据报道,在另一场震惊世界的网络攻击中,臭名昭著的黑客比约卡(Bjorka)突破了安全系统,泄露了数百万印度尼西亚公民的个人数据。
比约卡此前曾因泄露印度尼西亚各个平台个人用户信息(包括PeduliLindung、MyPertamina以及最近BPJS Ketenagakerjaan的1900万条记录)而成为头条新闻,现在涉嫌黑客攻击并在暗网中低价出售3400万份印度尼西亚护照数据。
比约卡表示,被泄露的护照数据包括姓名、护照号码、护照有效期、性别和护照签发日期。来自暗网的屏幕截图显示,用户名为Bjorka的比约卡,以1.5亿印尼盾(约合1万美元)的价格提供了3400万印尼护照数据的整个数据集。该文件的压缩版本和未压缩版本据称各约为4GB,总共有34,900,867个文件。
2023年7月5日星期三,印尼Ethical Hacker公司创始人、网络安全分析师Teguh Aprianto在其Twitter账户@secgron上分享了这一消息。
“3400万印尼护照数据被泄露并在暗网上出售,价格仅为1万美元,这些数据包括护照号码、全名、出生日期、性别、地址、电话号码、电子邮件、面部照片和签名。”Teguh写道。
截至2023年7月6日星期四,该推文获得了广泛关注,浏览量达260万次,评论达1974条,转发次数超过13000次。
推特用户@Mikae说:“这很可怕,不是吗?数据泄露已经发生了一段时间,但今天仍然在发生。我真的不知道如何解决这个问题。我们应该怎么办?”
推特用户@ngup*写道:“显然,Bjorka已经意识到印度尼西亚的数据是开放的,因此很便宜。”
用户@euri**问道:“一旦他们获得了数据,他们会用它来做什么?网贷?”
Teguh还将矛头指向了通信和信息部(Kemkominfo)和国家网络与加密局(BSSN RI)的官方推特账户,质疑他们对当前问题的回应。
他写了道:“@kemkominfo和@BSSN_RI一直在做什么?”
比约卡的博客Bjork.ai进一步展示了泄露的护照数据,黑客提供了100万份护照记录样本,供潜在买家验证数据的真实性。然而,Kemkominfo随后于2023年7月6日星期四封锁了样本数据的链接。
对此,网络安全专家、网络安全保护服务公司Vaksincom创始人Alfons Tanujaya对泄露数据的有效性和有限性发表了评论。
Alfons在2023年7月5日星期三接受Liputan6.com的Tekno采访时表示,由于存在由移民总局独家掌握的国民身份证识别码(NIKIM),泄露的数据可能是有效的。
“泄露的范围仍然有限,而且与之前泄露的数据相比,数据质量对犯罪分子的吸引力较小。”
泄露的数据与NIKIM号码、护照和护照持有人姓名的准确性和对应关系尚未得到移民总局的确认。Alfons强调移民当局需要进一步核实,他补充说:“移民局必须确认泄露的数据是否与NIKIM号码、护照和护照持有人姓名相符。”
尽管泄露的数据类型有限,但Alfons警告说,这些信息仍可用于识别个人身份。他承认,此次事件中最重要的数据泄露是NIKIM数据的泄露,而其他泄露的信息并不那么重要,并且之前已经被泄露过。
Alfons进一步解释说:“其他受影响的数据所有者,例如人口数据、全名和身份证号码(NIK; Nomor Induk Kependudukan)以及其他与人口相关的数据,其NIKIM数据和护照号码也被加入到泄漏的数据中。”
当被要求做出回应时,印度尼西亚法律和人权部(Kemenkumham)移民局局长西尔米·卡里姆(Silmy Karim)证实,正在对所谓的数据泄露事件进行调查。
Silmy Karim通过短信给Liputan6.com表示:“我们目前正在调查数据泄露事件的真实性。”
Silmy进一步透露,移民数据中心目前使用通信和信息部(Kominfo)的国家数据中心(PDN; Pusat Data Nasional)。他们正在与国家网络和加密机构(BSSN; Badan Siber dan Sandi Negara)和Kominfo合作调查此事。
Silmy在接受Kompas.com采访时说:“是的,我们正在与BSSN和Kominfo合作。”
据Kominfo官网介绍,PDN的发展是政府政策的一部分,包括《电子政府系统总统条例》第27条。
PDN为中央和地区政府机构提供各种服务,包括政府云计算、数据整合和合并。
至于正在进行的调查,Kominfo信息和公共传播总监乌斯曼·坎松(Usman Kansong)透露,PDN中的数据结构与流传的泄露数据存在差异。
乌斯曼上周三(7月5日)在给Kompas.com的一份声明中表示:“根据初步调查,国家数据中心的数据结构与流传的数据结构存在差异。”
乌斯曼表示,Kominfo目前正在制定法规,以防止未来的数据泄露。他说:“作为长期预防的一部分,我们正在根据2022年关于个人数据保护的第27号法律制定相关规定。”
他进一步提到,Kominfo正在起草政府条例(Peraturan Pemerintah/PP)和总统条例(Peraturan Presiden/Perpres)。政府条例预计将于2023年底发布,而总统条例则计划于2023年9月发布。
Usman补充说,除了发布法规外,Kominfo还将在印尼多个地点扩建国家数据中心(PDN)。他说:“我们将在4个地点建设国家数据中心,即勿加泗(Bekasi)、巴淡(Batam)、IKN和纳闽巴约(Labuan Bajo)。”
