网络犯罪调查:危害团体和The Com之间的暗中联系

admin 2024年9月18日10:38:27评论15 views字数 6894阅读22分58秒阅读模式

网络犯罪调查:危害团体和The Com之间的暗中联系

去年,一场网络攻击导致拉斯维加斯两家顶级赌场关闭,这迅速成为 2023 年最引人注目的安全新闻之一。这是美国和英国以英语为母语的黑客与俄罗斯勒索软件团伙联手的首例已知案例。

但这种好莱坞式的叙事掩盖了一个更加可怕的趋势:许多年轻的西方网络犯罪分子也是快速增长的在线团体的成员,这些团体的存在只是为了欺凌、跟踪、骚扰和勒索脆弱的青少年,让他们伤害自己和他人。

网络犯罪调查:危害团体和The Com之间的暗中联系

2023 年 9 月,一个名为ALPHV/Black Cat的俄罗斯勒索软件组织声称对米高梅度假村连锁酒店的入侵事件负责,该事件迅速导致米高梅在拉斯维加斯的赌场陷入瘫痪。

当米高梅仍在试图将入侵者从其系统中驱逐出去时,一位自称对此次黑客攻击有第一手了解的人联系了多家媒体,接受采访,讲述了整个事件的经过。

一名17 岁的英国少年讲述了此次黑客攻击事件,他告诉记者,入侵始于一名讲英语的黑客致电米高梅的技术支持人员,并诱骗他们重置员工账户的密码。

安全公司CrowdStrike将该组织称为“分散蜘蛛”,这表明 MGM 黑客来自不同派系,这些派系分散在大量 Telegram 和 Discord 服务器中,专门从事以金融为导向的网络犯罪。

总的来说,这个专注于犯罪的聊天社区群岛被称为“ The Com ”,它是一种分布式网络犯罪社交网络,可以促进即时协作。

但大多数情况下,The Com 是网络犯罪分子炫耀其功绩和在社区中的地位,或贬低他人的地方。Top Com 成员经常会争论谁的抢劫行为最令人印象深刻,或者谁偷窃的虚拟货币最多。

除了敲诈受害公司以获取经济利益外,The Com 的成员还试图从其网络犯罪对手那里夺取赃款,而这种方式通常会演变成在现实世界中实施暴力。

CrowdStrike 继续生产和销售“Scattered Spider”动作人物模型,并在今年旧金山举行的 RSA 安全大会上展示了真人大小的“Scattered Spider”雕塑。

网络犯罪调查:危害团体和The Com之间的暗中联系

但针对特定的网络犯罪团伙营销安全产品和服务可能会比较棘手,特别是如果事实证明抢劫和勒索受害者绝不是这些团伙每天从事的最令人憎恶的活动。

KrebsOnSecurity 检查了有关米高梅黑客事件媒体采访的账户的 Telegram 用户 ID 号(对应屏幕名称“ @Holy”),发现同一账户在多个网络犯罪频道中使用,这些频道完全专注于勒索年轻人伤害自己或他人,并将伤害过程录制成视频。

据悉,Holy 拥有多个珍贵的 Telegram 用户名,包括 @bomb、@halo 和 @cute,以及有史以来售价最高的 Telegram 用户名之一:@nazi。

在一个专门讨论青少年勒索的 Telegram 频道的帖子中,可以看到同一位用户询问是否有人知道 764 的几个核心成员的当前 Telegram 帐号。

764 是一个极端组织,以通过协调一致的在线勒索、人肉搜索、恶意攻击和骚扰活动伤害儿童而闻名。

764 等危害团体的成员通常会潜伏在年轻人喜爱的游戏平台、社交媒体网站和移动应用程序上招募新成员,包括Discord、Minecraft、Roblox、Steam、Telegram和Twitch。

加拿大皇家骑警(RCMP)最近发出警报称,社交媒体渠道上性勒索团体的兴起表明:

