据报道,在另一场震惊世界的网络攻击中,臭名昭著的黑客比约卡(Bjorka)突破了安全系统,泄露了数百万印度尼西亚公民的个人数据。
比约卡此前曾因泄露印度尼西亚各个平台个人用户信息(包括PeduliLindung、MyPertamina以及最近BPJS Ketenagakerjaan的1900万条记录)而成为头条新闻,现在涉嫌黑客攻击并在暗网中低价出售3400万份印度尼西亚护照数据。
比约卡表示,被泄露的护照数据包括姓名、护照号码、护照有效期、性别和护照签发日期。来自暗网的屏幕截图显示,用户名为Bjorka的比约卡,以1.5亿印尼盾(约合1万美元)的价格提供了3400万印尼护照数据的整个数据集。该文件的压缩版本和未压缩版本据称各约为4GB,总共有34,900,867个文件。
2023年7月5日星期三,印尼Ethical Hacker公司创始人、网络安全分析师Teguh Aprianto在其Twitter账户@secgron上分享了这一消息。
“3400万印尼护照数据被泄露并在暗网上出售,价格仅为1万美元,这些数据包括护照号码、全名、出生日期、性别、地址、电话号码、电子邮件、面部照片和签名。”Teguh写道。
截至2023年7月6日星期四,该推文获得了广泛关注,浏览量达260万次,评论达1974条,转发次数超过13000次。
推特用户@Mikae说:“这很可怕,不是吗?数据泄露已经发生了一段时间,但今天仍然在发生。我真的不知道如何解决这个问题。我们应该怎么办?”
推特用户@ngup*写道:“显然,Bjorka已经意识到印度尼西亚的数据是开放的,因此很便宜。”
用户@euri**问道:“一旦他们获得了数据,他们会用它来做什么?网贷?”
Teguh还将矛头指向了通信和信息部(Kemkominfo)和国家网络与加密局(BSSN RI)的官方推特账户,质疑他们对当前问题的回应。
他写了道:“@kemkominfo和@BSSN_RI一直在做什么?”
比约卡的博客Bjork.ai进一步展示了泄露的护照数据,黑客提供了100万份护照记录样本,供潜在买家验证数据的真实性。然而,Kemkominfo随后于2023年7月6日星期四封锁了样本数据的链接。
对此,网络安全专家、网络安全保护服务公司Vaksincom创始人Alfons Tanujaya对泄露数据的有效性和有限性发表了评论。
Alfons在2023年7月5日星期三接受Liputan6.com的Tekno采访时表示,由于存在由移民总局独家掌握的国民身份证识别码(NIKIM),泄露的数据可能是有效的。
“泄露的范围仍然有限,而且与之前泄露的数据相比,数据质量对犯罪分子的吸引力较小。”
泄露的数据与NIKIM号码、护照和护照持有人姓名的准确性和对应关系尚未得到移民总局的确认。Alfons强调移民当局需要进一步核实,他补充说:“移民局必须确认泄露的数据是否与NIKIM号码、护照和护照持有人姓名相符。”
尽管泄露的数据类型有限,但Alfons警告说,这些信息仍可用于识别个人身份。他承认,此次事件中最重要的数据泄露是NIKIM数据的泄露,而其他泄露的信息并不那么重要,并且之前已经被泄露过。
Alfons进一步解释说:“其他受影响的数据所有者,例如人口数据、全名和身份证号码(NIK; Nomor Induk Kependudukan)以及其他与人口相关的数据,其NIKIM数据和护照号码也被加入到泄漏的数据中。”
当被要求做出回应时,印度尼西亚法律和人权部(Kemenkumham)移民局局长西尔米·卡里姆(Silmy Karim)证实,正在对所谓的数据泄露事件进行调查。
Silmy Karim通过短信给Liputan6.com表示:“我们目前正在调查数据泄露事件的真实性。”
Silmy进一步透露,移民数据中心目前使用通信和信息部(Kominfo)的国家数据中心(PDN; Pusat Data Nasional)。他们正在与国家网络和加密机构(BSSN; Badan Siber dan Sandi Negara)和Kominfo合作调查此事。
Silmy在接受Kompas.com采访时说:“是的,我们正在与BSSN和Kominfo合作。”
据Kominfo官网介绍,PDN的发展是政府政策的一部分,包括《电子政府系统总统条例》第27条。
PDN为中央和地区政府机构提供各种服务,包括政府云计算、数据整合和合并。
至于正在进行的调查,Kominfo信息和公共传播总监乌斯曼·坎松(Usman Kansong)透露,PDN中的数据结构与流传的泄露数据存在差异。
乌斯曼上周三(7月5日)在给Kompas.com的一份声明中表示:“根据初步调查,国家数据中心的数据结构与流传的数据结构存在差异。”
乌斯曼表示,Kominfo目前正在制定法规,以防止未来的数据泄露。他说:“作为长期预防的一部分,我们正在根据2022年关于个人数据保护的第27号法律制定相关规定。”
他进一步提到,Kominfo正在起草政府条例(Peraturan Pemerintah/PP)和总统条例(Peraturan Presiden/Perpres)。政府条例预计将于2023年底发布,而总统条例则计划于2023年9月发布。
Usman补充说,除了发布法规外,Kominfo还将在印尼多个地点扩建国家数据中心(PDN)。他说:“我们将在4个地点建设国家数据中心,即勿加泗(Bekasi)、巴淡(Batam)、IKN和纳闽巴约(Labuan Bajo)。”
为了加强数据基础设施和网络安全措施,通信和信息部(Kominfo)启动了一项雄心勃勃的项目,在印度尼西亚多个地点建立首个政府所有的国家数据中心(PDN)。
由于印度尼西亚持续存在的数据泄露问题,迫切需要加强数据保护措施。Kominfo信息学应用总监Semuel Abrijani Pangerapan透露,2019年至2023年间,该部共处理了94起数据泄露案件。
