在泰国、新加坡执法部门与网络安全公司Group-IB的协同努力下,一名与全球90多起数据泄露案件有关的黑客被逮捕。这名黑客曾以GHOSTR、ALTDOS、DESORDEN和0mid16B等多个网络身份活跃,据称其在暗网市场上窃取并出售了超过13TB的敏感信息,其中包括政府机构的记录。此外,他还是臭名昭著的网络犯罪和数据泄露平台Breach Forums的活跃成员。
GHOSTR因多重账户被Breach Forums封禁(截图来源:Hackread.com)
多国作案,行业广泛
自2020年起,这名黑客的目标主要集中在新加坡、马来西亚、巴基斯坦和印度等亚太地区国家,后来逐渐扩展到欧洲、北美和中东。受害者涉及医疗、金融、电子商务和物流等多个行业。起初,他通过威胁泄露被盗数据向公司施压,要求支付赎金,并在要求被忽视时向媒体或监管机构发出警告。后来,他转向在暗网论坛上直接出售数据库,以高质量泄露和高端定价而闻名。在某些情况下,他甚至会直接通过电子邮件与客户联系,迫使公司就范。
根据Group-IB于周四发布的新闻稿,该黑客利用常见漏洞渗透系统,使用sqlmap等工具执行SQL注入攻击,以访问后端数据库,并入侵安全防护薄弱的远程桌面协议(RDP)服务器。一旦进入系统,他便部署修改版的渗透测试工具CobaltStrike,以维持对受攻击网络的控制权,并将提取的数据复制到云端服务器用于勒索。
多重身份,追踪艰难
调查人员面临的最大挑战是该黑客频繁更换别名和策略。Group-IB通过分析暗网论坛上的写作风格、发布格式和目标偏好,将这些身份关联起来。例如,ALTDOS在2020年主要针对泰国受害者,而DESORDEN后来则瞄准了零售、金融、物流、保险、医疗、酒店、招聘、科技、电子商务和房地产投资等领域。
尽管多次因诈骗和虚假账户被论坛封禁,该黑客仍不断更换身份继续作案,直到其在线活动的踪迹被当局追查到现实中的真实身份。在逮捕行动中,泰国当局查获了多台笔记本电脑、电子设备以及用数据销售所得购买的大量奢侈品。
查获物品(来源:Group-IB)
Group-IB通过研究该黑客的行为模式和技术线索,成功将其多个身份关联起来。这一案例让人联想到巴西黑客USDoD,其真实身份在被CrowdStrike揭露后被捕,进一步证明了网络犯罪追踪的可能性。