“此类犯罪通常始于通过游戏平台发送的直接消息,然后转移到其他虚拟平台上更私密的聊天室,通常是具有视频功能的聊天室,对话很快就会变得色情或暴力” 。

“这些犯罪分子使用的手段之一是性勒索,但他们并不以此来牟取金钱或满足性欲。相反,他们利用性勒索进一步操纵和控制受害者,以制造更多有害和暴力的内容,作为其意识形态目标和激进化途径的一部分。”

764 网络是人口最多的危害社区之一,但还有很多其他社区。

一些最大的已知团体包括CVLT、Court、Kaskar、Leak Society、7997、8884、2992、6996、555、Slit Town、545、404、NMK 、303和H3ll 。

今年 3 月,记者联盟检查了 50 多个 Discord 和 Telegram 聊天群中的数百万条消息。

这些网络团体成员的虐待行为极其严重。他们强迫儿童遭受性虐待或自残,导致儿童在身上留下深深的伤口,在皮肤上刻下施虐者网络别名的‘伤口痕迹’。” 故事继续说道:

“受害者在马桶里冲头、攻击兄弟姐妹、杀死宠物,在一些极端情况下,甚至企图自杀或自杀身亡。美国和欧洲国家的法庭记录显示,该网络的参与者还被指控犯有抢劫、当面性侵未成年人、绑架、武器侵权、恶作剧和谋杀罪。”

“该网络的一些成员勒索儿童是为了性满足,一些是为了权力和控制。一些只是为了操纵带来的快感。还有一些人在暗网上出售勒索产生的露骨的儿童性虐待内容。”

KrebsOnSecurity 获悉,霍利是一名 17 岁的少年,于 2024 年 7 月被英国西米德兰兹警方逮捕,这是该警方与美国联邦调查局对米高梅黑客事件进行联合调查的一部分。

在其网络犯罪生涯的早期(15 岁),@Holy 使用昵称“ Vsphere ”,是LAPSUS$网络犯罪集团的骄傲成员。

在整个 2022 年,LAPSUS$会通过黑客攻击和社会工程手段入侵一些全球最大的科技公司,包括EA Games、 Microsoft、NVIDIA、Okta、Samsung和T-Mobile。

危害社区和 The Com 高层成员重叠的另一个及时例子是,一群犯罪分子最近从云数据提供商Snowflake的用户那里窃取了大量的客户记录。

2023 年底,恶意黑客发现许多大公司已将大量有价值且敏感的客户数据上传到 Snowflake 服务器,同时仅使用用户名和密码(无需多因素身份验证)保护这些 Snowflake 帐户。该组织随后在暗网市场搜索被盗的 Snowflake 帐户凭据,并开始袭击一些全球最大公司使用的数据存储库。

在 Snowflake 事件中数据遭泄露的公司包括AT&T。该公司于 7 月披露,网络犯罪分子窃取了约 1.1 亿人的个人信息以及电话和短信记录——几乎所有客户都是该事件中的客户。

事件响应公司Mandiant 的一份关于勒索组织的报告指出,Snowflake 的受害公司曾被黑客私下接触,要求支付赎金,以换取不出售或泄露被盗数据的承诺。总共有 160 多家组织遭到勒索,其中包括TicketMaster、Lending Tree、Advance Auto Parts和Neiman Marcus。

2024 年 5 月 2 日,一位名为“ Judische ”的用户在专注于欺诈的 Telegram 频道Star Chat上声称,他们已经入侵了桑坦德银行,这是已知的首批 Snowflake 受害者之一。Judische 于 5 月 13 日(即桑坦德银行公开披露数据泄露的前一天)在 Star Chat 上重复了这一说法,并定期脱口而出其他 Snowflake 受害者的名字,甚至在他们的数据在网络犯罪论坛上出售之前。

仔细查看 Judische 的账户历史记录和 Telegram 上的帖子,可以发现该用户更广为人知的绰号是“ Waifu ”,这个早期的绰号与 The Com 多年来最有成就的 SIM 卡交换者之一相对应。

