最近有一个ID叫“USDoD”的黑客目前特别吸睛,“USDoD”通常翻译成“美国国防部”,但本文明显不适用,本篇内我们亲切的叫他:U哥,吧。
混在安全圈,也许你第一次听说这个自称U哥(“USDoD”)的家伙是在他发布InfraGard数据之后(前Breach论坛用户“USDoD”在2022年12月发布了大约8万多名InfraGard成员的详细信息,InfraGard是FBI与私营部门公司之间的情报合作平台)。当时U哥不仅设法获取了一个致力于保护关键基础设施的组织的80000 名成员的数据,而且他所披露的方法也暴露了InfraGard 方面一些令人尴尬的无能安全措施,后来引发BR站长Pompompurin被抓的导火索之一。
2023年9月11日,正值美国举国哀悼之时,U哥最新泄露了涉及3200家空中客车AIRBUS供应商的信息,鉴于此次复出,U哥开始再次引起全球安全界人们关注。
想来U哥也是出名后闲得无聊或者找不到地儿倾诉(秀),前几天居然在线接受了美国某数据泄露网站的一次专访,此次专访中,U哥(“USDoD”)透露了他目前对美国国防机构和公司的一些行动和未来计划。
-
第一部分介绍了U哥的一些背景,正如他所描述的那样。
-
U哥(“USDoD”)自称是目前30多岁,男子,单身。但曾正儿八经的与一位身为医生的女友谈过恋爱,而且女友也知道他在做什么(后面有提到)。
U哥自述出生于南美洲,但移居葡萄牙。他拥有巴西和葡萄牙双重国籍,但目前居住在西班牙。U哥讲三种语言:葡萄牙语、英语和德语。“英语不是我的主要语言,”他说,当被问到是否会说俄语时,他回答说他今年才开始学习俄语。
U哥自述于1999年加入巴西游戏社区后首次开始黑客攻击。当时11岁,但已经能够利用社交技巧帮助抓捕恋童癖者。巴西游戏社区的一位版主当时也是r3x软件的开发人员,在网络上对他很照顾,鼓励并帮助发展技能学习黑客技能。U哥表示凯文·米特尼克也给他留下了深刻的印象(延伸链接:走好,“世界上最著名的黑客”)。“遗憾的是,我从未见过他,但是该死的,这家伙是我们这一代的传奇人物。他的社会工程技能给了我很多启发,让我成为了现在的我。”
U哥首选的学习方式是真实攻击那些规模较小且不知名的公司。“我在真实场景中学习。为了获得经验,我的双手真的很脏。我没有在当地实验室或类似的地方学习。我不喜欢这样,”。
针对军队和国防承包商的早期行动:2021-2022
U哥在前RF论坛上ID叫“NetSec”。“作为‘NetSec’,我入侵了许多实体,但我最臭名昭著的一个是我自己在#RaidAgainstTheUS活动中针对美国陆军和国防承包商的行动,”他有点洋洋得意。
2022年2月,Cyble研究实验室撰写了一份关于NetSec的报告(美国武装部队/国防工业基地遭受网络攻击),将他描述为亲俄罗斯的威胁行为者。该报告提供了他的活动时间表:
这些事件包括美国国防技术信息中心数据库、美国陆军特种作战卓越中心数据库、美国战略司令部数据库、美国中央司令部数据库、美国特种作战司令部数据库和洛克希德·马林数据库。所有这些发布都是在2022年2月的两天内发布。Cyble报告还包括美国国防部如何列出和解释攻击的屏幕截图。
由于NetSec的许多帖子都提到了俄罗斯人或与俄罗斯人或俄罗斯人合作,因此Cyble和其他安全研究团队可能认为他亲俄罗斯是可以理解的,但目前U哥对此强烈反对。U哥认为被其他人认为某种政治联盟本质上不是政治联盟,他之所以参与行动,是因为一位朋友的私人邀约,他对此感到荣幸。
在其他情况下,他可能与俄罗斯个人合作或向俄罗斯个人出售数据,但并不代表他有任何政治观点。也许因为采访使用语言为英语的原因,U哥似乎并没有深入了解他的言论如何给人留下他亲俄罗斯的印象。为了表明这种说法并不属实,他开始讲述美国客户的情况以及2022年2月的一些帖子的真实内容。