值得注意的是,2023年数据泄露数量激增了75%,达到35起。截至2023年6月,Kominfo已处理15起数据泄露事件。
Semuel澄清,在处理的94起案件中,经过评估和取证调查,其中28起案件被确定为网络安全漏洞或系统漏洞,而不是违反个人数据保护的行为。
今年春天,与大多数瑞士安全服务机构合作的瑞士IT服务提供商Xplain公司遭到了黑客攻击。接下来发展成一种典型的勒索软件攻击模式:内部系统瘫痪、数据被盗、索要赎金,然后,由于Xplain公司拒绝付款,黑客在暗网上发布了泄露的信息。6月初,黑客只发布了六个压缩文件,其中包含数千份文档,主要为来自Fedpol和几个州警察局执行的众多IT项目的数据:合同、技术规范等,总计近3GB;然后到了6月中旬,似乎所有被盗的信息都被放到了网上,即907GB,这是一个巨大的数据量。现在,来自瑞士联邦的超敏感信息现在可以在暗网上找到,那些意图伤害瑞士的居心不良的人很容易获得这些信息。
值得注意的是,Xplain公司是瑞士许多警察部队和安全联盟的IT服务提供商,特别是与联邦警察局、Fedpol和海关管理局合作。Xplain公司遭到黑客攻击导致大量超敏感数据在暗网上发布,影响了瑞士的国家安全。
据称勒索软件团伙”Play“是此次Xplain数据泄露事件的幕后黑手,”Play“是一个相当新的与俄罗斯相关联勒索软件团伙,在2022年发动了多次引人注目的攻击。该团伙因在加密受害者数据后添加扩展名“.play”而得名,其勒索信中通常包含“PLAY”一词。
“暂时”无法下载 上周日,瑞士国家网络安全中心(NCSC)告诉Keystone-ATS机构,这些数据已从暗网上消失。也就是它们已从当初发布的页面上删除,NCSC无法解释这种突然失踪的原因。NCSC时指出,“勒索软件团伙”Play“黑客组织于6月14日在暗网上发布了这些数据,此后暂时无法下载。我们不知道原因。”
这是一个重要的澄清:根据NCSC的说法,这些被盗的数据总量高达907GB,只是“暂时”消失了。联邦服务部门没有提供有关此事件的任何进一步细节。提供数据下载的地址很可能不再有效,这也可能是由于联邦方面采取的技术行动造成的。但随后,黑客可能从另一个地址重新发布了被盗的信息,与当局开始了一场猫捉老鼠的游戏,而他们几乎不可能获胜。
曾经很容易下载 网络安全专家证实,泄露的联邦数据确实可以在暗网上获得。请记住,访问它并不是很复杂:您所需要的只是一个特殊的浏览器,最著名的是Tor浏览器,然后可以直接访问所需的地址或查阅目录。这需要一点经验和时间。黑客和对被盗数据感兴趣的人也会浏览暗网交流论坛,在那里交换下载信息的地址。
从Xplain公司窃取的联邦数据大约十天前被黑客放到了网上。我们能想象这些数据从那时起已经被下载了很多次吗?普华永道负责网络安全服务的合伙人Yan Borboën表示:“是的,很可能这些数据已经被下载过很多次了,直到今天仍然如此。我们从之前的案例中知道这是可能的。”暗网上被盗数据存在真正的市场,就Xplain公司而言,这些数据显然会引起了许多人的兴趣——黑客、外国安全服务机构、网络安全公司……因此,许多存储副本已经在线和离线存在,下载到计算机、优盘或光盘、移动硬盘上。
数据一旦流出就很难监控 回到周日NCSC给出的信息,我们可以肯定地说数据不在暗网上吗?可以永久扫描吗?“我们的‘威胁情报’领域的专家团队确实可以监控暗网,”Yan Borboën继续说道。然而,考虑到暗网本身的功能,不可能确保这些搜索能够详尽地检测所有数据。事实上,数据有可能在访问受到严格限制的秘密暗网论坛上共享。
结论是:一旦数据被盗,其所有者就不再对其有任何控制权。
瑞士联邦正在危机处理 瑞士联邦危机工作人员已成立,负责处理影响Xplain公司的网络攻击,联邦委员会希望在联邦数据被盗后采取行动。危机工作人员负责协调正在进行的工作,以管理针对Xplain的勒索软件攻击。
联邦公共事务部已启动诉讼程序。联邦数据保护专员还对联邦警察局和联邦海关办公室展开调查,有迹象表明可能存在严重违反数据保护规定的情况。
政府还决定验证并在必要时修改与联邦政府IT服务提供商的当前合同。如果遇到网络攻击,联邦必须能够迅速做出反应。联邦服务提供商必须确保遵守针对网络攻击的保护标准。
5月中旬,一个被盗的数据库出现在暗网上,内容是《瑞士评论》(Swiss Review)订阅者信息的外部下载链接。这是一份联邦政府杂志,可以让国外的瑞士公民了解本国的最新动态。
这个数据库很全面,它包含超过42.5万个地址,其中40%是邮政地址,60%是电子邮件地址。任何在瑞士注册为海外公民的人都会自动通过电子邮件或邮寄方式收到《瑞士评论》。据外交部称,80万海外瑞士人中只有33万没有选择接受《瑞士评论》——其中包括讲意大利语的瑞士人。
瑞士外交部在处理这些地址时遵守所有数据保护规则,因为这些数据不是自愿提交的,它来自瑞士驻外领事馆。
任何在瑞士注销身份登记的人都有义务向相关瑞士代表处申报其在国外的居住地。这创造了《瑞士评论》的订户基础。
任何人都不能访问 瑞士政府认为这些数据非常敏感,甚至连《瑞士评论》的出版商SwissCommunity都无法获得这些数据。
但是,现在正是这些数据库可以在暗网中找到——或者至少是其中的一部分,具体情况尚不清楚。暗网是互联网中普通计算机用户无法访问的部分。
“联邦外交部不知道实际上有多少数据被窃取。”外交部写道。
联邦数据保护和信息专员阿德里安·洛比格(Adrian Lobsiger)表示:“非自愿收集的数据以这种方式公开,这一事实令人非常遗憾。”他正在呼吁让受影响的人得到通知。
已经提交了一份刑事投诉,网络安全专家正在进行调查。