在SIM 卡交换攻击中,欺诈者会钓鱼或购买移动电话公司员工的凭证,并使用这些凭证将目标的移动电话和短信重定向到攻击者控制的设备。

Telegram 上的多个频道经常更新 100 名最富有的 SIM 卡交换者的排行榜,以及与特定网络犯罪团体相关的黑客名称(Waifu 排名第 24)。该排行榜长期以来一直将 Waifu 列入一个自称为“ Beige ”的团体的黑客名单中。

2020 年,Beige 成员被牵连到该组织发表的两篇文章中。第一篇是2020 年 8 月的一篇名为《语音网络钓鱼者瞄准企业 VPN》的文章,文章警告称,COVID-19 疫情带来了一波语音网络钓鱼或“语音钓鱼”攻击,这些攻击通过移动设备瞄准在家办公的员工,并诱骗其中许多人放弃远程访问雇主网络所需的凭据。

Beige 组织成员还声称对域名注册商 GoDaddy 的入侵事件负责。2020 年 11 月,据信与 Beige 组织有关的入侵者诱骗 GoDaddy 的一名员工安装了恶意软件,并利用该访问权限重定向了多个加密货币交易平台的网络和电子邮件流量。

Judische 及其相关账户多年来经常访问的 Telegram 频道显示,该用户将时间分配在 SIM 卡交换和网络犯罪套现频道上发帖,以及在 Leak Society 和 Court 等伤害社区中骚扰和跟踪他人。

Mandiant 将 Snowflake 攻击归咎于一个名为“ UNC5537 ”的组织,该组织成员来自北美和土耳其。KrebsOnSecurity 获悉,Judische 是加拿大安大略省一名 26 岁的软件工程师。

接近 Snowflake 事件调查的消息人士告诉 KrebsOnSecurity,UNC5537 在土耳其的成员是约翰·艾琳·宾斯 (John Erin Binns),他是一名行踪不明的美国人,美国司法部(DOJ) 因2021 年 T-Mobile 信息泄露事件起诉他,该事件泄露了至少 7660 万客户的个人信息。

宾斯目前被关押在土耳其监狱,正在争取引渡。与此同时,他起诉了几乎所有为其案件提供调查资源的联邦机构和特工。

2024 年 6 月,一名 Mandiant 员工告诉彭博社,UNC5537 成员曾对调查黑客的网络安全专家发出死亡威胁,有一次该组织还利用人工智能制作一名研究人员的假裸照来骚扰他们。

2024 年 6 月,两名美国男子承认入侵美国缉毒局(DEA) 在线门户网站,窃取了 16 个不同的联邦执法数据库。  来自罗德岛的 20 岁青年Sagar “Weep” Singh和来自纽约皇后区的 25 岁青年Nicholas “Convict” Ceraolo都是 SIM 卡交换社区的活跃成员。

辛格和塞拉洛入侵了多个外国警察局的电子邮件账户,并利用这些账户向社交媒体平台发出虚假的“紧急数据请求”,要求获取他们所跟踪的特定用户的账户信息。据政府称,在每起案件中,冒充外国警察局的男子都告诉这些平台,请求是紧急的,因为账户持有人一直在从事儿童色情交易或参与儿童勒索。

最终,这两名男子加入了一个被其成员称为“ ViLE ”的网络犯罪团伙,该团伙专门获取第三方受害者的个人信息,然后利用这些信息骚扰、威胁或勒索受害者,这种做法被称为“人肉搜索”。

美国政府称,辛格和塞拉洛与第三名男子(起诉书中称为同谋 1 号或“CC-1”)密切合作,管理一个网络攻击论坛,受害者可以付费删除自己的个人信息。

政府没有透露 CC-1 或人肉搜索论坛的名字,但 CC-1 的黑客昵称是“ Kayte ”(又名“ KT ”),这对应于一位 23 岁男子的昵称,他与父母一起住在澳大利亚科夫斯港。几年来(短暂中断),KT 一直担任一个真正卑鄙的人肉搜索社区Doxbin的管理员。

