主动威胁狩猎的新路子发现黑客组织真实身份:潜伏!

admin 2024年9月26日10:52:47评论13 views字数 8409阅读28分1秒阅读模式
我们的工作重点不应该像许多网络安全公司的威胁分析、高级威胁分析、威胁情报等团队那样,面向VT(Virus Total)狩猎为客户提供与假想威胁行为者相关的通用TTP(策略、技术和程序)的"无用文章"。相反,我们应该尽可能主动地狩猎并详细地说明威胁行为者是如何破坏客户系统的。

许多公司对黑客群体的认知仅来源于阅读分析报告,但他们并未真正从核心上了解攻击是如何发生的,或者缺乏这种能力。也许监管限制阻碍了他们深入了解?实际上,作为狩猎威胁行为者的一个环节,调查者可以直接与威胁行为者交谈。这些黑客通常非常开放,并乐于吹嘘他们的手法,因为在某种程度上,所有黑客都渴望出名。这种虚荣心会导致他们犯错,而犯错是威胁狩猎归因的重要线索,因为它意味着违反了安全操作准则(Operational Security,OPSEC)。

我们应该非常努力地去识别高级别的网络威胁者,他们并非总是具有国家背景,而是将它们归因于有组织的团体,以了解哪些团体正在从事哪些活动,他们的目标是谁以及他们如何针对他们。我们非常了解特定的攻击者群体,以及他们攻击的对象以及他们的攻击方式。我们一直在努力收集更多关于谁在工业领域造成严重破坏的情报。这是我们业务和社区工作的重要组成部分,即识别对手群体并了解他们的运作方式。

与任何事件响应一样,看到人们因自己发起的攻击而被捕,并不会让人感到很满意。这不是一家网络安全公司的职责。这需要国内执法甚至国际执法合作。但我们一直在努力根据我们对对手如何运作、他们必须如何运作以及他们一直如何运作的了解来改进我们的检测和预防。这是做好事件响应和安全操作的重要组成部分。

在与威胁行为者互动时,我喜欢编造掩饰故事,并尝试直接参与我正在调查的组织。努力加入这些团体的一个"好处"是他们总是很忙碌。你对他们个人了解得越多,他们就越信任你,也就越可能与你分享新信息。他们总是在研究新的黑客技术,一旦你进入他们的核心圈子,他们通常非常愿意炫耀最新的黑客技术或漏洞。我认为大多数组织都缺乏这种主动的威胁情报收集方法。我遇到的大多数威胁情报团队都倾向于被动收集信息,但很少有团队主动去寻找信息。

根据您的角色,网络犯罪调查可能包括探索犯罪的技术方面(例如了解黑客攻击是如何发生的),也可能包括对犯罪分子本身的研究和归因。任何网络调查的一个关键部分通常涉及对威胁行为者及其运作方式的一定程度的了解。尤其是在违规期间,了解犯罪组织及其 MO(作案手法)可以提供重要信息,例如他们如何获得初始访问权限、他们的网络枢纽点、他们倾向于检查哪些文件等等。接下来跟着作者的视角了解其是如何潜伏到The Dark Overlord (TDO) 组织并与之互动的现实生活经验。

在2016年,一个名为The Dark Overlord(简称TDO)的黑客组织开始实施恐吓与勒索行为,针对多个目标组织进行了一系列恶意活动。由于其对医疗服务提供商的频繁且大规模的黑客攻击,该组织迅速在媒体上引发了广泛关注。其首次公开披露的黑客攻击事件涉及了位于密苏里州法明顿的中西部骨科疼痛与脊柱诊所、中西部影像中心有限责任公司以及范尼斯骨科和运动医学中心。

时至2017年,TDO的活动进一步升级,他们不仅黑客攻击了Netflix公司,还威胁称若不满足其赎金要求,则将公开电视剧《Orange Is the New Black》的未播出版本。同年稍晚些时候,该组织改变了其攻击策略,从单纯的“黑客攻击”转变为更为激进的、基于恐怖手段的攻击方式。他们向蒙大拿州哥伦比亚福尔斯学区的学生家长发出了死亡威胁,这一行为导致该学区的30余所学校被迫关闭,超过15,000名学生因此被迫留在家中长达一周之久。为了展示其攻击能力和进一步施压,TDO定期在Twitter平台上发布其要求及最新的黑客攻击信息,并在Pastebin网站上提供了相关支持材料。

攻击者简介

主动威胁狩猎的新路子发现黑客组织真实身份:潜伏!

