Man
Professional
- Messages
- 2,963
- Reaction score
- 486
- Points
- 83
Когда в среду Министерство юстиции США обнародовало документы, раскрывающие аресты ключевых подозреваемых в деле Scattered Spider, это показало, насколько легко им удалось обойти попытки банды сохранить анонимность.
В среду Министерство юстиции США объявило об аресте пяти подозреваемых членов печально известной фишинговой группы Scattered Spider, но самой интересной частью дела стал документ Федерального бюро расследований США (ФБР), в котором подробно описывается, насколько легко федералам удалось отследить передвижения и действия фишеров.
В последние годы резко возросла популярность сервисов, продвигающих анонимные коммуникации и транзакции, в том числе с использованием криптовалют, бесплатных и одноразовых адресов электронной почты, а также сервисов, регистрирующих домены для сокрытия личности фактических владельцев, что вызывает беспокойство у многих в сообществе руководителей служб информационной безопасности.
Но недавно опубликованные подробности расследования ФБР показывают, что эти сервисы не столько обеспечивают анонимность или секретность, сколько делают отслеживание информации трудоемким, дорогим и обременительным. Короче говоря, они не скрывают личности. Они просто усложняют задачу по раскрытию этих личностей.
«Самая сложная часть криминалистических расследований — это многочисленные слои неизвестности, встроенные во все цифровые преступления», — сказал адвокат по кибербезопасности Марк Раш, который много лет курировал отдел высокотехнологичных преступлений Министерства юстиции. «Но и данные, и деньги в конечном итоге должны перейти из одного места в другое. Когда они это делают, они оставляют цифровой след».
Прежде чем ФБР предприняло кропотливую работу по отслеживанию глобальных перемещений злоумышленников и украденной валюты, которую Раш описал как «комбинацию цифровых инструментов и старомодной обувной кожи», им, по-видимому, повезло.
Эта удача пришла в лице шотландских правоохранительных органов, которые арестовали одного из подозреваемых по несвязанному обвинению. Но этот арест дал им доступ к различным цифровым системам, контролируемым подозреваемым, и некоторые данные, полученные из этих систем, совпали с запросами правоохранительных органов США. Затем эти системы были переданы ФБР.
Согласно информации ФБР, поданной федеральному судье Калифорнии Марго Роккони неназванным агентом ФБР, подозреваемые использовали несколько методов, чтобы заставить жертв доверять фишинговым ссылкам. Во-первых, ссылка, по-видимому, была с домена работодателя жертвы. Во-вторых, злоумышленники использовали название поставщика корпоративных систем безопасности Okta, добавив «-okta.net» в конец видимой части имени фишингового домена.
Затем злоумышленники, как сообщается, использовали доменный реестр NameCheap, который позиционирует себя как предлагающий «частную регистрацию доменов» и рекламирует, с долей иронии, учитывая клиентов, о которых идет речь, что они позволяют клиентам «оставаться защищенными от мошенничества и кражи личных данных. Ваши контактные данные будут скрыты от общедоступной базы данных Whois».
Затем подозреваемые использовали поддельное имя пользователя (имя знаменитости в сочетании с оскорбительным термином) вместе с бесплатным адресом электронной почты от Gmail. «Эти записи показали, что оба фишинговых домена были зарегистрированы 2 июня 2022 года — в ту же дату, когда компании-жертвы 1, 2 и 3 стали мишенью фишинговой схемы», — говорится в заявлении ФБР.
«Записи NameCheap для учетной записи NameCheap также показали, что эта учетная запись использовалась для регистрации других фишинговых доменов с именами, которые предполагали, что они были созданы для аналогичной атаки на другие телекоммуникационные компании, биржи криптовалют, социальные сети и технологические компании», — говорится в заявлении.
Подозреваемые также использовали учетные записи электронной почты Proton, которая позиционирует себя как поставщик «безопасной электронной почты, которая защищает вашу конфиденциальность» и заявляет на своем веб-сайте: «Сохраняйте конфиденциальность своих разговоров с помощью Proton Mail, зашифрованного почтового сервиса, базирующегося в Швейцарии».
Вот тут-то и вступают в игру устройства, конфискованные шотландскими властями, а также многочисленные попытки ФБР установить связь между данными.