网络犯罪调查:危害团体和The Com之间的暗中联系

网络犯罪集团“ViLE”的网站截图。

姓名和个人信息出现在 Doxbin 上的人们很快就会发现自己成为长期骚扰活动、账户黑客攻击、SIM 卡交换甚至是恶意攻击的目标——恶意攻击包括虚假报告目标地址发生的暴力事件,以诱骗当地警方采取可能致命的武力进行回应。

联邦当局针对的少数通讯员甚至对试图揭露其所犯罪行的联邦特工进行骚扰、人肉搜索和其他骚扰。这导致一些调查人员开始从联邦法院提交的宣誓书和起诉书中删除他们的名字。

2024 年 1 月,KrebsOnSecurity 爆料称,佛罗里达州检察官指控一名 19 岁的 Scattered Spider 成员Noah Michael Urban犯有电信欺诈和身份盗窃罪。

该报道讲述了 Urban 所谓的黑客身份“ King Bob ”和“ Sosa ”生活在这样一个世界:竞争对手的加密货币盗窃团伙经常通过所谓的“暴力即服务”产品解决争端——在网上雇佣陌生人对竞争对手实施纵火、殴打和绑架。

厄本的起诉书显示,作证的联邦特工的名字已被涂黑:

网络犯罪调查:危害团体和The Com之间的暗中联系

诺亚·迈克尔·厄本 (Noah Michael Urban) 的起诉书的最后一页显示,调查人员从起诉文件中删除了他们的名字。

2022 年 6 月,这篇博客讲述了两名男子被指控入侵十几个随机用户的 Ring 家庭安全摄像头,然后有条不紊地攻击他们每个人的故事。更糟糕的是,这些人利用被入侵的安全摄像头录制了当地警察蜂拥而至这些房屋的现场画面。

北卡罗来纳州夏洛特市的詹姆斯·托马斯·安德鲁·麦卡锡 (James Thomas Andrew McCarty) 和威斯康星州拉辛市的凯娅·“丘姆鲁尔”·尼尔森 (Kya “Chumlul” Nelson)合谋入侵美国受害者的雅虎电子邮件账户。两人会检查这些雅虎账户中有多少与 Ring 账户相关联,然后锁定那些在两个账户上使用相同密码的人。

网络犯罪调查:危害团体和The Com之间的暗中联系

据称, 麦卡锡使用的 Telegram 和 Discord 别名(其中包括“ Aspertaine   ” 和“ Couch ”等)对应于在某些专用于 SIM 卡交换的频道中活跃的身份。

KrebsOnSecurity 当时没有报道的是,ChumLul 和 Aspertaine 都是 CVLT 的活跃成员,这些身份显然参与了在线骚扰和剥削青少年。

2024 年 6 月,麦卡锡承认拨打恶作剧电话,引起警方特警出动,被判处 7 年监禁。尼尔森也承认有罪,被判处 7 年监禁。

2023 年 3 月,美国纽约联邦特工宣布逮捕了“ Pompompurin ”,他涉嫌担任 Breachforums 的管理员。Breachforums 是一个英语网络犯罪论坛,被黑客入侵的公司数据库经常出现在该论坛上出售。在受害组织没有被黑客提前勒索的情况下,被列入 Breachforums 通常是许多受害者首次获悉入侵的方式。

布丁狗多年来一直是 FBI 的死对头。2021 年 11 月,KrebsOnSecurity 爆料称,数千封有关网络犯罪调查的虚假电子邮件从 FBI 的电子邮件系统和互联网地址中大量涌出。

布丁狗承认了这一举动,并表示他利用了 FBI 门户网站的一个漏洞向 FBI 发送了虚假电子邮件,而 FBI 门户网站旨在与州和地方执法机构共享信息。FBI 后来承认,软件配置错误导致有人发送了虚假电子邮件。