作为一个具体的例子,Cyble报道的2022年2月帖子中提到的“俄罗斯人”是一位与他关系密切的独立安全研究员。研究人员向U哥展示了他正在开发的一个名为“Tulip”的人工智能平台,并要求U哥收集任何可能对他的项目有帮助或没有帮助的军事数据。U哥表示他本身无意损害美国的关键基础设施,因此同意提供帮助,他仍然相信这个项目无论过去还是现在都是无辜的。“从那时起以及我从事这方面的工作以来,从未有任何公开或私下的证据表明我的行为造成了任何伤害或有任何情报泄露。这从来都不是政治性的,”“当我写下我要卖给“俄罗斯人”时,也许我被写的文字搞砸了,就好像其中有一些政治因素一样。不!我向他们解释一个不针对美国的人工智能项目的信息。”
现场U哥自曝他也有美国客户,U哥还透露,在2022年Cyble报告出现后不久,与伊朗政府关系非常密切的人联系了他,试图购买他在帖子中描述的情报,“但是我拒绝卖给他。我不会攻击某些国家,我也不会与他们的政府、政治人物或军队做生意。我根本不和任何人做政治生意。同样的规则适用于所有人,”他摊开手道。
一些黑客避免攻击特定国家/地区的实体,例如独联体国家。当采访者询问U哥是否排除任何国家或部门时,他回答说,出于道德原因和他为自己制定的标准,“我不会攻击俄罗斯、中国、韩国和朝鲜、以色列和伊朗。其余的我不在乎,”他说。
当被问及为什么他认为袭击这些国家是不道德的时,他回答说:“因为那里有我真正认识、我真正尊重的人。我足够关心的人不会惹恼任何政府或公司。我对美国的不满不是针对个人的。我不讨厌美国文化。我喜欢他们所做的事情。我对任何政府的尊重都是零。”
采访者对他的回答感到有些困惑,问道:“但是即使你在这个国家有你喜欢和尊重的人,你也会攻击美国政府吗?”
“好问题,”U哥回答道,然后U哥回忆性的叙述了他生活中发生的一件意义重大的个人事件。他谈到了2012年在纽约接受癌症治疗的经历,以及他如何与自己就诊的医院的一名女员工深入交往。但作为一名黑客,他怀疑医院存在腐败行为,于是对医院进行了黑客攻击。他说,这名员工知道他在做什么并帮助了他,但在他计划与媒体会面并揭露医院腐败的前一天,她失踪了。他说,尽管寻找并雇用了一名私家侦探,但他再也找不到她了。因为她就这样突然消失了,所以那天他从来没有公开过他的发现,在纽约没有任何支持的情况下,他完成了治疗并离开了,带着对美国的个人恩怨以及对她离开他的巨大悲伤和悲痛。尽管他明确表示自己永远不会攻击美国的医院或儿童保育设施,但他对美国怀有一些怨恨,并表示他仍然对她的失踪感到非常情绪化。
采访者很难理解一次个人背叛的经历如何会转化为对美国政府的持久怨恨。因此,在试图弄清楚这一切并感觉像参议员麦卡锡的幽灵之前,采访者直接问他:“你现在或曾经因为你的黑客活动而受到任何政府的支付或经济支持吗?”“不。我不喜欢政治,”他回答道。“世界应该摆脱政治。我不会接受政府的任何资金,无论他们提供多少资金。” 他还否认自己的决策和行动存在任何宗教、种族或民族偏见。
“我的理由纯粹是个人恩怨。我不偏袒任何一方。我扮演战争双方的角色,不参与政治。”
“很多黑客告诉我,‘这只是生意’,他们的动机是经济利益。你说过这不是政治问题,而是个人恩怨。你还有什么其他的动机吗?” 采访者问他。
“这不仅仅是生意。这是关于挑战。我喜欢真正的挑战。” U哥随后向介绍了他当前和未来的活动,表明他是多么喜欢接受挑战。本文的第二部分对此进行了描述。
与许多其他RF成员一样,U哥在RF论坛被劫持,前站长“Pompompurin”被捕后,打开了BR现在的论坛。在“Pompompurin”主持的前论坛中,他使用了“NetSec”。
而现在,他使用"USDoD"。U哥于2022年12月首次使用“USDoD”这个绰号,当时他发布了InfraGard的数据。“我选择美国国防部作为一个笑话,让人们认为国防部入侵了InfraGard。我也用他们的印章作为我的头像。这实际上只是一个笑话,让联邦调查局在新闻中看到后感觉更糟。不过,我不再使用他们的印章作为我的头像,”他笑道。如今,他的头像改成了一只可爱的小猫。