«Два устройства содержали информацию, относящуюся к адресу электронной почты Proton, который использовался (одним подозреваемым) для бронирования рейса, на основе информации, предоставленной British Airways. Это бронирование рейса было связано с настоящим номером британского паспорта (подозреваемого). История интернет-браузера с одного из устройств (подозреваемого) показала, что он получил доступ (i) к странице регистрации и панели управления NameCheap для фишингового домена 2, которая использовалась для атаки на компанию-жертву 2; и (ii) к учетной записи Gmail субъекта, которая использовалась для регистрации учетной записи субъекта NameCheap, которая в свою очередь зарегистрировала фишинговый домен 1, фишинговый домен 2 и многие другие явные фишинговые домены, как обсуждалось выше», — говорится в меморандуме ФБР. «Хеш-значение фишингового набора на устройстве [подозреваемого] совпало с хеш-значением фишинговых наборов, обнаруженных на трех виртуальных частных серверах, которые использовались для размещения фишинговых веб-сайтов. Тот факт, что все эти файлы имели одинаковое значение хэш-функции, указывает на то, что они были точными копиями одного и того же фишингового набора».
ФБР использовало историю просмотров, чтобы связать подозреваемых с различными системами, задействованными в схеме. Системы могли быть скрыты, но благодаря конфискованным компьютерам связи между системами могли быть установлены. А изъятые записи из облачной хостинговой компании BitLaunch еще больше помогли в отслеживании следа.
«Записи Bitlaunch показывают, что доступ к Subject Server 2 осуществлялся с использованием IP-адреса 3 июня 2022 года — через день после фишинговых атак. В тот же день с этого же IP-адреса осуществлялся доступ к Subject NameCheap Account», — говорится в документе. «Эти доступы с того же IP-адреса в тот же день указывают на то, что то же лицо или лица, которые контролировали Subject Server 2, также контролировали Subject Namecheap Account».
Затем подозреваемые, как сообщается, использовали службу обмена сообщениями Telegram, которая также хвастается на своем веб-сайте своей конфиденциальностью. «Сообщения Telegram сильно зашифрованы и могут самоуничтожаться», — отмечается на сайте.
Из-за этих возможностей «самоуничтожения» один из подозреваемых, желая сохранить разговор с коллегами, «обсуждающими раздел выручки», сделал снимок экрана, чтобы сохранить это обсуждение денег. ФБР, по-видимому, оценило это. Конфискованная машина показала эти снимки экрана из разговора в Telegram.
Криптовалюта на основе блокчейна была еще одним важным способом, которым подозреваемые пытались сохранить секретность. Но, как обнаружили другие, движение криптовалютных транзакций на самом деле не такое уж секретное .
Но один из подозреваемых еще больше облегчил задачу ФБР, сохранив соответствующую страницу обозревателя блокчейна в качестве ярлыка в своем веб-браузере.
В заявлении Министерства юстиции об арестах предполагаемых членов Scattered Spider говорится, что обвиняемым предъявлены обвинения по одному пункту заговора с целью совершения мошенничества с использованием электронных средств связи, одному пункту заговора и одному пункту кражи личных данных при отягчающих обстоятельствах.
Их опознали как: Ахмед Хоссам Элдин Эльбадави, 23 года, он же «AD», из Колледж-Стейшен, штат Техас; Ноа Майкл Урбан, 20 лет, он же «Соса» и «Элайджа», из Палм-Кост, штат Флорида; Эванс Оньеака Осиебо, 20 лет, из Далласа, штат Техас; и Джоэл Мартин Эванс, 25 лет, он же «joeleoli», из Джексонвилла, Северная Каролина.
«Также [в среду] было обнародовано уголовное дело, в котором 22-летнему Тайлеру Роберту Бьюкенену, гражданину Великобритании, предъявлены обвинения в сговоре с целью совершения мошенничества с использованием электронных средств связи, сговоре, мошенничестве с использованием электронных средств связи и краже личных данных при отягчающих обстоятельствах», — говорится в заявлении.
«Мы утверждаем, что эта группа киберпреступников осуществила сложную схему кражи интеллектуальной собственности и конфиденциальной информации стоимостью в десятки миллионов долларов и кражи личной информации, принадлежащей сотням тысяч людей», — сказал в заявлении прокурор США Мартин Эстрада. «Как показывает этот случай, фишинг и хакерство становятся все более изощренными и могут привести к огромным потерям. Если что-то в тексте или электронном письме, которое вы получили, или веб-сайте, который вы просматриваете, кажется неправильным, вероятно, так оно и есть».