2022 年 12 月,KrebsOnSecurity 详细介绍了活跃在 BreachForums 上的黑客如何渗透到 FBI 的 InfraGard 计划中,这是一个经过审查的网络,旨在与私营部门的专家建立网络和物理威胁信息共享伙伴关系。黑客冒充一家大型金融公司的首席执行官,以首席执行官的名义申请 InfraGard 会员资格,并被允许加入社区。

联邦调查局将布丁狗命名为 21 岁的皮克斯基尔居民康纳·布莱恩·菲茨帕特里克,他最初被指控一项合谋引诱个人出售未经授权的访问设备(窃取的用户名和密码)的罪名。但在联邦调查局特工突击搜查了菲茨帕特里克与父母居住的房屋后,检察官又对其提起了持有儿童色情制品的指控。

网络犯罪调查:危害团体和The Com之间的暗中联系

司法部最近的行动表明,政府非常清楚 The Com 的主要成员与危害社区之间存在很大重叠。但政府也越来越敏感地意识到,政府通常需要数月或数年才能收集到足够的证据对其中一些嫌疑人提出刑事指控,在此期间,肇事者可以虐待和招募无数新的受害者。

然而,去年年底,美国司法部表示将采取新策略追捕 764 等危害社区的领导人:以国内恐怖主义罪名指控他们。

2023 年 12 月,政府指控(PDF) 一名夏威夷男子拥有和分享未成年儿童遭受虐待的色情视频和图片。检察官指控 夏威夷希洛 18 岁的Kalana Limkin承认他是 CVLT 和 764 的同伙,并且是名为Cultist的分裂伤害组织的创始人。Limkin 的 Telegram 个人资料显示,他还活跃于伤害社区 Slit Town。

Limkin 的投诉中的相关引文如下:

‘764’组织的成员曾密谋并将继续在线上和线下密谋从事暴力活动,以宣扬种族主义暴力极端主义思想,其全部或部分活动违反了联邦刑法,符合《美国法典》第 18 篇第 2331 条对国内恐怖主义的法定定义。

专家表示,根据反恐法规对危害团体提出指控可能会使政府获得比一般刑事黑客案件更为便捷的调查权力。

它最终会让你在调查中获得更多工具,可能是逮捕令之类的东西,它还能让你在案件结束时获得额外的补救措施,比如更严厉的制裁、更长的监禁时间、罚款和没收。前美国联邦网络犯罪检察官、现任纽约网络安全公司Unit 221B总法律顾问的马克·拉什 (Mark Rasch)表示。

但拉施表示,这种策略可能会对那些过度行动并最终在法庭上质疑指控的人产生适得其反的效果。

如果你要以恐怖主义等罪名指控黑客或恋童癖者,这将使定罪变得更加困难,这增加了检察负担,并增加了无罪释放的可能性。

拉施表示,目前还不清楚在使用恐怖主义法规打击网上危害团体时,如何划定界限才是合适的。他指出,在某些情况下,个人仅通过互联网活动就可能违反国内反恐法规。

互联网和其他平台一样,几乎任何在现实世界中发生的犯罪都可以在网上发生,但这并不意味着所有滥用电脑的行为都符合恐怖主义的法定定义。

加拿大皇家骑警发布的关于未成年人在互联网上遭受性勒索的警告列出了青少年在卷入这些伤害团体时可能表现出的一系列潜在警告信号。

联邦调查局敦促任何认为自己的孩子或认识的人受到剥削的人联系当地联邦调查局外勤办公室,拨打 1-800-CALL-FBI,或登录tips.fbi.gov在线举报。

原文始发于微信公众号(网络研究观):网络犯罪调查:危害团体和“The Com”之间的暗中联系

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月18日10:38:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网络犯罪调查:危害团体和The Com之间的暗中联系https://cn-sec.com/archives/3177656.html

发表评论

匿名网友 填写信息