrebsOnsecurity a examiné des centaines d’enregistrements de chat liés à cet alias Tongue, et il semble que les deux attaques aient été motivées par le désir de se venger d’un cybercriminel rival en attaquant les amies de ce rival.

Rappelez-vous que les tireurs de l’incident de West Chester, en Pennsylvanie, ont crié « Justin Active était là ». Justin Active est le surnom d’un individu qui est tout aussi actif dans les mêmes canaux cybercriminels, mais qui a nié avec véhémence avoir eu connaissance ou participé à la fusillade. Justin Active a déclaré sur Telegram que la personne ciblée dans la fusillade était son ex-petite amie et que l’attentat incendiaire visait un autre de ses amis.

Justin Active a affirmé pendant des mois que McGovern-Allen était responsable des deux attaques, affirmant qu’elles étaient conçues comme une tactique d’intimidation contre lui. « FAITES LA DANSE DU PATRICK MCGOVERN ALLEN RAID ! », a crié le pseudonyme de Justin Active « Nutcase68 » sur Telegram le 12 août, le jour même où McGovern-Allen a été arrêté par les autorités.

La version des événements de Justin Active semble être étayée par une référence dans la plainte pénale à une conversation du 2 avril 2022 dans laquelle Tongue a expliqué la raison de la fusillade.

“La vidéo/est [K]La maison de / se faire chier / tirer / justin actif / était son petit ami actuel / la raison pour laquelle c’est arrivé », a expliqué Tongue. « C’est pourquoi Justin actif était là. »

Les canaux de discussion Telegram que Justin Active et Tongue fréquentaient tous les deux comptent des centaines, voire des milliers de membres chacun, et certaines des sollicitations les plus intéressantes sur ces communautés sont des offres d’emploi pour des affectations en personne et des tâches qui peuvent être trouvées si l’on recherche des messages intitulés, «Si vous habitez à proximité» ou «emploi IRL» – abréviation de «travail dans la vraie vie».

Un certain nombre de ces petites annonces servent à effectuer des «brickings», où quelqu’un est embauché pour visiter une adresse spécifique et lancer une brique à travers la fenêtre de la cible.

« Si vous habitez près d’Edmonton, Canada, dm, j’ai besoin de quelqu’un », lit-on dans le message Telegram du 31 mai 2022.

« Si vous habitez à proximité [address redacted] Lakewood, Californie, dm [redacted] Payer 3k pour couper les pneus », lit une autre annonce de recherche d’aide sur la même chaîne le 24 février 2022.« Si vous habitez près d’ici et que vous pouvez les briquer, dm [address omitted] Richland, WA », lit un autre du même jour.

McGovern-Allen était dans les nouvelles il n’y a pas si longtemps. Selon une histoire de septembre 2020 de La presse d’Atlantic CityPatrick McGovern Allen, alors âgé de 19 ans, a été blessé après avoir pénétré dans un immeuble et forcé des résidents à quitter leur domicile.

« La police a trouvé une Lexus 2007, conduite par Patrick McGovern-Allen, 19 ans, qui avait perdu le contrôle et quitté la route, s’écraser à l’extrémité est du bâtiment 1600 », raconte l’histoire. « La voiture a traversé les marches qui donnent accès aux appartements du deuxième étage, les détruisant, et a également endommagé le mur extérieur. »

Une recherche sur le site Web Inmate Locator du US Bureau of Prisons montre que McGovern-Allen est toujours détenu par le gouvernement fédéral dans un centre de détention de Philadelphie. Il est actuellement représenté par un défenseur public qui n’a pas répondu aux demandes de commentaires.

Une copie de la plainte pénale contre McGovern-Allen est disponible ici (PDF).

UNE ANALYSE

De nombreuses personnes impliquées dans le paiement d’autres personnes pour commettre ces attaques physiques participent également fréquemment à plusieurs canaux Telegram axés uniquement sur l’activité d’échange de cartes SIM. En conséquence, la grande majorité des personnes ciblées pour les briquages ​​et autres agressions physiques réelles ont tendance à être d’autres cybercriminels impliqués dans des crimes d’échange de carte SIM (ou des individus à la périphérie de cette scène).

Il y a des dizaines d’échangeurs de cartes SIM qui sont maintenant des adolescents ou des millionnaires dans la vingtaine, pour avoir volé d’énormes sommes de crypto-monnaies à des victimes d’échange de carte SIM. Et maintenant, bon nombre de ces mêmes personnes découvrent que des communautés comme Telegram peuvent être exploitées pour engager le harcèlement physique et l’intimidation de leurs rivaux et concurrents.

Le principal obstacle à l’embauche de quelqu’un pour maçonner une maison ou crever des pneus semble être les coûts impliqués : un certain nombre de sollicitations pour ces services annonçaient un paiement de 3 000 $ ou plus sur preuve de réussite, ce qui implique généralement l’enregistrement de l’attaque et la location d’une escapade. chauffeur dans la ville où le crime doit avoir lieu (appeler un taxi ou héler un Uber sur les lieux d’un briquage n’est pas la meilleure idée).

Je crains que ces offres de violence en tant que service ne migrent à un moment donné en dehors des communautés d’échange de cartes SIM. C’est précisément ce qui s’est passé avec le swatting, qui pendant des années a été un crime perpétré presque exclusivement contre les joueurs en ligne et les personnes diffusant leurs jeux en ligne. Ces jours-ci, les attaques par swatting sont couramment utilisées par les groupes d’échange de cartes SIM comme moyen pour harceler et extorquer les utilisateurs réguliers d’Internet afin qu’ils renoncent aux noms de comptes de réseaux sociaux prisés qui peuvent être revendus pour des milliers de dollars.