在华盛顿有187台电脑用于管理闭路监控网络,其中有123台被五名来自罗马尼亚的匿名黑客控制了,本月这5名黑客中的两人将面临美国的计算机罪名指控。
根据主导抓捕的欧洲刑警组织的消息,这两名被捕的嫌疑人使用Cerber勒索病毒攻击了美国计算机网络。此外,美国特勤局也参与了这起恶意软件感染事件的调查。
根据美国有线电视新闻网获得的证词(该证词曾被泄露,之后被重新封存),特勤处特工James Graham声称此前的美国司法部计算机欺诈案件由两个罗马尼亚人Mihai Alexandru Isvanca和Eveline Cismaru发起。
在一封面向媒体的电子邮件中,司法部发言人证实了逮捕和法庭控诉已经同步进行。“我们正独立进行相关调查,这二人已被欧洲刑警组织逮捕,所有法庭文件不会公开。”
其他消息显示,因为疑似使用Cerber勒索病毒攻击美国闭路监控摄像系统,Isvanca和Cismaru在罗马尼亚被警察逮捕。
交通摄像头
Graham描述了疑犯如何在2017年的1月9日、1月12日控制了华盛顿警察局用于管理交通摄像头的电脑,这是一个勒索计划的一部分。
在1月12日,在发现部分摄像头处于离线状态后,华盛顿特区的警方IT人员和一名特勤局特工使用远程桌面协议(RDP)软件连接到了控制摄像机的服务器之一。
他们观察到,该设备运行了多个意想不到的窗口,包括:欧洲航运公司Hermes的号码追踪;浏览器窗口,页面是用Sendgrid帐户登陆的多个活跃邮箱;浏览器窗口,内容是“电子邮件在线验证器”的谷歌搜索结果;URL为http://emailx.discoveryvip.com/的浏览器窗口;一个写满编程代码和文本的记事本程序;一个显示Cerber勒索攻击的闪动窗口。
服务器的IT管理员随后封锁了被入侵设备的网络访问,并将该设备连同其他两台电脑一起从监控系统中移除。
调查人员确信,两个勒索软件变种Cerber和Dharma被安装在了该电脑上。他们还发现了一个文本文件“USA.txt”,记录了179616个电子邮件地址,用于向勒索攻击的受害者发送垃圾邮件。随后在疑犯所用的某个邮件帐户中,调查人员发现了一个使用相同校验方式的文本文件。
案中涉及的电子邮件地址,分析师认为vand.suflete@gmail.com是疑犯偏好的地址。Graham指出,罗马尼亚语中的“vand suflete”意为“贩卖灵魂”。
远程控制
Graham解释说,从谷歌获取的Gmail邮箱记录里包括一个Cerber控制面板的链接。Isvanca和Cismaru租用Cerber来感染受害者、更改文件、绑票数据。
他解释说在法庭文件中。“根据我的训练和经验,Cerber商业模式是:Cerber恶意软件的发明/所有者将Cerber资源出售给客户。Cerber控制面板是一个网站,允许Cerber客户在不访问源代码的情况下使用Cerber框架,从而让发明/所有者在保留知识产权的情况下售卖恶意软件来获得额外收入。”
欧洲刑警组织称这种模式为“犯罪即服务(CaaS)”。
电子邮件帐户之间的联系最终暴露了Isvanca和Cismaru。
调查人员联系了vand.suflete@gmail.com中提到的电子邮件帐户所有者,以确认他们的系统是否已被破坏。一位不愿透露身份的公司确认自身已经遭到黑客入侵,并返回了系统中Cerber启动页面的截图。
通过被入侵的域控制器电脑上的Hermes货运号码,调查人员追踪到一个伦敦的地址,但是英国国家犯罪调查机构没有发现可以表明收件人参与勒索方案的证据。
英国医疗行业被黑
域控制器计算机上用于创建订单的IP地址,可以追溯到一家英国的医疗公司。该IP地址也被发现存在于vand.suflete@gmail.com的电子邮件帐户清单里。
该公司匿名地向调查人员承认,该公司的eXpressApp框架(XAF)系统上的一个用户帐户被盗了。通过对该IP地址进行快速查找,可以发现它与医疗保健公司WellWork Ltd的纽卡斯尔办公室有关,该公司的名字也在法庭文件中作为一个RDP连接字出现。
通过将林林总总的电子邮件帐户和IP地址与欺诈数据库进行比对,罗马尼亚警方可以获得足够的细节来形成进一步的电子证据。
Facebook和YouTube的记录也帮了调查人员的大忙。根据Graham的经验,人们常常对社交媒体账户上的信息做出轻微的改动来掩盖身份。但这些改动被证明不足以欺骗调查人员。