Источник
В среду Министерство юстиции США объявило об аресте пяти подозреваемых членов печально известной фишинговой группы Scattered Spider, но самой интересной частью дела стал документ Федерального бюро расследований США (ФБР), в котором подробно описывается, насколько легко федералам удалось отследить передвижения и действия фишеров.
В последние годы резко возросла популярность сервисов, продвигающих анонимные коммуникации и транзакции, в том числе с использованием криптовалют, бесплатных и одноразовых адресов электронной почты, а также сервисов, регистрирующих домены для сокрытия личности фактических владельцев, что вызывает беспокойство у многих в сообществе руководителей служб информационной безопасности.
Но недавно опубликованные подробности расследования ФБР показывают, что эти сервисы не столько обеспечивают анонимность или секретность, сколько делают отслеживание информации трудоемким, дорогим и обременительным. Короче говоря, они не скрывают личности. Они просто усложняют задачу по раскрытию этих личностей.
«Самая сложная часть криминалистических расследований — это многочисленные слои неизвестности, встроенные во все цифровые преступления», — сказал адвокат по кибербезопасности Марк Раш, который много лет курировал отдел высокотехнологичных преступлений Министерства юстиции. «Но и данные, и деньги в конечном итоге должны перейти из одного места в другое. Когда они это делают, они оставляют цифровой след».
Прежде чем ФБР предприняло кропотливую работу по отслеживанию глобальных перемещений злоумышленников и украденной валюты, которую Раш описал как «комбинацию цифровых инструментов и старомодной обувной кожи», им, по-видимому, повезло.
Эта удача пришла в лице шотландских правоохранительных органов, которые арестовали одного из подозреваемых по несвязанному обвинению. Но этот арест дал им доступ к различным цифровым системам, контролируемым подозреваемым, и некоторые данные, полученные из этих систем, совпали с запросами правоохранительных органов США. Затем эти системы были переданы ФБР.
Согласно информации ФБР, поданной федеральному судье Калифорнии Марго Роккони неназванным агентом ФБР, подозреваемые использовали несколько методов, чтобы заставить жертв доверять фишинговым ссылкам. Во-первых, ссылка, по-видимому, была с домена работодателя жертвы. Во-вторых, злоумышленники использовали название поставщика корпоративных систем безопасности Okta, добавив «-okta.net» в конец видимой части имени фишингового домена.
Затем злоумышленники, как сообщается, использовали доменный реестр NameCheap, который позиционирует себя как предлагающий «частную регистрацию доменов» и рекламирует, с долей иронии, учитывая клиентов, о которых идет речь, что они позволяют клиентам «оставаться защищенными от мошенничества и кражи личных данных. Ваши контактные данные будут скрыты от общедоступной базы данных Whois».
Затем подозреваемые использовали поддельное имя пользователя (имя знаменитости в сочетании с оскорбительным термином) вместе с бесплатным адресом электронной почты от Gmail. «Эти записи показали, что оба фишинговых домена были зарегистрированы 2 июня 2022 года — в ту же дату, когда компании-жертвы 1, 2 и 3 стали мишенью фишинговой схемы», — говорится в заявлении ФБР.
«Записи NameCheap для учетной записи NameCheap также показали, что эта учетная запись использовалась для регистрации других фишинговых доменов с именами, которые предполагали, что они были созданы для аналогичной атаки на другие телекоммуникационные компании, биржи криптовалют, социальные сети и технологические компании», — говорится в заявлении.
Подозреваемые также использовали учетные записи электронной почты Proton, которая позиционирует себя как поставщик «безопасной электронной почты, которая защищает вашу конфиденциальность» и заявляет на своем веб-сайте: «Сохраняйте конфиденциальность своих разговоров с помощью Proton Mail, зашифрованного почтового сервиса, базирующегося в Швейцарии».
Вот тут-то и вступают в игру устройства, конфискованные шотландскими властями, а также многочисленные попытки ФБР установить связь между данными.