据可靠信息,该组织最初通过从Xdedic暗网市场购买访问权限,成功获取了第一家医疗诊所的远程桌面协议(RDP)访问权。Xdedic是一个以低价出售世界各地被黑计算机访问权限的非法平台。自此之后,该组织被认为能够利用HL7医疗软件进一步渗透至更多诊所和医疗设施。

TDO发言人于databreaches.net的访谈中,做出了以下正式声明:

“…我利用[HL7的]代码在其所有客户端中识别出了安全漏洞…。此外,鉴于我已渗透其系统,我得以在其客户端中植入了后门程序——这得益于我对他们证书签名权限的访问。该后门程序已在几周前的系统更新中被激活。”

受害公司的规模与行业各异,且常常面临高额赎金要求,以阻止其机密信息被公开至互联网。除针对医疗设施进行攻击外,该组织还定期将目标锁定于整形外科诊所,并以公开好莱坞知名人士隆胸手术前后对比照片为要挟,实施勒索行为。

如果他们的要求没有得到满足,TDO将信守诺言并发布信息。最近,当伦敦桥整形外科拒绝支付该组织的赎金要求时,该组织泄露了弗兰基·埃塞克斯的裸照。

沟通方式

该组织的官方交流语言刻意摒弃了“皇家英语”,小组成员在所有沟通活动中均严格遵守此方言规范。与TDO的直接交流总是伴有高度的夸大其词,尤其是在业务探讨或“黑客技能”的展示方面。团队成员均秉持在大型企业工作的“姿态”,并常以“我们”自称。TDO在阐述其商业智慧时极为谨慎,且频繁提及他们所创建的“品牌”所取得的成就。

回顾该组织于2016年的初创时期,其通过Twitter账户的交流内容似乎出自英语表达不够流畅的人士之手。随着团队的逐步成长,他们转而采用标准化的正式英语,以塑造更为正式的公众形象,此举或许旨在营造一种来自英国的错觉。

2017年领导层更替之后,该组织的整体氛围趋于对立。与受害者组织的交流方式变得更为激进,其Twitter平台上的发言亦呈现出同样的变化。这一转变还标志着该组织战略方向的调整,由传统的黑客攻击手段转向更多基于恐吓的策略,这一点在他们向哥伦比亚瀑布学区学生发出死亡威胁的行为中得到了充分体现。

组织架构及成员

我坚信The Dark Overlord组织是由四名核心成员及一个负责执行辅助任务的小型“承包商”网络共同组成的。此外,有确凿证据表明,该组织在KickAss论坛的管理员Cyper较为松散和非正式的指导下进行活动。

据推测,该组织大约于2015年成立,其所有成员均在Hell这一历史悠久的暗网黑客论坛上相识并集结。组织最初公开的领导者为Arnie,而Cr00k则似乎负责销售被盗数据及整体营销策略的规划与实施。

在组织针对各类受害者实施攻击的过程中,每位成员均发挥了至关重要的作用。值得注意的是,2017年,TDO通过Twitter平台正式宣布了新领导层的成立。此后,该小组的领导权据称已转移至NSA(@rows.io)相关实体。

以下是从该组织Twitter账户(@tdohack3r)与原始TDO(2016年)进行私人交流时摘录的部分对话记录:

“你应知晓,我并非孤立作战,我拥有一个团队作为后盾。”

“我们的团队中,有精通英语的专家专门负责勒索软件的谈判及黑客攻击事务,而我则专注于黑客技术的研发。其余成员则分别擅长数据的窃取、运行备份、管理服务器以及勒索软件的制作。”

“我本人擅长利用漏洞并发动攻击。”

“我的一位搭档在英语及商务方面有着卓越的能力。”

“另一位则擅长数据的窃取、服务器的运维与备份管理,以及勒索软件的制作。”

成员之一:Cyper

该组织的非官方领导人的名字是 Cyper(没有 H)或 CyPeRtRoN。他是该小组中最年长的成员(按年龄计算),对 C++ 和其他编码语言有非常深入的了解。由于他的英语蹩脚,所以很容易被认出来。据我所知,他住在奥地利,40 多岁。

尽管他并非传统意义上的“领导者”,但他确实担任了其他小组成员的导师角色,并在整个故事进程中始终与小组成员保持紧密联系。

在2002年至2013年的这段时间内,CyPeRtRoN 似乎将其大部分空闲时间用于公开破坏网站活动。通过访问zone-h的污损档案,我们可以找到他总共实施的208起网站污损的详细列表,该列表的访问网址为 http://www.zone-h.org/archive/notifier=CyPeRtRoN

根据Cyper本人所述,Cyper最为人所知的破坏活动是其在2003年对美国海军OWA站点实施的网站污损,相关证据图片可访问以下链接查看:http://zonehmirrors.org/defaced/2003/03/04/owa.navseadn.navy.mil/Cy.jpg

主动威胁狩猎的新路子发现黑客组织真实身份:潜伏!

