在華盛頓有187臺(tái)電腦用于管理閉路監(jiān)控網(wǎng)絡(luò)�����,其中有123臺(tái)被五名來自羅馬尼亞的匿名黑客控制了�,本月這5名黑客中的兩人將面臨美國的計(jì)算機(jī)罪名指控���。
在華盛頓有187臺(tái)電腦用于管理閉路監(jiān)控網(wǎng)絡(luò)�,其中有123臺(tái)被五名來自羅馬尼亞的匿名黑客控制了�,本月這5名黑客中的兩人將面臨美國的計(jì)算機(jī)罪名指控。
根據(jù)主導(dǎo)抓捕的歐洲刑警組織的消息��,這兩名被捕的嫌疑人使用Cerber勒索病毒攻擊了美國計(jì)算機(jī)網(wǎng)絡(luò)�����。此外���,美國特勤局也參與了這起惡意軟件感染事件的調(diào)查�����。
根據(jù)美國有線電視新聞網(wǎng)獲得的證詞(該證詞曾被泄露�,之后被重新封存)���,特勤處特工James
Graham聲稱此前的美國司法部計(jì)算機(jī)欺詐案件由兩個(gè)羅馬尼亞人Mihai Alexandru Isvanca和Eveline Cismaru發(fā)起��。
在一封面向媒體的電子郵件中����,司法部發(fā)言人證實(shí)了逮捕和法庭控訴已經(jīng)同步進(jìn)行?��!拔覀冋?dú)立進(jìn)行相關(guān)調(diào)查����,這二人已被歐洲刑警組織逮捕�,所有法庭文件不會(huì)公開?���!?/p>
其他消息顯示�����,因?yàn)橐伤剖褂肅erber勒索病毒攻擊美國閉路監(jiān)控?cái)z像系統(tǒng)���,Isvanca和Cismaru在羅馬尼亞被警察逮捕�。
交通攝像頭
Graham描述了疑犯如何在2017年的1月9日����、1月12日控制了華盛頓警察局用于管理交通攝像頭的電腦��,這是一個(gè)勒索計(jì)劃的一部分���。
在1月12日,在發(fā)現(xiàn)部分?jǐn)z像頭處于離線狀態(tài)后���,華盛頓特區(qū)的警方IT人員和一名特勤局特工使用遠(yuǎn)程桌面協(xié)議(RDP)軟件連接到了控制攝像機(jī)的服務(wù)器之一����。
他們觀察到�,該設(shè)備運(yùn)行了多個(gè)意想不到的窗口,包括:歐洲航運(yùn)公司Hermes的號(hào)碼追蹤;瀏覽器窗口����,頁面是用Sendgrid帳戶登陸的多個(gè)活躍郵箱;瀏覽器窗口,內(nèi)容是“電子郵件在線驗(yàn)證器”的谷歌搜索結(jié)果;URL為http://emailx.discoveryvip.com/的瀏覽器窗口;一個(gè)寫滿編程代碼和文本的記事本程序;一個(gè)顯示Cerber勒索攻擊的閃動(dòng)窗口��。
服務(wù)器的IT管理員隨后封鎖了被入侵設(shè)備的網(wǎng)絡(luò)訪問���,并將該設(shè)備連同其他兩臺(tái)電腦一起從監(jiān)控系統(tǒng)中移除���。
調(diào)查人員確信�����,兩個(gè)勒索軟件變種Cerber和Dharma被安裝在了該電腦上��。他們還發(fā)現(xiàn)了一個(gè)文本文件“USA.txt”��,記錄了179616個(gè)電子郵件地址��,用于向勒索攻擊的受害者發(fā)送垃圾郵件���。隨后在疑犯所用的某個(gè)郵件帳戶中,調(diào)查人員發(fā)現(xiàn)了一個(gè)使用相同校驗(yàn)方式的文本文件����。
案中涉及的電子郵件地址,分析師認(rèn)為vand.suflete@gmail.com是疑犯偏好的地址。Graham指出�����,羅馬尼亞語中的“vand
suflete”意為“販賣靈魂”����。
遠(yuǎn)程控制