«Два устройства содержали информацию, относящуюся к адресу электронной почты Proton, который использовался (одним подозреваемым) для бронирования рейса, на основе информации, предоставленной British Airways. Это бронирование рейса было связано с настоящим номером британского паспорта (подозреваемого). История интернет-браузера с одного из устройств (подозреваемого) показала, что он получил доступ (i) к странице регистрации и панели управления NameCheap для фишингового домена 2, которая использовалась для атаки на компанию-жертву 2; и (ii) к учетной записи Gmail субъекта, которая использовалась для регистрации учетной записи субъекта NameCheap, которая в свою очередь зарегистрировала фишинговый домен 1, фишинговый домен 2 и многие другие явные фишинговые домены, как обсуждалось выше», — говорится в меморандуме ФБР. «Хеш-значение фишингового набора на устройстве [подозреваемого] совпало с хеш-значением фишинговых наборов, обнаруженных на трех виртуальных частных серверах, которые использовались для размещения фишинговых веб-сайтов. Тот факт, что все эти файлы имели одинаковое значение хэш-функции, указывает на то, что они были точными копиями одного и того же фишингового набора».
ФБР использовало историю просмотров, чтобы связать подозреваемых с различными системами, задействованными в схеме. Системы могли быть скрыты, но благодаря конфискованным компьютерам связи между системами могли быть установлены. А изъятые записи из облачной хостинговой компании BitLaunch еще больше помогли в отслеживании следа.
«Записи Bitlaunch показывают, что доступ к Subject Server 2 осуществлялся с использованием IP-адреса 3 июня 2022 года — через день после фишинговых атак. В тот же день с этого же IP-адреса осуществлялся доступ к Subject NameCheap Account», — говорится в документе. «Эти доступы с того же IP-адреса в тот же день указывают на то, что то же лицо или лица, которые контролировали Subject Server 2, также контролировали Subject Namecheap Account».
Затем подозреваемые, как сообщается, использовали службу обмена сообщениями Telegram, которая также хвастается на своем веб-сайте своей конфиденциальностью. «Сообщения Telegram сильно зашифрованы и могут самоуничтожаться», — отмечается на сайте.
Из-за этих возможностей «самоуничтожения» один из подозреваемых, желая сохранить разговор с коллегами, «обсуждающими раздел выручки», сделал снимок экрана, чтобы сохранить это обсуждение денег. ФБР, по-видимому, оценило это. Конфискованная машина показала эти снимки экрана из разговора в Telegram.
Криптовалюта на основе блокчейна была еще одним важным способом, которым подозреваемые пытались сохранить секретность. Но, как обнаружили другие, движение криптовалютных транзакций на самом деле не такое уж секретное .
Но один из подозреваемых еще больше облегчил задачу ФБР, сохранив соответствующую страницу обозревателя блокчейна в качестве ярлыка в своем веб-браузере.
В заявлении Министерства юстиции об арестах предполагаемых членов Scattered Spider говорится, что обвиняемым предъявлены обвинения по одному пункту заговора с целью совершения мошенничества с использованием электронных средств связи, одному пункту заговора и одному пункту кражи личных данных при отягчающих обстоятельствах.
Их опознали как: Ахмед Хоссам Элдин Эльбадави, 23 года, он же «AD», из Колледж-Стейшен, штат Техас; Ноа Майкл Урбан, 20 лет, он же «Соса» и «Элайджа», из Палм-Кост, штат Флорида; Эванс Оньеака Осиебо, 20 лет, из Далласа, штат Техас; и Джоэл Мартин Эванс, 25 лет, он же «joeleoli», из Джексонвилла, Северная Каролина.
«Также [в среду] было обнародовано уголовное дело, в котором 22-летнему Тайлеру Роберту Бьюкенену, гражданину Великобритании, предъявлены обвинения в сговоре с целью совершения мошенничества с использованием электронных средств связи, сговоре, мошенничестве с использованием электронных средств связи и краже личных данных при отягчающих обстоятельствах», — говорится в заявлении.
«Мы утверждаем, что эта группа киберпреступников осуществила сложную схему кражи интеллектуальной собственности и конфиденциальной информации стоимостью в десятки миллионов долларов и кражи личной информации, принадлежащей сотням тысяч людей», — сказал в заявлении прокурор США Мартин Эстрада. «Как показывает этот случай, фишинг и хакерство становятся все более изощренными и могут привести к огромным потерям. Если что-то в тексте или электронном письме, которое вы получили, или веб-сайте, который вы просматриваете, кажется неправильным, вероятно, так оно и есть».
Источник