网络攻击的副产品 但是,这怎么可能发生呢?简单地说,海外瑞士人的425000个地址是对两家瑞士出版社(NZZ出版集团和CH Media)进行勒索攻击的副产品。这两家出版社的数字基础设施是相互联网的。
对这次攻击负责的犯罪组织自称“Play”。这是一个活跃于国际舞台的黑客组织,据说与俄罗斯有联系。2023年5月3日,“Play”在暗网上公布了从瑞士出版集团CH Media窃取的大量数据。
公布窃取的数据是勒索扑克游戏的一部分,这在黑客所谓的勒索软件攻击中很常见。他们的做法冷酷而奸诈。
首先,犯罪分子侵入公司的IT系统。然后他们经常加密受害者的数据。与此同时,他们威胁要公布敏感数据。如果被勒索的公司拒绝支付赎金,数据记录就会发布在暗网上。
受攻击的公司表示,他们尚未支付赎金。
NZZ和CH Media数字生态系统遭受的攻击发生在3月底。据编辑部主任马克·莱托(Marc Lettau)称,《瑞士评论》编辑部也因编辑系统中断而受到了此次攻击的影响。《瑞士评论》也通过其IT基础设施与受到攻击的环境相连。
2023年5月3日,即“Play”公布被盗数据的当天,CH Media通知其IT客户。合作伙伴公司了解到客户数据也受到了影响。此消息也被发送至《瑞士评论》。
到5月中旬,很明显,这些数据包括《瑞士评论》订阅者的详细地址信息。每年六次,当该杂志印刷时,瑞士外交部会将这些数据发送给负责发送《瑞士评论》的印刷公司。
工作流程中的数据保护? 此工作流程中是否有数据保护措施?外交部的回应是:“发送是通过加密的政府文件传输进行的。该流量没有受到影响,没有被黑客攻击,也不是数据被盗的对象。根据政府的数据保护规定,这些数据必须以加密的形式存储在印刷公司。”
目前尚不清楚相关数据库最终是否经过加密。CH Media写道:“我们不对个别客户关系发表评论。”
针对瑞士公司的勒索攻击 外交部上周才发表声明,即在泄密事件发生六周后。其中的核心要点是:除了地址之外,印刷公司不掌握任何个人数据。
显然,外交部几周来一直在努力做出正确的评估和正确的沟通。但专家们确信:“错误不在于政府,”《Inside-IT》杂志主编雷托·沃格特(Reto Vogt)表示。他说,政府以其对数据保护的敏感态度而闻名。“这一特殊案例可能只是运气不好。”
电子投票面临风险? 然而,这次攻击有可能引发有关瑞士电子投票系统的安全争论,该系统于2023年重新推出。新系统的首次试用伴随着瑞士发生的几起网络攻击,引起了人们的关注。
除了勒索出版商之外,“Play”还对瑞士IT公司Xplain发起了一次惊人的攻击。该公司为瑞士司法和警察当局提供软件。
这次勒索软件攻击也导致了敏感数据的发布。受影响的包括军队、联邦海关和边境安全局以及联邦警察。调查仍在进行中,损坏程度尚无法确定。
六月初,另一个黑客团体使瑞士重要网站瘫痪。这次袭击是由亲俄组织NoName发起的,是对乌克兰总统泽连斯基在瑞士议会的视频演示的回应。
许多州的网站以及联邦政府和瑞士证券交易所的网站都受到了攻击。这些攻击的原理是不同的。它们被称为DDoS攻击,包括精心策划的大规模调用流量访问网站,使其不堪重负,导致网站暂时瘫痪。
无论勒索软件攻击和DDoS攻击都与电子投票技术没有直接关系。然而,如果此类攻击频繁发生,就会产生后果。IT企业家格吕特(Franz Grüter)表示:“即使这一事件与电子投票系统没有直接联系,随着每一次额外的网络事件的发生,人们对国家IT系统安全性的信心也会下降。”
“可疑的安全思维” 对于格吕特来说,这些事件“让人们对政府的安全思维产生了怀疑”。格吕特是议会的人民党议员,对电子投票持怀疑态度。他认为这次事件很严重,并指出,在选举年,可购买的包含所有海外瑞士人地址的数据集特别有价值。“有人可以利用它来进行非常有针对性的选举广告。”
瑞士外交部写道,它“不知道这些数据目前是否在暗网上被提供”。
又是新的一天,另一个新的勒索软件团伙出现了:在暗网的俄语角落里发现的最新威胁行为者称为“CryptNet”。
ZeroFox公司的网络安全侦探在暗网论坛RAMP上发现了这一情况,一个名为“shrinbaba”的威胁行为者在暗网论坛里发布了新的勒索软件即服务(RaaS)的“广告”。
ZeroFox说:“CryptNet被宣传为具有快速且完全不显眼的各种特性和功能,例如删除卷影副本和禁用备份服务的能力,以及无需互联网连接即可离线加密,和一个用于谈判的聊天面板。”
“shrinbaba”发布的广告帖子称:
CryptNet勒索软件正在寻找有域渗透经验的熟练渗透测试人员
通过加入我们,你将拥有世界上最快的勒索软件。您还将拥有
1.完全无法检测的勒索软件
2.独特的离线加密
3.使用AES和RSA的间歇性加密(世界上最快的加密方式)
4.删除影子副本
5.禁用备份服务
6.关于你的客户的统计数据
7.用于谈判的聊天面板
加入我们团队的好处
我们没有国家限制。
你将在每笔付款中获得90%的利润。
你将得到谈判的支持
“shrinbaba”在该帖子下留下了自己的Tox号码。
ZeroFox认为,CryptNet已经取得了几个勒索软件的攻击进展,上个月底确认了两名受害者。
勒索软件是一种恶意软件,被互联网犯罪分子用来渗透和勒索目标公司,然后向这些公司收取“费用”,以换取他们返回数据并保守秘密。
在这种情况下,CryptNet向在成功攻击中使用其闪亮的新非法勒索软件的任何人提供90%的分成。这表明,该技术背后的人类操作员可能属于网络犯罪分子的“超级聪明”类别,他们乐于设计这些工具,并让其他人利用它们来勒索组织。
ZeroFox表示:“这是RaaS市场中附属机构可以获得的最高分成份额之一,附属机构通常从大多数勒索软件团伙那里只能获得60-80%的份额,”并补充说CryptNet声称它还将在赎金谈判期间提供支持。