Cyper 是一位极为独特的个体,他同时担任着著名的BlackBox论坛(别称为Ghost)以及更新后的KickAss论坛(别称为NSA)的知名管理员职务。值得注意的是,Cyper还采用了多个别名,包括但不限于Cypertron、NSA(非指代美国NSA)、Ghost、100k以及100k2。

在提及Cyper的别名使用情况时,必须指出,小组成员间存在频繁互换别名的现象,这旨在制造混淆与复杂性。特别地,KickAss论坛的领导者NSA接管了NSA(@rows.io)这一别名,该别名与多起与TDO相关的黑客活动存在直接关联。尤为显著的是,路易斯安那州DMV的一次黑客事件便与NSA(@rows.io)有关,他在某次交谈中公开承认了这一点。

为明确区分,当涉及TDO相关的NSA时,我们将特指其为NSA(@rows.io),以强调其jabber地址。同时,在可能的情况下,我们将尽量使用Cyper这一称呼来指代KickAss论坛的管理员。

成员之一:Arnie

有证据表明,Arnie就是内森·Wyatt(Nathan Wyatt)(又名 CraftyCockney),一位 30 岁的英国居民。证据还表明,Wyatt在 2016 年该组织成立之初就参与了 TDO,他是The Dark Overlord(会说蹩脚英语的人)的最初角色,也是该组织最初的领导者,化名阿尼 (Arnie) 。Arnie 通过在 Hell Reloaded 论坛上宣布原始 TDO 医疗保健黑客行为并出售相关医疗数据而首次引起媒体关注。

主动威胁狩猎的新路子发现黑客组织真实身份:潜伏!

Arnie 被列为其他论坛上类似数据的主要销售者,他会在多种论坛的帖文中公开声称自己为入侵医疗诊所的个体。

在2016年9月24日,Wyatt因涉嫌违反《计算机滥用法》而被捕,原因是企图促成出售从皮帕·米德尔顿(Pippa Middleton)iPhone上非法获取的照片。

到了2016年12月,在搜查Wyatt的设备后,伦敦警察厅发现了证据,表明他持有之前由TDO勒索的一家英国律师事务所数千份被盗文件的副本。

被捕后,Wyatt同意接受来自DataBreaches.net的记者Dissent Doe的采访。在采访中,Wyatt详细阐述了他与“The Dark Overlord”组织的关联,包括向该组织传授欺诈技巧以及按照TDO的要求向美国受害者拨打勒索电话的行为。

此外,Vocativ.com发布了该独家采访的更多详细资料(具体引文可在以下网址查阅:https://www.vocativ.com/362147/pippa-middleton-hack-photos-arrest-uk)。Crafty 明确表示,他并非黑客,而是作为希望出售相关资料的个人之代理人。他强调:“我并非黑客,也未实施任何黑客攻击。我虽为社区一员,但坦白说,连我自己都惊讶于能够成功实现基本的加密。”

Wyatt还进一步说明了该组织如何利用媒体来提升皮帕·米德尔顿照片勒索价格的策略:“英国媒体正中我们下怀。我本意并非向他们出售任何物品。然而,他们已经公开确认了照片的真实性,这对我来说,已相当于解决了问题的一半……”

Wyatt因涉及与The Dark Overlord组织相关的多项罪行,已被正式引渡至美国。以下关于Wyatt所涉指控的要点,均源自官方法庭起诉书及引渡文件(由Wyatt本人善意提供):

受害者资金已借助电子邮件([email protected])被转入一PayPal账户。

具有威胁性质的勒索信息短信,自电话号码337-214-5137发出,该号码系利用Wyatt家庭IP地址进行注册。

Wyatt通过前述电话号码337-214-5137注册了WhatsApp账户,并上传其个人照片作为头像。

相同电话号码亦被用于登录并管理接收受害者付款的PayPal账户(tashiadsmith),且被设置为该账户的家庭联系电话。

针对受害者的勒索电子邮件中,明确要求将资金分散汇入四个不同的英国银行账户。这些邮件中包含Wyatt及其女友姓名的银行账户信息。

Nathan Fyffe注册了英国电话号码44 775-481-6126,此号码用于注册Wyatt的个人Facebook账户及该组织所使用的@TDOHACK3R Twitter账户。

