789导航

 找回密码
 立即注册

俄罗斯花式熊黑客联合会透露

[复制链接]
发表于 2017-11-24 16:47:23 | 显示全部楼层 |阅读模式
英国广播公司(BBC)发现,当俄罗斯臭名昭着的黑客雇用英国注册公司的服务器时,他们留下了一大堆线索。
黑客利用电脑攻击德国议会,劫持尼日利亚政府网站的流量,并针对苹果设备。
该公司,Crookservers,曾经声称一度在奥尔德姆居住。
它表示,一旦得知这个问题,它立刻就迅速将黑客团队(名为“花式熊”)赶走。
英国广播公司(BBC)看到的Crookservers的技术和财务记录显示,花式熊获得了大量资金,并利用在线金融服务,其中一些后来关闭了反洗钱行动。
花式熊 - 也被称为APT28,Sofacy,铁暮光之城和典当风暴 - 已经与俄罗斯的情报。

据安全专家称,该组织在2016年袭击美国民主党全国委员会(DNC)方面发挥了关键作用。
确实曾经属于通过Crookservers雇用的专用服务器的互联网协议(IP)地址被发现在违规使用的恶意代码中
进了牛奶的间谍
根据历史网站注册记录,早在2012年,Crookservers声称在Oldham的一条不起眼的梯田公路上与报刊经销商的地址相同。

但经过一段时间后,上市转向巴基斯坦。英国广播公司没有看到这家商店或其员工知道这个地址是如何被使用的,或者说是骗子与报刊经纪人有任何真正的联系。
骗子是所谓的服务器经销商。这完全是在线业务。它有效转租的电脑归法国和加拿大的另一家公司所有。
BBC将Crookservers的运营商确定为Usman Ashraf。
社交媒体和其他在线账户表明他在2010年至2014年中期在奥德姆地区。他现在似乎在巴基斯坦。
阿什拉夫先生拒绝接受采访,但通过电子邮件提供了详细的问题答案。
尽管他的公司的名字,他否认知道他有黑客作为客户。
他写道:“我们从来不知道客户如何使用服务器。
在2015年,他已经收到了黑客的警告,他说,他已经迅速采取行动来结账。
他说,他还进行了一个“核查”程序,剔除了他怀疑被滥用的公司账户中的60-70%。
他说:“滥用的情况有0%的妥协。
加入点
花了三年时间,花式熊通过Crookservers租用电脑,使用假身份,虚拟专用网络和难以追查的支付系统覆盖其轨道。
网络威胁情报公司Secureworks的研究人员分析了英国广播公司(BBC)的Crookservers的信息,称他们已经帮助他们连接了一些Fancy Bear的业务。

高级安全研究员迈克·麦克莱伦(Mike McLellan)表示,这些黑客已经展示了糟糕的“tradecraft”。
一次通信显示,一名黑客使用假名Roman Brecesku,抱怨说他的服务器已被“破解”。

犯罪分子之前曾与德国议会遭到袭击有关。
根据英国广播公司(BBC)的记录,用于控制恶意软件的服务器是由黑客使用化名为Nikolay Mladenov的黑客服务器雇用的,他使用比特币和Perfect Money付费。
黑客使用的服务器,直到2015年6月,当它在媒体报道的攻击后被Crookservers的请求删除。
该服务器的IP地址也会出现在2014年范堡罗航空展上用于定位某些与会者的恶意软件中。
曾经攻击英国电视台的花式熊恶意软件和DNC也包含这个IP地址,尽管当这些攻击发生时服务器已经不在花式熊的控制之下。
Mladenov使用的一个金融账号也被另外一个以化名Klaus Werner为黑客的黑客使用,通过Crookservers雇用更多的计算机。
根据Secureworks的分析,维尔纳雇用的一台服务器收到来自合法尼日利亚政府网站的“重定向”流量。
苹果的攻击
Fancy Bear黑客使用Mladenov和Werner使用的金融账号,其中两个使用Bruno Labrousse和Roman Brecesku这两个名字来雇佣Crookservers的其他服务器。
一台服务器和用来雇佣的电子邮件地址似乎与指向iOS设备的“高级间谍”恶意软件有关。
恶意软件能够开启录音和窃取短信。
用来雇佣服务器的另一封电子邮件可能与对保加利亚国家安全局的攻击有关。
但是有八个专用服务器绑定到相同的财务信息,其使用是未知的 - 这表明可能有其他花式熊攻击尚未公开披露。
跟着钱
花式熊花费至少$ 6000(4,534英镑)与Crookservers通过各种服务,提供了一个额外的匿名水平。
包括比特币,Liberty Reserve和Perfect Money。自由储备经过国际洗钱调查后被关闭。

英国广播公司要求一家名叫Elliptic的英国公司,专门研究比特币相关的“非法活动”,分析花式熊的比特币支付。
首席调查员汤姆罗宾逊说,他的团队已经确定了这些资金来源的钱包。他说,它包含的比特币“价值约10万美元”。
Elliptic将钱包中的一些资金的来源追溯到数字货币交换BTC-e。
7月份,BTC-e被美国当局封闭,其在俄罗斯被指控在希腊被捕的创始人被指控洗钱。
虽然BTC-e据说受到了俄罗斯网络罪犯的欢迎,但是英国广播公司没有证据显示其管理层意识到其客户包括花式熊。
持续运作
财务和技术记录将以前与花式熊有关的几个攻击联系起来。
有可能的是,进一步的金融跟踪可能会产生额外的启示。
骗徒在10月10日关闭。花式熊的行动,但是,没有。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|789导航 |网站地图

GMT+8, 2018-11-18 17:52 , Processed in 0.087179 second(s), 22 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表