它补充说:“虽然原始帖子表示对可以作为目标的国家没有限制,但在另一位论坛成员的质疑后,这一说法随后从原始帖子中删除。”
ZeroFox认为,这种说法很可能已被编辑掉了,因为它暗示俄罗斯也可以成为使用CryptNet勒索软件的目标——这通常是讲俄语的团伙中的一大禁忌,因为他们的非法活动只要不攻击祖国,就可以在这个被抛弃的超级国家中享有实际上的豁免。
该威胁行为者“shrinbaba”还在另外一个帖子里决定出售一个名为“Stealer”的源代码,出售的原因是他正在做另一个项目。“shrinbaba”称:
Stealer完全从头开始重写。用C++写在.NET上,不依赖.NET版本。在v143工具集下构建,没有CRT,本地x86可执行。可执行文件重量:230kb(UPX下约100kb)。
在操作系统Windows 7 – Windows 11(Windows Server 2008 R2 – Windows Server 2022的服务器版本)上运行,位深并不重要。
通过它自己的协议在TCP上与套接字上的服务器工作。所有的信息都是通过服务器生成的每台机器的唯一密钥,以加密的形式传送到服务器和从服务器传送出来。
分发模式是对一个时间段的订阅。订阅结束后——仍然可以使用搜索日志、下载日志和查看统计数据,其他的都关闭了。
韩国警方已将暗网追踪、虚拟资产分析和DDoS攻击列为警方必须紧急解决的“网络恐怖主义调查的三大核心任务”。
虚拟资产越来越受欢迎,因此暗网成为犯罪的匿名支付手段。
为此,韩国警察厅称,已决定成立一个应对网络犯罪平台的工作组,三个分部门将开展三项主要任务,并已决定成立并运营TF网络犯罪平台应对特别工作组(Special Task Force),研发整治暗网、虚拟货币分析、DDoS(Distributed Denial-of-Service,分布式拒绝服务)攻击等的策略和技术手段。。
这支部队将致力于研究响应技术和调查网络恐怖主义追踪技术。TF由“三部分”组成,主题如下:
暗网追踪 加密货币分析 DDoS攻击监控 它将用于研究响应技术和调查技术,以追踪网络恐怖袭击的核心。
韩国警方解释说,这项技术作为一种匿名网络和支付手段,对未来的安全构成重大威胁,因为它被滥用于网络恐怖主义犯罪和网络犯罪分子的一般犯罪活动中。
据韩国警方透露,暗网网址已由2018年的9.24万个增至去年的76万个。暗网隐藏用户IP地址,常被用于毒品交易,亦被用于儿童性剥削制品的交易。警方表示,追踪上述网络犯罪需要相当高水准的专业知识、技术。
暗网是一个在线空间,只能通过安装特定程序作为匿名网络服务来访问。它具有不暴露服务器IP地址和访问者的特点。为此,由于勒索软件、贩毒、儿童性剥削和非法拍摄等恶意程序的传播,全球用户数量持续增加。
虚拟资产已成为暗网匿名支付的重要货币。他们被滥用于买卖各种非法车辆或收取勒索软件等犯罪所得的款项。DDoS攻击通过同时向多个系统发送大量数据来中断网站与网络服务。
据韩联社报导,该工作组由具备IT相关专业的1名调查官和多名警官组成,调查官从科学技术情报通信部和韩国信息技术研究院合办的信息技术集中教育的课程学员中,选拔曾任职于民间网络安全企业的优秀警官。
该工作组将与美国联邦调查局(FBI)、韩国互联网振兴院等国内外执法机构、网络安全研究机构建立合作关系。
在前几天发布的一份声明中,欧洲刑警组织表示,在一项由欧洲刑警组织协调并涉及9个国家的行动中,执法部门查获了非法暗网市场“Monopoly市场”,缴获了超过5080万欧元(5340万美元)的现金和虚拟货币、850公斤毒品和117支枪支。查获的毒品包括超过258公斤的苯丙胺、43公斤的可卡因、43公斤的摇头丸和超过10公斤的LSD和摇头丸。
这项代号为SpecTor的行动由奥地利、法国、德国、荷兰、波兰、巴西、英国、美国和瑞士的一系列独立的互补行动组成。
情报包作为调查的基础 欧洲刑警组织表示,它一直在根据德国当局提供的大量证据编制情报包,德国当局于2021年12月成功查获了该市场的犯罪基础设施。这些目标包是通过交叉匹配和分析收集到的数据和证据而创建的,作为基础进行了数百次国家调查。
由于警方针对“Monopoly市场”采取的行动而被捕的供应商也活跃于其他非法市场,进一步阻碍了暗网上的毒品和非法商品交易。结果,在欧洲、美国和巴西各地逮捕了288名从事数以万计的非法商品销售的供应商和买家。其中一些嫌疑人被欧洲警察组织视为高价值目标。
逮捕发生在美国(153人)、英国(55人)、德国(52人)、荷兰(10人)、奥地利(9人)、法国(5人)、瑞士(2人)、波兰(1人)和巴西(1人)。
一些旨在查明暗网账户背后其他人的调查仍在进行中。随着执法当局获得供应商广泛的买家名单,全球数以千计的客户现在也面临被起诉的风险。
暗网上的非法市场 在此协调SpecTor行动之前,德国和美国当局还于2022年4月关闭了“Hydra市场”,这是收入最高的暗网市场,估计收入为12.3亿欧元。在针对“Hydra市场”的捣毁行动中,德国当局缴获了2300万欧元的加密货币。
就逮捕人数而言,该行动甚至比之前代号为DisrupTor(2020年)的行动更成功,逮捕人数为179人,Dark HunTor(2021年)为150人。这再次表明,警察当局之间的国际合作是打击暗网犯罪的关键。
欧洲刑警组织执行主任凯瑟琳·德博勒(Catherine DeBolle)在评论SpecTor行动时说:“我们跨越三大洲的执法机构联盟证明,当我们一起工作时,我们都做得更好。这次行动向暗网中的犯罪分子发出了一个强烈的信息:国际执法部门有办法和能力查明你的非法活动并追究他们的责任,即使是在暗网上也是如此。”