前述同一电话号码还被用于订购比萨饼并送达Wyatt的家庭住址,同时亦用于注册VPN服务,该服务被用于访问上述提及的网络平台。

针对Wyatt的大量证据不容忽视。我毫不怀疑 Wyatt 在 TDO 运营的第一年就与其他成员有过接触。我还认为他与其他成员的交往使他成为替其他小组成员承担责任的完美人选。其他组织成员的一个具体特征是他们能够找到替罪羊,或者可以将所有罪行归咎于某个人的能力。

起诉书中明确指出,被告怀亚特主动提供了他与女友名下的银行账户,作为该犯罪团伙敲诈勒索收益的收款渠道。尽管这一指控令人难以置信,但起诉文件已正式提出此点。此外,据起诉书描述,这些账户被不法分子用于发送包含TDO勒索邮件的通信中。

综合考量该犯罪团伙其他成员的行事风格,存在一种可能性,即他们非法获取了怀亚特的账户信息,并故意将其纳入对受害者进行敲诈的电子邮件中。

值得注意的是,怀亚特本人在YouTube平台上自愿录制并上传了一段音频内容,其中他以威胁性口吻向该犯罪组织的一名勒索受害者发出付款要求,甚至自称为“The Dark Overlord”的一员。该音频资料可通过以下链接获取:https://youtu.be/DzApepLbA70

此外,需提及的是,嫌疑人Arnie还使用了多个别名,包括但不限于CraftyCockney、craftycockn3y、Gingervitis、JasonVoorhees、100t5、Mari0等。

成员之一:Cr00k (Ping)

Cr00k在TDO组织中扮演着核心推销员及数据经纪人的角色。多年来,他采用了多个不同的化名进行活动。其首次引起公众广泛关注的事件是2015年的“Ping”事件,同时,他也是知名地下黑客论坛Hell Forum的所有者与管理者。

除此之外,Cr00k还展现出了卓越的技术黑客能力,对各种技术有着深入的理解和掌握。他习惯于通过盗用知名黑客的化名来制造混乱与欺骗,并频繁借助媒体平台以吸引公众对其黑客行为及其所从事的商品贩运活动的关注。

更为值得一提的是,Cr00k在利用媒体操纵事件以及规避执法部门追踪方面展现出了高超的技巧,尽管他当时年仅18岁。

我认为,Cr00k具备制定长期规划与战略的天赋,他擅长通过构建虚假场景、散布不实信息以及操纵对话来编造复杂的故事情节,以此使调查人员陷入漫长且无效的搜索中。

此外,Cr00k曾使用的其他化名包括但不限于:C86x、Dio_the_plug、F3ttywap、Frosty、Jinn、Lava、Nakk3r、NSFW、Malum、Ping、Photon、Prometheus、Overfl0w、Rejoice、ROR[RG]、Ryder、Russian。

成员之一:NSA (Peace of Mind)

NSA(非美国NSA),具体邮箱为[email protected],需明确区分于同样简称NSA的Cyper组织,该组织仅以NSA之名活跃了数月时间。NSA因在TheRealDeal市场上兜售路易斯安那州机动车辆管理局遭黑客入侵的数据而声名鹊起。其历史可追溯至2015年,当时NSA担任了早期地下论坛“Revolt”以及TheRealDeal市场中“Peace of Mind”板块的管理员职务。有确凿证据表明,NSA实为“黑暗霸主”组织的真正幕后操纵者,而如内森·怀亚特所述,“小子”系该组织后任领导者。

NSA的一大显著特点在于其擅长运用多重化名作为掩护,以此实施欺诈及散布混乱信息的策略。已有诸多实例显示,他通过不同的化名与自身进行辩论,旨在制造混乱并误导公众。值得注意的是,自2017年起,任何与TDO有过交流的记者或调查人员,极有可能是在与NSA进行沟通。

此外,还应关注的是,Ping与Revolt(亦被称为Cr00k及NSA)均居住在加拿大卡尔加里,两地相隔不过五英里之遥。他们自幼相识,共同成长,并频繁联手参与黑客活动,其历史渊源可追溯至地狱论坛时期。

TDO的新领导者

在2017年,TDO正式通报了Twitter平台上的高层人事调整,并发布了一则标题为“新年,新的我们”的官方推文。此推文内嵌入了一个Pastebin链接,该链接的具体地址是pastebin.com/kekUJRU7,但遗憾的是,该链接目前并未在任何官方档案中留存。这一变动标志着Arnie先生作为TDO领导核心的任期结束,同时也宣告了在[email protected]领导下新时代的到来。