InfraGard事件引起了媒体的关注,因为InfraGard是FBI和私营部门公司之间的公共和私人情报合作伙伴关系,共同保护关键基础设施。U哥只需申请成为会员并获得接受即可访问其会员数据。他没有以自己的名义提出申请,他使用了一家金融公司首席执行官的名字,该公司之前不是会员,U哥觉得申请很可能会被接受。该申请是通过他控制的电子邮件地址提交的。令他惊讶的是,他的申请未经任何进一步审查就被接受了。U哥接下来透露的做法比去年透露的还要多。U哥说他的方法涉及之前的测试运行应用程序。
“首先,我创建了一个包含一些虚假信息的粗略申请,并将其提交以查看 InfraGard会如何回应。一旦我看到他们所说的我的申请中有哪些错误,我就知道我必须准确说明哪些内容。不过,令我感到非常惊讶的是,他们接受了最终的申请,因为我没有使用我所冒充的首席执行官的专业电子邮件。我创建了一个假的Tutanota电子邮件地址并冒充一名工作人员。” U哥称,他在首席执行官申请中使用的电子邮件地址是 [email protected]。
“我真的不明白为什么InfraGard会批准这个申请,”U哥表示很奇怪。安全人员后续调查注意到InfraGard受到冒充非员工或会员且拥有匿名邮件服务的人的攻击。当询问U哥他在多大程度上依赖社会工程来获取访问权限时,他回答说:“100%,但我并不完美。我有时会失败。这是正常的。”
当被问及他最喜欢的社会工程技术时,他回答说这是模仿。“我的技巧是成为别人。我喜欢模仿并成为别人。这就是我访问 InfraGard、NATO北约网络中心防御和CEPOL欧洲警察学院的方式。” [注:第二部分讨论了NATO和CEPOL攻击]。U哥表示,他还使用ZoomInfo研究目标,以了解军事和国防部门的潜在目标有多大。
U哥表示,在 InfraGard 事件发生后,他感到有些难过,因为有人认为这可能是直接导致Pompompurin被捕以及论坛随后被查封的原因。虽然我们不知道是谁说的,但InfraGard事件不太可能是逮捕和论坛被封的直接原因。这些事件发生在DC Health Links事件发生后不久,该事件涉及华盛顿地区美国国会议员、其家人和雇员的个人和健康保险相关数据。支持这一假设的事实是,美国卫生与公众服务部监察长办公室参与了扰乱该论坛并查封该论坛的行为。如果单纯是三个月前的Infragard,他们可能不会参与其中。
由于U哥经常选择国防部门的高价值目标,U哥被询问是否非常担心被抓到。“这取决于我的心情和正在发生的事情,但由于我的工作性质,我总是保持高度警惕并监控一些平台,以密切关注研究人员在做什么或一些关键人物在说什么,”他回答道,但在这次采访中的其他时候,美国国防部会说他并不担心,并且他“已经涵盖了这部分”。当被要求解释这意味着什么时,他回答说,他“获得了绿卡或免费通行证,可以在西班牙经营或在西班牙做任何我想做的事。这是西班牙一些重要人物发来的。遗憾的是,我无法分享更多情报,因为这可能会危及局势。”
针对这一有点令人惊讶的说法,U哥说他在网络安全领域工作,偶尔会来美国,采访者询问他是否在西班牙境外有任何保险,或者如果他来到美国是否会面临风险。“你是对的,但如果值得的话,我仍然愿意冒一切风险去那里。这取决于具体情况,而你是我愿意冒险的人之一。”他回答道。采访者不确定是否正确理解了他的意思,而且因为他多次提到他想亲自在纽约见面喝咖啡,采访者继续说道:“你愿意冒着被抓的风险参加这次采访,或者来纽约来见我???” “不仅仅是一次采访,”他回答道。“来找你,见你,喝杯咖啡,”他回答道。
"RIP Brxxxxx.vc,您好 BrxxxFxxxxs!"