欧洲刑警组织的作用 欧洲刑警组织的欧洲网络犯罪调查中心促进了设在荷兰海牙的欧洲刑警组织总部主办的网络犯罪联合行动工作组(J-CAT)框架内促进了信息交流。在通过欧洲刑警组织的数据库交叉检查证据后,欧洲刑警组织的分析人员准备了目标包和交叉匹配报告,其中包含有价值的数据,以确定暗网的供应商。欧洲刑警组织还协调了国际执法行动。
欧洲刑警组织总部位于荷兰海牙,支持27个欧盟成员国打击恐怖主义、网络犯罪和其他严重的有组织犯罪形式。欧洲刑警组织还与许多非欧盟伙伴国家和国际组织合作。从各种威胁评估到情报收集和业务活动,欧洲刑警组织拥有在使欧洲更安全方面发挥作用所需的工具和资源。
根据欧洲刑警组织的说法,参加SpecTor行动的国家包括:
奥地利: 奥地利刑事情报局与各省刑警部门(Bundeskriminalamt und Landeskriminalämter)
法国: 法国海关(Douane)
德国: 联邦刑事警察局(Bundeskriminalamt),奥尔登堡中央刑事调查部(Zentrale Kriminalinspektion Oldenburg),法兰克福总检察院-网络犯罪中心(Generalstaatsanwaltschaft Frankfurt/Main, Zentralstelle zur Bekämpfung der Internetkriminalität),柏林警察局(Polizei Berlin),各警察部门(Dienstellen der Länderpolizeien),德国海关调查(Zollfahndungsämter)
荷兰: 国家警察(Politie)
波兰: 中央网络犯罪局(Centralne Biuro Zwalczania Cyberprzestępczości)
巴西: 皮奥伊州民警(Polícia Civil do Estado do Piauí),联邦区民警(Polícia Civil do Distrito Federal),国家公共安全秘书处-综合行动和情报局-网络行动实验室(Laboratório de Operações Cibernéticas da Diretoria de Operações Integradas e de Inteligência – Secretaria Nacional de Segurança Pública)
英国国家犯罪署(NCA)周三表示,在一项名为“饼干怪兽行动”(Operation Cookie Monster)的跨国打击行动中,一个深受网络犯罪分子欢迎的庞大暗网市场Genesis Market已经被国际执法机构查封。
周二晚些时候,“暗网下/AWX”访问暗网市场Genesis Market,发现其网站上张贴了熟悉的图片横幅,称属于该组织的域名已被联邦调查局查封,上面写着:“Operation Cookie Monster。该网站已被查封。”访问Genesis网站的任何人都会看到查封的详细消息,其他欧洲国家、加拿大和澳大利亚警察组织的标志以及网络安全公司Qintel的标志也出现在该图片横幅中。
“我们评估认为,Genesis是世界上任何地方最重要的暗网市场之一。”NCA网络威胁情报领导总干事Rob Jones说。
NCA估计,该暗网服务托管了从超过200万人那里窃取的大约8000万份凭证和数字指纹。
美国财政部在一份宣布对该市场实施制裁的声明中称其为“窃取凭证和其他敏感信息的最著名经纪人之一”。
英国当局表示,有17个国家参与了这项由联邦调查局和荷兰国家警察领导的行动,在全球范围内进行了200次搜查,逮捕了120人,并成功进行了近100件“预防活动”。美国财政部称,据信暗网市场Genesis Market的管理员在俄罗斯运营该网站。
英国网络安全公司Searchlight Cyber的分析师Louise Ferrett表示,Genesis专门销售数字产品,尤其是从感染恶意软件的计算机中收集的“浏览器指纹”。
她说,由于这些指纹通常包括凭证、cookie、互联网协议地址和其他浏览器或操作系统的详细信息,因此犯罪分子可以利用它们绕过反欺诈解决方案,例如多因素身份验证或设备指纹识别。
NCA表示,Genesis的销售凭证价格从70美分到数百美元不等,具体取决于可用的被盗数据。
NCA网络情报负责人Will Lyne表示:“要访问并在这个暗网网站活动,你只需要了解该网站,就可能获得邀请,考虑到用户数量,这可能不会特别困难。”“一旦你成为用户,就很容易……进行犯罪活动。”
NCA表示,参与调查的国家包括澳大利亚、加拿大、丹麦、爱沙尼亚、芬兰、法国、美国、英国、德国、冰岛、意大利、新西兰、波兰、罗马尼亚、西班牙、瑞典和瑞士。
暗网市场Genesis Market Genesis Market在开放网络上运行,而不仅仅是暗网。它成立于2017年,以其用户友好的英语界面而著称,该网站自2018年以来一直活跃。
它是一个一站式的登录数据商店,可以进行在线欺诈。用户可以购买登录信息,包括密码和受害者“数字指纹”的其他部分,例如他们的浏览器历史记录、cookie、自动填写表格数据、IP地址和位置。
这使得欺诈者可以登录银行、电子邮件和购物账户,重新定向交付,甚至更改密码而不会引起怀疑。
出售的登录信息包括Facebook、PayPal、Netflix、Amazon、eBay、Uber和Airbnb帐户的密码。如果密码发生变化,购买信息的犯罪分子甚至会收到Genesis的通知。
Genesis为其客户提供了一个特制的浏览器,该浏览器将使用窃取的数据来模仿受害者的计算机,这样看起来就好像他们是在他们通常的位置使用他们的常用设备访问他们的帐户一样。因此,该访问没有触发任何安全警报。
“这是一个非常复杂的网站,非常易于使用,有一个wiki[可以由用户修改或贡献的网站]告诉你如何使用它,并且可以在开放网络和暗网上访问。”Jones先生说.