Graham解釋說�����,從谷歌獲取的Gmail郵箱記錄里包括一個(gè)Cerber控制面板的鏈接。Isvanca和Cismaru租用Cerber來感染受害者��、更改文件��、綁票數(shù)據(jù)����。
他解釋說在法庭文件中?�!案鶕?jù)我的訓(xùn)練和經(jīng)驗(yàn)�,Cerber商業(yè)模式是:Cerber惡意軟件的發(fā)明/所有者將Cerber資源出售給客戶。Cerber控制面板是一個(gè)網(wǎng)站���,允許Cerber客戶在不訪問源代碼的情況下使用Cerber框架��,從而讓發(fā)明/所有者在保留知識(shí)產(chǎn)權(quán)的情況下售賣惡意軟件來獲得額外收入�?!?/p>
歐洲刑警組織稱這種模式為“犯罪即服務(wù)(CaaS)”。
電子郵件帳戶之間的聯(lián)系最終暴露了Isvanca和Cismaru����。
調(diào)查人員聯(lián)系了vand.suflete@gmail.com中提到的電子郵件帳戶所有者��,以確認(rèn)他們的系統(tǒng)是否已被破壞����。一位不愿透露身份的公司確認(rèn)自身已經(jīng)遭到黑客入侵�,并返回了系統(tǒng)中Cerber啟動(dòng)頁面的截圖。
通過被入侵的域控制器電腦上的Hermes貨運(yùn)號(hào)碼����,調(diào)查人員追蹤到一個(gè)倫敦的地址,但是英國國家犯罪調(diào)查機(jī)構(gòu)沒有發(fā)現(xiàn)可以表明收件人參與勒索方案的證據(jù)�����。
英國醫(yī)療行業(yè)被黑
域控制器計(jì)算機(jī)上用于創(chuàng)建訂單的IP地址��,可以追溯到一家英國的醫(yī)療公司���。該IP地址也被發(fā)現(xiàn)存在于vand.suflete@gmail.com的電子郵件帳戶清單里����。
該公司匿名地向調(diào)查人員承認(rèn)�,該公司的eXpressApp框架(XAF)系統(tǒng)上的一個(gè)用戶帳戶被盜了����。通過對(duì)該IP地址進(jìn)行快速查找����,可以發(fā)現(xiàn)它與醫(yī)療保健公司W(wǎng)ellWork
Ltd的紐卡斯?fàn)栟k公室有關(guān)�,該公司的名字也在法庭文件中作為一個(gè)RDP連接字出現(xiàn)。
通過將林林總總的電子郵件帳戶和IP地址與欺詐數(shù)據(jù)庫進(jìn)行比對(duì)�,羅馬尼亞警方可以獲得足夠的細(xì)節(jié)來形成進(jìn)一步的電子證據(jù)。
Facebook和YouTube的記錄也幫了調(diào)查人員的大忙�。根據(jù)Graham的經(jīng)驗(yàn),人們常常對(duì)社交媒體賬戶上的信息做出輕微的改動(dòng)來掩蓋身份��。但這些改動(dòng)被證明不足以欺騙調(diào)查人員�����。
免責(zé)聲明:本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網(wǎng)共享平臺(tái)����。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的,皆為無意��。如您是字體廠商�����、圖片文字廠商等版權(quán)方,且不允許本站使用您的字體和圖片文字等素材���,請(qǐng)聯(lián)系我們��,本站核實(shí)后將立即刪除��!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用��,并索要賠償或上訴法院的��,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索�����,將不予任何的法律和經(jīng)濟(jì)賠償��!敬請(qǐng)諒解��!
粵公網(wǎng)安備 44030402000264號(hào)