回顾2017年以前,TDO的攻击策略主要聚焦于利用RDP服务器及受黑客侵入的医疗软件来非法获取系统访问权限。然而,随着NSA领导层的更迭,TDO的攻击行为发生了显著变化,其手段变得愈发敌对且侵略性十足。

在言论表达上,TDO也展现出更为强烈的攻击性和侮辱性。其攻击模式不再局限于传统的技术性黑客活动,而是逐渐演化为一种更为极端和恐怖的行为方式。

同年晚些时候,该组织因向学生家长发送死亡威胁,导致多个学区被迫关闭,其极端行为已严重危害公共安全,因此被正式列入国家恐怖分子名单之中。

主动威胁狩猎的新路子发现黑客组织真实身份:潜伏!

该组织冷酷无情之处的又一例证,涉及到对位于印第安纳州的一家非营利性癌症诊所“小红门”所实施的勒索行为。据NPR.com的报道,TDO通过电子邮件与该诊所取得联系,邮件标题为“癌症已令人痛心,但我们更为恶劣!”

在小红门拒绝支付近五万美元的赎金后,TDO竟在Twitter平台上公然发布了致已逝客户家属的慰问信,此举实属不当,令人震惊。

敌意态度

在排除其充满敌意的交流方式后,对NSA在黑客论坛过往记录的审视揭示出其对同性恋群体持有攻击性的倾向。与此同时,其个人社交媒体平台上则展现出大量支持同性恋的图片及相关资料,形成了鲜明对比。

我荣幸地通过其个人Facebook、Twitter及Jabber账户进行了多次交流。以下是一段能够体现其总体态度的交流摘录(请注意频繁出现的粗俗用语“d**k”)。

此外,NSA还使用了一系列别名,包括但不限于BTC、Columbine、L3tm3、NSFW、Obbylord、Obfuscation、Peace of Mind、Revolt、Stradinatras、WhitePacket及Vladimir。

The Dark Overlord

每当以 TDO 形象进行交流时,似乎都有语言准则和严格的正式语气,以便呈现出具有内部流程和程序的更大的团体结构。我一直觉得可笑的是 TDO 为试图将自己打造成合法企业而付出的努力。在与小组成员的多次对话中,他们总是讨论使用其服务所需的合同、发票或其他正式商业文件。

主动威胁狩猎的新路子发现黑客组织真实身份:潜伏!

尽管表面上看起来如此,但如果受害者不支付赎金,该组织的务实语气很快就会恶化。每当 TDO 的荒唐要求得不到满足时,该群体就会很快变得焦躁不安,并在 Twitter 上公开发脾气,这与孩子得不到自己想要的东西的行为无异。

主动威胁狩猎的新路子发现黑客组织真实身份:潜伏!

激怒TDO或许并不被推崇为行为典范,但其潜在的实用性却不容忽视。在与不同化名者进行交流的过程中,能够激发其冲动反应的能力,或将成为一个有利的工具。凭借充分的好奇心,并恰当地提出引导性问题,便能触发类似的情绪释放,这无疑是一种高效的策略,有助于我们更深入地洞察交流对象的本质。因此,将此视为一种特殊的调查手段,确实能够助力我们更加准确地把握与何人对话的情境。文章来源:《HUNTING CYBER CRIMINALS》主动威胁狩猎的新路子发现黑客组织真实身份:潜伏!

往期推荐

想要快速提升情报能力?这个社群有秘诀!

2024-09-09

主动威胁狩猎的新路子发现黑客组织真实身份:潜伏!

深入探析:猎人国际(Hunters International)黑客组织的崛起与威胁

2024-09-14

主动威胁狩猎的新路子发现黑客组织真实身份:潜伏!

黑客行动主义新篇章:深入了解 GlorySec

2024-09-24

主动威胁狩猎的新路子发现黑客组织真实身份:潜伏!

臭名昭著的勒索组织LockBit对美国FBI 的公开信

2024-06-19

主动威胁狩猎的新路子发现黑客组织真实身份:潜伏!

美国国家安全局:美国的顶级黑客间谍机构

2024-03-31

主动威胁狩猎的新路子发现黑客组织真实身份:潜伏!

原文始发于微信公众号(OSINT情报分析师):主动威胁狩猎的新路子发现黑客组织真实身份:潜伏!

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月26日10:52:47
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   主动威胁狩猎的新路子发现黑客组织真实身份:潜伏!https://cn-sec.com/archives/3208965.html

发表评论

匿名网友 填写信息