“因此,你不需要成为一个复杂的网络行为者来进入这个领域。你只需要能够使用搜索引擎,然后你就可以开始犯罪。”
根据可用数据量的不同,受害者的信息售价不到1美元,或数百美元。
虽然Genesis用户主要是出于欺诈目的访问它,但出售的数据也可用于勒索软件攻击——黑客阻止对数据的访问并要求付费才能发布数据。
导致游戏巨头ElectronicArts(EA)在2021年遭到黑客攻击的个人数据仅售10美元。
企业的信息也在该网站上被出售,这为欺诈、手机号码黑客和勒索软件攻击提供了便利。
NCA网络情报主管Will Lyne表示,Genesis是“欺诈的巨大推动者”,也是购买登录信息最重要的市场之一。
NCA认为,数以万计的犯罪分子一直在使用Genesis,在英国有几百个用户。然后全球约有200万受害者,其中英国有数万人。
许多受害者在看到自己账户上的欺诈性交易时首先意识到事情不对劲,或者如果他们幸运的话,他们收到一条消息说有人以他们的身份登录。
他们可以按国家/地区搜索潜在受害者,并在他们进行购买之前查看有哪些数据。
避免成为该类市场的受害者 建议希望避免欺诈的互联网用户保持他们的电脑和手机操作系统的更新,使用双因素认证(2FA)和强密码,如涉及三个随机英文单词的密码。
人们可以通过访问https://www.politie.nl/checkyourhack来检查他们是否是受害者。
德国调查人员成功地打击了暗网上最大的洗钱服务之一。正如德国联邦刑事警察局(BKA)周三宣布的那样,他们与美因河畔法兰克福的总检察长办公室一起查封了“Chipmixer”平台设在德国的四台服务器,查获了约7TB的数据,以及目前价值相当于约4400万欧元的比特币(约1909.4个比特币)。
对于调查人员来说,这是一个巨大的成功:“暗网下/AWX”发现,这是迄今为止BKA查获的加密货币资产数量最多的一次。
加密货币混合器Chipmixer ChipMixer是一家成立于2017年年中的无牌加密货币混合器,专门从事与虚拟货币资产相关的混合或切割服务。ChipMixer软件阻断了资金的区块链踪迹,使其对希望清洗贩毒、武器贩运、勒索软件攻击和支付卡欺诈等犯罪活动的非法所得的网络犯罪分子具有吸引力。存入的资金将变成“chips”(具有同等价值的小代币),然后将它们混合在一起——从而匿名化所有初始资金来源的踪迹。
ChipMixer是一项在明网和暗网上都可用的服务,为他们的客户提供完全匿名的服务。这种类型的服务通常在犯罪分子将清洗过的加密货币资产转到加密货币交易所之前使用,其中一些交易所也为有组织的犯罪活动服务。在清洗流程结束时,“清理过”的加密货币可以轻松地兑换成其他加密货币,或通过ATM或银行账户直接兑换成法定货币。
Chipmixer是这样工作的:存入的加密货币资产被分成统一的小数额——所谓的“chips”。然后将这些筹码混在一起以掩盖资金的来源。因为比特币、以太坊和大多数其他公共区块链是透明的,所以这种形式的“隐私”很难实现。通过这种方式,Chipmixer向其客户保证完全匿名。
暗网市场Hydra Market的收益与倒闭的交易所FTX的被盗资金都在Chipmixer的“客户”之列 BKA估计,自2017年以来,Chipmixer已经清洗了大约15.2万个比特币或27.3亿欧元的加密货币资产,其中很大一部分与暗网市场、勒索软件集团、非法商品贩运、儿童性剥削材料的采购以及被盗的加密资产有关。
除其他事项外,调查人员正在调查来自资不抵债的美国加密货币交易所FTX被盗的部分加密货币是否也在这里被清洗的嫌疑。FTX在去年11月申请破产,这在加密货币市场引起了巨大的冲击波。
警方已经发现暗网平台“Hydra Market”通过Chipmixer清洗了价值数百万欧元的交易,BKA于2022年4月关闭了这个贩卖毒品、被盗数据或伪造文件的非法暗网市场。Zeppelin、Suncrypt、Mamba、Dharma或Lockbit等勒索软件参与者也使用Chipmixer的服务洗钱他们收到的赎金。
加密货币混合器建立匿名性 加密货币混合器的服务本身并不违法。通过混合许多用户的加密货币来掩饰资金的来源和所有权,混合器创造了匿名性,一种“金融隐私”,这对于生活在压制政权下的人们来说也很重要。
但是,BKA通常警告不要使用加密货币混合器,因为这些服务可能会支持洗钱者。用户更应该依赖遵守洗钱规定的经批准的加密货币交易所。
犯罪分子对混合器特别感兴趣,因为他们可以利用混合器来掩盖持有黑客和欺诈行为所得资金的加密货币钱包与用于兑换法定货币的钱包之间的联系。通过这种方式,他们可以避免触发洗钱警告。
美国当局正在严厉打击 据Chainalysis的密码取证专家的说法,2022年通过混合器的78亿美元中,有近四分之一用于非法用途。一段时间以来,美国当局尤其关注这些服务。
2022年5月,美国财政部外国资产控制办公室(OFAC)对加密混合器Blender.io实施制裁,随后于8月对以太坊混合器TornadoCash实施制裁。两者都与朝鲜黑客有关,据美国联邦调查局称,朝鲜黑客实施了多次加密货币黑客攻击。此后,这两个混合器的使用被禁止,并被起诉。
早在2021年,美国司法部(DoJ)逮捕了Bitcoin Fog的运营商,并指控他犯有洗钱等罪名。比特币混合器Helix的运营商承认了洗钱阴谋,并同意被没收4400多个比特币。
BKA希望进一步调查追踪 在调查Chipmixer期间,BKA、司法部、联邦调查局、国土安全部和欧洲刑警组织之间也进行了密切的交流。
显然,德国没有逮捕任何人。然而,所谓的主要嫌疑人被联邦调查局查明并列入通缉名单,并悬赏了他的人头。德国联邦刑事警察局现在希望使用没收的数据集来制定进一步的调查方法,以推进对网络犯罪进一步的调查。