9月13日,USDoD在BR新论坛上宣布他回来了,并表示他将从事一些个人项目。他很快再次成为头条新闻,宣布他正在泄露航空巨头空中客车公司 3200家供应商的数据:“这个月,我使用一些土耳其航空公司的员工权限访问了空中客车网站,这让我了解了很多内容以及他们的供应商数据(原文如此)。3200条记录。这是他们的整个供应商数据,”他在BR论坛的帖子中写道。
在提供了一些示例数据和链接后,他添加了这一行:“洛克希德·马丁公司、雷神公司和整个国防承包商,我是来找你们这些B子的”(原文如此)
他的帖子和最后一句话都没有被忽视。安全和威胁情报公司Hudson Rock报告了此次泄露事件,声称他们已经确认了土耳其航空公司员工的身份,该员工的凭据已被信息窃取者泄露。空中客车公司随后证实了他们的分析。注意:一些新闻媒体似乎误解了U哥的帖子和Hudson Rock的报道。一些网站声称U哥感染了该员工的计算机。但他没有。他只是在infostealer日志中找到了登录凭据并使用了它们。使用infostealer日志是一种快速、简单的方法来查找目标的凭据,并节省尝试弄清楚如何获取访问权限的时间。许多论坛都设有免费发布此类信息窃取者日志的部分,供任何人下载和滥用。
曾在2022年报道过InfraGard故事的布莱恩·克雷布斯 (Brian Krebs) 也报道了空中客车数据泄露的故事。在一篇标题为“FBI黑客于9/11泄露被盗空客数据”的帖子中,克雷布斯写道,部分内容如下:
“U哥没有说明为什么他们决定在9/11袭击22周年之际泄露这些数据,但泄露的消息中肯定有一个飞机主题,最后的一句话是:“洛克希德·马丁公司、雷神公司以及整个国防合同[原文如此],我要来找你们[脏话]。”
U哥表示觉得克雷布斯称他为恐怖分子。美国国防部向 DataBreaches 提交了以下声明,并要求将其包含在本文中。仅修改了一处小错误,这是他对克雷布斯报道的完整回应:
“关于克雷布斯报告的声明:首先,我想向每一位美国公民道歉。空客违规事件不应该发生在911事件中,但已经有一个多月了,我已经脱离了平常的生活,所以我每天工作超过 20 个小时,没有适当的睡眠时间,这让我非常恼火,以至于当我突破空客并发生泄漏时,我并没有注意到 911。我永远不会试图引起人们的注意或操一个公司或一个让人们痛苦的人。这不是我是谁。我不是这样长大的,所以我向每一位美国公民真诚地道歉。这是第一次也是最后一次。现在让我们纠正一些事情,因为这件事是不对的。
克雷布斯先生知道,大约一年前,他找我采访有关 infragard 的情况,这并不是第一个提出这个问题的人。我亲自告诉他,我只会和他说话,因为我看过他的工作,他的报告非常详细,我一直喜欢他的工作,我什至钦佩他,这就是为什么我和他交谈,但这个人之后空客公司的情况对他的职业生涯或在同一部门工作的同事的尊重为零。
他的这句话让我感觉背后被捅了一刀。他应该联系我。不是为了获得更多观看次数(流量)而发布谎言。他如此无礼,以至于媒体界没有人相信他的无知。一个肮脏的混蛋做出的肮脏举动,这就是为什么我继续为像这样的人做我的生意。
他会因自己的行为而跌倒。这是人身攻击。也许是因为他对在阿拉斯加工作的朋友抓不到我感到生气。两者都是联邦调查局时间里无用的资产,可以让人们脱掉球衣并退休,这不是游乐场,而是真正的生意。
”采访者联系了克雷布斯,并提供了一份U哥的声明副本,让他有机会做出回应或评论。克雷布斯没有回应也没有评论。
U哥在泄露空客数据的帖子中写道:“洛克希德·马丁公司、雷神公司和整个国防承包商,我来找你们这些B子们(原文如此)。” 他是认真的吗?
