一名罗马尼亚男子和女子被指控入侵美国首都华盛顿警方部署的户外监控系统,传播勒索软件 Cerber。这两名嫌疑人名为 Mihai Alexandru Isvanca 和Eveine Cismaru,都是罗马尼亚公民,上周由罗马尼亚当局在“Bakovia 行动”中逮捕。该行动还逮捕了传播带有 CTB-Locker 和 Cerber 勒索软件的垃圾邮件的其他五名人员。

 

黑客攻破66%的华盛顿警方 CCTV 摄像头

从美国特勤局提供的口供来看,这两名嫌疑人被指入侵了123个部署在华盛顿哥伦比亚特区警视厅 (MPDC) 闭路 TV 系统的安全摄像头(共187个),该系统供华盛顿警方监视华盛顿市的公共空间情况。

这些安全摄像头都是由“安装在跟摄像头紧挨着的专门计算机”控制的,而且计算机和 MPDC 网络联网。美国调查人员指出, Isvanca 和 Cismaru 将访问权限从安全摄像头提升至紧挨着的计算机。这两名嫌疑人据称通过 RDP 登录并开启多款应用将垃圾邮件发送给受害者。

这两名嫌疑人应该是在1月9日攻破了 MPDC 摄像头和计算机。华盛顿警方在1月12日发现入侵进项并持续四天关闭系统,于1月15日清理并加固警方网络的安全性。警方对华盛顿整个 CCTV 系统的关闭发生在举行美国总统特朗普就职典礼的两周前,引发美国媒体的骚动,因为很多人最开始认为这是外国国家黑客所为。

 

被黑计算机中包含一些证据

被指派调查此次黑客事件的美国特勤局特工拿走了三台遭攻陷的 MPDC 计算机以供后续分析。

调查人员表示从中发现了一起活跃感染和运行在其中一台计算机上的一些 app。他们从中发现的最重要线索是以 David Andrew (david.andrew2005@gmail.com) 名义注册的一个 SendGrid 账户的一个活跃浏览器会话。这个 SendGrid 账户用于向被攻陷计算机上一个文件名为 “US.txt” 的文件中包含的 179,616 个邮件地址发送垃圾邮件。

除了这个 David Andrew 的邮件地址外,调查人员还发现这台计算机还被用于访问 anoniman0027@gmail.com 的收件箱。通过授权访问这个账户后,研究人员从中发现了多个跟调查相关的邮件。

 

邮件账户跟其中一个嫌疑人有关

通过分析邮件通信,调查人员发现 anoniman0027@gmail.com 从 vand.suflete@gmail.com (”vand suflete” 在罗马尼亚语种名为“出卖灵魂”)中收到了一个包含 IP 地址、用户名和密码的列表。列表中包含属于其它被黑 MPDC 监控系统的94个IP地址。

这个账户中的另外一份邮件还包含受 Cerber 勒索软件感染的计算机的多个 IP 地址、用户名和密码。一些IP地址被标记为 “ars”,在罗马尼亚语中意为“焚烧”,而被标记为 “aici(在罗马尼亚语中是“这里”的意思)” 的那个 IP 地址正是特勤局正在调查的被攻陷机器的 IP 地址。

调查人员查看 vand.suflete@gmail.com 的收件箱后发现了Cerber 勒索软件行动控制面板的一个链接。他们还发现了三封包含用于安装 Cerber 和 Dharma 勒索软件的邮件。这些文件也托管在遭攻陷的 MPDC 系统中。从口供来看,美国当局认为 Isvanca 是这三个邮件账户背后的黑手,而且这三个账户全部用于向受攻陷 WPDC 计算机发送数据。

导致调查人员发现 Isvanca 真实身份的一个线索是他使用自己的真实邮件地址作为 anoniman0027@gmail.com 账户的恢复邮箱。Isvanca 还通过anoniman0027@gmail.com 邮件在 ifud.ws 黑客论坛上注册了一个账户,他在尚明以 “Tommy Tommy” 的名义发布了一份传播 Cerber 勒索软件的广告,并提供了联系地址 tommy.tommy@jabber。

 

IP地址跟Isvanca存在关联

另外,调查人员表示,Isvanca 使用 IP 地址 86.107.57.138 注册并访问自己的所有邮箱账户,而且还用这个 IP 入侵了英国一家医疗组织机构的网络。口供声称 Isvanca 使用这个医疗机构的服务器为勒索软件计划服务。

这个IP地址随后追踪到位于罗马尼亚首都布加勒斯特的一个罗马尼亚互联网服务提供商 Teen Telecom 的头上。这家提供商向美国当局提供了 Isvanca 的真实身份信息。

 

关联两个嫌疑人

调查人员之所以将 Isvanca 和 Cismaru 关联在一起是因为邮件账户日志显示,Cismaru 使用真实邮件地址 (eveline.cismaru@gmail.com) 将IP 地址列表发送给 Isvanca 的 vand.suflete@gmail.com 账户,后者将列表转发到受攻陷MPDC 系统上发现的anoniman0027@gmail.com 账户中。

日志还显示,Cismaru 还将 USA.txt 文件发送到 Isvanca的david.andrews2005@gmail.com 账户中,而这份文件用于向受害者发送受勒索软件感染的 PDF 文件。

美国当局毫不费力地找到了 Cismaru 的真实身份,因为她并未使用化名邮箱,而且她的收件箱中包含所有暴露自己行踪的信息,包括航班预定、机票、Airbnb 账户通信、英国司机的驾照应用等。

 

英国罗马尼亚也在寻找这两名嫌疑人

Isvanca 和 Cismaru 都是居住在英国伦敦的罗马尼亚人。他们在罗马尼亚被捕。一名消息人士表示,两人在试图离开罗马尼亚的布加勒斯特机场时被捕。罗马尼亚执法部门之前一直在就多项罪名起诉两人,但由于缺少证据而不得不放弃。

美国特勤局看似并未遇到罗马尼亚执法部门早于的问题。在口供中,调查人员将两名嫌疑人追踪到 Facebook 账户、YouTube 资料、护照号码、政府身份证号等。Isvanca 也在英国国家犯罪局的欺诈数据库中,他被“标记为‘可疑人员’,原因是他的订单地址和收货地址不一致。”口供还将 Isvanca 和 Cismanru 跟在线欺诈关联在一起。两人都交换了包含数千份信用卡详情的邮件。

此外,Isvanca 通过 david.andrew2005@gmail.com 的邮箱账户为位于罗马尼亚首都布加勒斯特的一处公寓订了一份披萨。罗马尼亚当局表示,该公寓注册在 Ovidiu Alexandru Dan 的名下,后者也在2016年因欺诈相关罪名遭逮捕,目前他的案子正在布加勒斯特的一个法庭审理。

文章原文链接:https://www.anquanke.com/post/id/92002