欧洲刑警组织促进了国家当局之间的信息交流,并支持行动的协调。欧洲刑警组织还提供分析支持,将现有数据与欧盟内外的各种刑事案件联系起来,并通过运营分析、加密追踪和取证分析支持调查。欧洲刑警组织的联合网络犯罪行动特别工作组(J-CAT)也支持该行动。这个常设行动小组由来自不同国家的网络犯罪联络官组成,他们从事高知名度的网络犯罪调查。
涉及的国家主管部门 比利时:联邦警察
德国:联邦刑事警察局和法兰克福总检察长办公室
波兰:中央网络犯罪局
瑞士:苏黎世州警察局
美国:联邦调查局、国土安全调查局、司法部
加拿大最大的电信供应商之一Telus正在调查其系统可能遭到的重大破坏,此前一名黑客在暗网论坛上发布了样本,该人声称这些样本是来自该公司的敏感数据。
泄露的数据包括对手声称的员工工资记录样本、该电信公司私有GitHub存储库的源代码以及其他信息。
据报道,在BreachForums上的一篇帖子中,自称为“Seize”的威胁行为者出售一个电子邮件数据库,声称包含Telus每位员工的电子邮件地址。该数据库的价格为7000美元。另一个数据库据称包含电信公司高层管理人员(包括其总裁)的工资单信息,售价为6000美元。
该威胁行为者还以50000美元的价格出售了一个数据集,该人声称该数据集包含属于Telus的1000多个私人GitHub存储库。可供出售的源代码显然包含一个API,该API允许恶意行为者进行SIM卡交换——在这个过程中,攻击者通过将号码转移到自己的SIM卡上来劫持另一个人的手机。
一次完全的泄露? “这是一次完全的泄露,”被指控的黑客在BreachForums的帖子中写道。“您将收到与Telus相关的所有内容”,包括完整的子域列表和活动站点的屏幕截图,该帖子继续说道。目前尚不清楚所谓的攻击者似乎拥有的任何数据是否真实或是否如所声称的那样属于Telus。
Telus发言人Richard Gilhooley称:“我们正在调查有关少量与Telus内部源代码相关的数据和选定的Telus团队成员的信息出现在暗网上的说法。”“我们可以确认,到目前为止,我们在得知该事件后立即展开的调查尚未发现任何公司或零售客户数据。”
暗网是指需要特定浏览器和其他配置才能访问的互联网子集。这个似乎不太受欢迎的网络不仅仅用于非法活动,而且通常被希望逃避监视或执法工作的个人使用。
针对电信运营商的网络攻击越来越多 如果Telus的漏洞如威胁行为者所声称的那样发生,这将是最近针对电信公司的一系列攻击中的最新一起。就在今年年初,攻击者已经攻破了多家大型电信公司,包括澳大利亚最大的三家公司:Optus、Telestra和Dialog。本月早些时候,SentinelOne的研究人员报告称,他们观察到一个以前未知的不良行为者针对中东地区的电信公司,似乎是一场网络间谍活动。
就在上个月,另一家运营商T-Mobile US承认了一起数据泄露事件,其中有人滥用API下载了属于3700万用户的个人信息。这是该网络运营商在五年内发生的第六次安全事故。
分析师认为有几个因素正在推动这一趋势。例如,用于多因素身份验证(MFA)的移动设备的广泛使用和不断增长,使电信公司及其网络成为目标。希望访问在线账户的出于经济动机的网络犯罪分子也开始越来越多地以电信提供商为目标,进行所谓的SIM交换攻击,以劫持手机并拦截用于双因素身份验证的SMS授权。
另一个使电信公司成为重要目标的因素——一个长期存在的因素——是它们为对监视感兴趣的人提供了机会。近年来发生了多起事件,伊朗、土耳其等国家支持的威胁行为者闯入电信网络,窃取通话数据记录以监控目标个人和团体的对话。
针对加拿大零售商的网络攻击越来越多 数据泄露已成为企业和公共部门领域的一个常见特征,近几个月来加拿大零售商遭受的网络攻击越来越多。
2020年,Telsus旗下的另一家公司Medisys Health Group成为勒索软件攻击的受害者,骗子在攻击中窃取了属于约6万名客户的个人信息。
该事件影响了该公司约5%的客户,其中包括姓名、联系信息、省级健康号码和测试结果。该公司当时说,财务信息和社会保险号码没有在这次攻击中被盗。
在Telus再次发起调查之际,连锁书店Indigo证实其在2月8日遭到勒索软件攻击,该攻击泄露了一些前任和现任员工的信息。
加拿大第二大连锁超市Sobeys的母公司Empire Co. Ltd.去年11月遭遇安全漏洞。该事件导致其连锁药店四天内无法配药,而自助结账机、礼品卡使用和忠诚度积分兑换等其他店内功能则关闭了大约一周。
这是一个被抛弃的五个孩子的母亲因试图通过暗网雇用一名杀手杀死一名拒绝她的求爱的前情人(工厂同事)而被捕的故事。
43岁的海伦·休利特(Helen Hewlett)在短暂的欢快后,感情发生了变质,被判教唆谋杀50岁的保罗·贝尔顿(Paul Belton)。
来自英国诺福克郡金斯林的休利特向一个名为”在线杀手市场“(Online Killers Market)的网站支付了价值超过20000英镑的比特币,试图让贝尔顿先生被谋杀,她说她想让这看起来像一场意外。
她否认教唆谋杀,但陪审团在11天的审判后,经过两天的审议,一致认定她有罪。
这位已婚的五个孩子的母亲被还押候审,直到4月5日宣判,法官凯瑟·琳摩尔(Katharine Moore)警告说,她“必须做好接受监禁判决的准备”。
他们还认为她的跟踪造成恐慌或痛苦的罪名不成立,但对较轻的跟踪指控成立。
在暗网网站“Online Killers Market”中有纵火袭击、殴打和毒杀的价格表
检察官说,这位已婚的五个孩子的母亲使用名为Tor的浏览器搜索暗网,并找到了据称提供杀手的网站“在线杀手市场”(Online Killers Market)。
这个在线暗网网站吹嘘自己是“头号杀手市场”,其名单上有数百名来自黑帮或退役军人的杀手。
它甚至提供了一份以美元为单位的价目表,详细说明一次狙击手射击的费用在20,000美元到60,000美元之间,一次纵火袭击的费用高达20,000美元,或者一次简单的殴打仅需2,000美元。
该网站还声称它可以安排因无法检测到的毒药甚至蛇咬伤而死亡,并表示它的“工作完成率是100%”。