不,他不是。U哥表示他对雷神公司和洛克希德公司没有兴趣,指名道姓它们只是为了在他追求其他目标时误导人们。U哥其他目标包括德勤、北约、CEPOL、欧洲刑警组织和国际刑警组织。
“我很高兴雷神公司和洛克希德公司花费了大部分时间和精力来解决他们的问题,而我在同一天就可以攻击德勤、北约和 CEPOL,”U哥得意的说。
美国国防部声称他的目标包括德勤、国际刑警组织、欧洲刑警组织、北约和CEPOL等多个实体。他还声称他已经获得了其中一些内容的访问权限,并向采访者提供了一些屏幕截图作为证据。
“我已经完成了对北约和 CEPOL 的访问,所以第一阶段的行动已经完成,现在我将转向第二阶段。在第二阶段,我将利用这一点,但我需要研究和利用他们的弱点,”他说。
美国国防部通过注册希腊警察帐户“Gran Kolettis” 获得了CEPOL的访问权限。美国国防部还从该电子邮件地址向采访者发送了一封电子邮件,表明他仍然可以访问该警官的电子邮件帐户。
图片由“USDoD”提供。右上角显示登录的用户是“GK”。
U哥还向采访者提供了北约网络安全防御中心的屏幕截图,显示他已成功注册并有权访问这些屏幕截图。只有注册并登录的人才能看到下面第二个屏幕截图中显示的菜单。
“USDoD”尝试注册北约门户网站成功。图片由“USDoD”提供。
U哥通过注册为“Karlaina Ustinov” 获得访问权限。他还从希腊军队的电子邮件帐户向采访者发送了一封电子邮件,显示他仍然可以访问。
但U哥的计划部分失败了。进入中心后,他请求获得社区服务。当他没有收到回复并尝试登录时,发现了一条“维护中”的通知。
现在已经有过去四天的维护记录。北约尚未回复发送给其的两封电子邮件询问,询问维护通知是否是对某些可能的网络安全事件的计划外回应。他们是否检测到了什么并且正在加强安全性?他不知道,但有理由认为他们可能发现了一些问题。
但如果U哥的行动没有真正完成,为什么还要公开透露他的目标呢?
“这会吸引他们的注意力,”U哥表示,“说实话,我想要这个。我想在他们观看的时候击败他们。”
“为什么?” 数据泄露问道。“为了哈哈。乐趣。挑战,”他回答道。
在承认他与德勤的合作失败并需要寻找其他方法来访问它们,并且在无法访问北约门户中的社区服务之后,他开始解释为什么这些目标:
“CEPOL是欧洲执法的电子学习平台,与欧洲刑警组织直接相关。他们在一起有很多节目。我完全了解了CEPOL是如何教导他们的特工的,所以我会在最后的比赛中找到他们的弱点。北约使用端点安全和反病毒软件的自定义和修改版本。另外,他们有自己版本的政策、浏览器等。因此,将两者放在一起,我可以将它们删除,因为我知道他们的方法,也知道他们如何保护自己。这足以让我获得更多访问权限。”
采访者敦促U哥提供更完整的路线图或解释:“我不明白这些操作何时结束或如何结束。你可以解释吗?”