它承诺在向所谓的”托管中间账户“支付费用后启动杀手,并表示在证明已经进行了攻击后,在客户授权之前,它不会真正拿走这笔钱。
在与一个名为“Marksman”的用户名交换消息后,休利特安排将价值超过20,000英镑的比特币存入与该网站相关联的所谓托管中间账户。
然而,诺里奇皇家法院称,该网站似乎是一个“绝对的骗局”,旨在从想要杀人的人那里诈骗钱财,并且休利特支付的加密货币已进入罗马尼亚的一个账户。
法院获悉,警方将她的比特币支付与她下达“英国诺福克工作”订单的网站联系起来,并称:“需要有人在诺福克被杀——重要的是它看起来要像一场事故。”
在审判期间,陪审员们被告知休利特和贝尔顿先生在诺福克郡法肯纳姆的琳达·麦卡特尼素食食品厂工作时是如何互相调情的。
两人曾在工厂停车场的她的车里有过一次短暂的性接触,据说同样已婚并有孩子的贝尔顿先生立即后悔了。
法庭听说了她是如何“完全迷恋”他的,并反复给他发电子邮件请求再次见到他,以及她自己的裸照,但他拒绝了她与他建立关系的尝试。
贝尔顿先生被解雇,在法肯汉姆(Fakenham)的金纳顿(Kinnerton)糖果厂找到了一份新工作,该工厂为乐购(Tesco)供应巧克力产品,但她为了追求他,也在那里找了一份工作。
她称他为“胆小鬼”,因为他不想和她说话,并在Facebook上发表评论,称他“要被射中屁股”。
休利特于2021年8月辞去了她在金纳顿的“坚果”部门担任调音师的工作,她说她辞职是因为受到贝尔顿先生的欺凌和他对女性的性骚扰。
在贝尔顿先生向他们展示她发给他的电子邮件后,管理层以“恶意”为由拒绝了她的说法。
休利特还涉嫌于去年4月向乐购公司提出了匿名举报,声称贝尔顿先生曾对同性恋者进行污蔑。
该公司的老板怀疑是休利特提出了投诉,并在建议贝尔顿先生去警察局报告他受到骚扰后驳回了投诉。
法庭听取了调查显示,休利特在去年1月设立了一个Coinbase账户来购买加密货币。
她通过35笔交易将22601英镑从她当前的银行账户转入其中,其中包括现金支付、使用储蓄、透支以及从苏格兰皇家银行提取的7000英镑和5000英镑贷款。
在发布订单之前,她将价值20547英镑的比特币存入一个与该网站相关联的所谓托管中间账户。
检察官说,她使用名为Tor的浏览器搜索暗网,发现了声称提供杀手的网站”在线杀手市场“(Online Killers Market)。
她在一个论坛上以用户名“Horses5”发布了一条消息,称:“需要有人在诺福克被杀——至关重要的是它看起来像一场事故”,然后与名为“Marksman”的网站成员交换了消息。
在警方追踪的命令中,休利特提供了包括贝尔顿先生的姓名、家庭住址、工作地址和一张他的照片。
在审判期间,法庭听到这位已婚的五个孩子的母亲在接受警方采访时承认,她进入暗网寻求“报复”,但否认她打算杀死她的前同事。
在接受警方采访时,休利特坚称她并不打算继续杀人,而是在一个论坛上发帖“发泄”。
她说她仍然控制着托管账户中的资金,并且相信没有其他人可以访问,并补充说:“你必须同意,才能对某人下手。”
东部地区特别行动组的马克·斯特拉特福德警官向法庭表示,没有迹象表明网站上的账户是一个真正的托管账户。
马克·斯特拉特福德警官告诉法庭,该网站声称它可以提供杀手,向人们开枪或用汽车撞击他们,使其看起来是意外死亡。
斯特拉特福德先生说,该网站还声称它可以安排因无法检测到的毒药甚至蛇咬而死亡,并表示它的“工作完成率是100%”。
他补充说,它承诺在向一个所谓的托管中间账户支付费用后激活杀手,并表示在证明已经进行了一次攻击后,它不会真正拿走这笔钱,直到客户授权。
当各方都同意时,真正的托管账户会有一个多签名的钱包,在所有各方都同意的情况下授权付款。
诺里奇皇家法院获悉,该网站似乎是一个“绝对的骗局”,旨在从那些想要杀人的人那里骗取钱财,而休利特支付的加密货币已经存入了罗马尼亚的一个账户。
但检察官辩称,无论该网站是假的还是真实的,她都有谋杀他的意图。
休利特承认不知道她在网站上与用户名“Marksman”交流的人是否会继续这样做。
检察官马蒂·布莱尔(Marti Blair)说,在发布广告后,休利特搜索了有关致命道路事故的新闻报道,在金斯林(King’s Lynn)的一条沟渠中发现了一具尸体,以及在诺福克的霍尔坎姆(Holkham)海滩上发现有人死亡。
她于去年8月12日被捕,因为警方将向该网站支付的比特币与她联系起来,因为她从一个受监管的Coinbase账户支付了加密货币,该账户记录了她的姓名和个人资料。
休利特被捕后,在贝尔顿先生的家庭住址和电话号码上放置了一个标记,这意味着紧急呼叫将被视为“对生命的紧急威胁”,法庭获悉。
休利特在她被捕后向警方提供了她在网站上的登录详细信息,警方假装是她而取消了她的杀手订单,但从未拿回她所支付的任何比特币。
法庭听取了休利特早些时候如何被警方告知停止尝试联系贝尔顿先生,并在她涉嫌对他进行恶意举报后得到“建议的话”。
据说休利特无视警告,继续将钱存入她用来购买比特币的在线账户,以与杀害贝尔顿先生的杀手签订合同。
她没有在法庭上提供证据,但告诉警方,她并没有真正打算让他被杀。
休利特说:“我在论坛上发了一个帖子。最重要的是发泄并说出我的感受。这是很愚蠢的,而不是认真的。这是一种让我感觉更好的方式。”
她声称她相信贝尔顿先生不会受到伤害,直到她同意继续进行打击。
辩护律师马修·麦克尼夫(Matthew McNiff)将该网站描述为“绝对的骗局”,其声称提供杀手的说法是“明显的胡说八道”。
他说,她发的关于希望贝尔顿先生被杀的帖子是“她发泄的一种方式,让她觉得有人在倾听她的声音”。
但检察官马蒂·布莱尔(Marti Blair)表示,陪审员可能会认为该网站背后的人是“试图剥削绝望者的骗子”。
但她补充说:“我们不知道这是否是一个骗局,或者保罗·贝尔顿是否真的处于危险之中,可能是前者,但这可能是一个骗局的事实不应该影响她的意图是什么。”