“好吧,”U哥说,“最终的比赛是一个持续的局面。这不是一次全国范围的攻击。这是整个大陆的攻击。我现在已经考虑过一些事情。我将利用他们的全部资源来扩大我的业务规模。”
“你知道?门已经打开了。这是一个千载难逢的机会。挑战也随之而来。这就是结局:扩大我的影响力。没有退出的可能。我会继续前进。我想这会消除我们的困惑:我走上了不归路,而你知道了我的结局。
“所以你不打算泄露或出售来自CEPOL、北约或其他机构的任何数据?” 采访者问道。
“对就这样。我不会泄露这一点,”他回答道。“我完全控制某些系统的目的是访问更多的私人数据。我想找到更多数据点并扩大我的业务并参与一些欧洲关键基础设施。这是我最后阶段的关键部分。”
“让我们明确一点,”U哥继续说道(而采访者则祈祷现在能澄清一点):除了我已经告诉过你的我永远不会攻击的国家之外,全球其他国家也应该保持警惕。
“保持警惕,因为你可能会攻击他们?” 采访者问道。
“对的。我告诉你这些是因为我想在他们的最大能力上击败他们。”
“但是美国的国防呢?您提到了CEPOL、北约、欧洲刑警组织和国际刑警组织作为目标。你们现在有针对任何美国国防公司或机构的行动吗?”
“是的,我现在确实在幕后进行一些操作,”他回答道。“但这永远不会公开或泄露到任何地方。这是针对私人用户案例的私人请求。合同结束后,我会告诉你我的目标。”
当被问到是否可以多说一点时,U哥回答说:“我会解释。我进入了数据采集的新水平。我对美国的主要关注点是军事情报——从机密到私人的每一条军事情报信息。”
“这是为了私人用户合同还是只是为了你自己的兴趣/挑战?” 采访者问道。
“个人用途,”他回答道。我正在建立一家新的私人公司,完全由我自己经营。我将在暗网上出售军事情报。BR论坛被查获后,我一直想经营自己的生意。”
“是的,从机密到私人情报。这与欧洲终点有关。为此我需要欧洲端点。这不仅仅在美国运行。我甚至可以给你一个名字。我的第一个目标是Constellis康斯泰集团。”
U哥此时似乎再次发出了挑战——宣布他的目标和计划。祝愿Constellis康斯泰集团,能够很好地防御他的社会工程策略,否则他们的信息可能会成为U哥的新业务开业时的第一只羔羊。
U哥宣布回归BR论坛,似乎除了有涉及收购和出售情报的商业计划外,他还想帮助BR现论坛成长。
“我希望看到社区像以前一样更加积极参与。拥有积极主动的人可以吸引更多的人。ShinyHunters曾经为RF论坛做过这样的事情。他过去是,现在仍然是野兽和传奇,但他并没有真正参与他现在拥有的论坛。大家都在等他,他似乎对论坛不太感兴趣。”(延伸阅读:“数据之手”数据狂魔黑客组织ShinyHunters)
U哥在BR老论坛上拥有非常高的正面声誉,并且几乎肯定会在BR现论坛上再次拥有这样的声誉。他所从事的活动可能会引起媒体对论坛的关注和兴趣。U哥透露当他本周向ShinyHunters寻求帮助时,他感到很失望,因为 ShinyHunters说了“NO”,没有任何解释,也没有说会自己做任何事情。
很难清楚地了解U哥正在做什么以及他计划做什么,但现在似乎更清楚他拥有涉及美国军事情报的商业模式。
美国国防承包商和机构是否应该瑟瑟发抖了?考虑到他在社会工程方面的熟练程度以及他对挑战的热爱,甚至手里捏的文件和数据,密切关注他似乎是明智之举。
原文始发于微信公众号(泛安全):安全界必看:深度采访干翻FBI情报平台和空中客车的黑客U哥到底是什么人
评论