为了加强数据基础设施和网络安全措施,通信和信息部(Kominfo)启动了一项雄心勃勃的项目,在印度尼西亚多个地点建立首个政府所有的国家数据中心(PDN)。
由于印度尼西亚持续存在的数据泄露问题,迫切需要加强数据保护措施。Kominfo信息学应用总监Semuel Abrijani Pangerapan透露,2019年至2023年间,该部共处理了94起数据泄露案件。
值得注意的是,2023年数据泄露数量激增了75%,达到35起。截至2023年6月,Kominfo已处理15起数据泄露事件。
Semuel澄清,在处理的94起案件中,经过评估和取证调查,其中28起案件被确定为网络安全漏洞或系统漏洞,而不是违反个人数据保护的行为。
上周,Tor项目向众多Tor中继运营商宣布,正式推出”WebTunnel“。WebTunnel是一种适用于Tor生态系统的新型桥接式可插拔传输(PT),它是一个抗审查的代理,试图模仿HTTPS流量,基于HTTPT 21研究。Tor项目目前正在对WebTunnel进行试运行,并鼓励网桥运营商建立WebTunnel网桥,以发现这个新的可插拔传输的实施中的问题。
WebTunnel是如何工作的 连接到WebTunnel Bridge时,客户端通过加密连接向负载均衡器发送http 1.1升级请求,就像WebSocket的工作方式一样。因此,从观察者的角度来看,这个过程看起来就像是与真实网站的真实Websocket连接。如果有人尝试连接到前置网站,那么将呈现的将是该前置网站。如果没有完整的URL路径,就很难通过探测HTTPS端口来判断一个网站是否承载了WebTunnel。
技术要求 要设置WebTunnel桥接,用户需要一个自我托管的网站,一个能自主控制的域名,一个可配置的负载平衡器,静态IPv4,以及设置Tor Bridge的环境来建立一个WebTunnel桥接。建议使用Docker或其他容器运行时来简化设置过程,但这不是必需的。
设置指南可在此处获取:https://gitlab.torproject.org/tpo/anti-censorship/pluggable-transports/webtunnel#docker-setup
如何测试和报告问题 用户可以通过使用Tor浏览器最新的Alpha 3版本来测试WebTunnel桥接。目前,WebTunnel只通过HTTPS分发(torrc设置:’BridgeDistribution https’)。
用户可以在Tor项目的GitLab上报告问题:https://gitlab.torproject.org/tpo/anti-censorship/pluggable-transports/webtunnel
鉴于这个新的PT目前仅在Tor浏览器的Alpha版本上可用,中继运营商目前不应期望有大量的使用或大量的用户。
Tor项目称,如果用户在设置WebTunnel时遇到任何困难,请及时反馈给Tor项目。Tor项目感谢大家对Tor生态系统的贡献。
今年春天,与大多数瑞士安全服务机构合作的瑞士IT服务提供商Xplain公司遭到了黑客攻击。接下来发展成一种典型的勒索软件攻击模式:内部系统瘫痪、数据被盗、索要赎金,然后,由于Xplain公司拒绝付款,黑客在暗网上发布了泄露的信息。6月初,黑客只发布了六个压缩文件,其中包含数千份文档,主要为来自Fedpol和几个州警察局执行的众多IT项目的数据:合同、技术规范等,总计近3GB;然后到了6月中旬,似乎所有被盗的信息都被放到了网上,即907GB,这是一个巨大的数据量。现在,来自瑞士联邦的超敏感信息现在可以在暗网上找到,那些意图伤害瑞士的居心不良的人很容易获得这些信息。
值得注意的是,Xplain公司是瑞士许多警察部队和安全联盟的IT服务提供商,特别是与联邦警察局、Fedpol和海关管理局合作。Xplain公司遭到黑客攻击导致大量超敏感数据在暗网上发布,影响了瑞士的国家安全。
据称勒索软件团伙”Play“是此次Xplain数据泄露事件的幕后黑手,”Play“是一个相当新的与俄罗斯相关联勒索软件团伙,在2022年发动了多次引人注目的攻击。该团伙因在加密受害者数据后添加扩展名“.play”而得名,其勒索信中通常包含“PLAY”一词。
“暂时”无法下载 上周日,瑞士国家网络安全中心(NCSC)告诉Keystone-ATS机构,这些数据已从暗网上消失。也就是它们已从当初发布的页面上删除,NCSC无法解释这种突然失踪的原因。NCSC时指出,“勒索软件团伙”Play“黑客组织于6月14日在暗网上发布了这些数据,此后暂时无法下载。我们不知道原因。”
这是一个重要的澄清:根据NCSC的说法,这些被盗的数据总量高达907GB,只是“暂时”消失了。联邦服务部门没有提供有关此事件的任何进一步细节。提供数据下载的地址很可能不再有效,这也可能是由于联邦方面采取的技术行动造成的。但随后,黑客可能从另一个地址重新发布了被盗的信息,与当局开始了一场猫捉老鼠的游戏,而他们几乎不可能获胜。
曾经很容易下载 网络安全专家证实,泄露的联邦数据确实可以在暗网上获得。请记住,访问它并不是很复杂:您所需要的只是一个特殊的浏览器,最著名的是Tor浏览器,然后可以直接访问所需的地址或查阅目录。这需要一点经验和时间。黑客和对被盗数据感兴趣的人也会浏览暗网交流论坛,在那里交换下载信息的地址。
从Xplain公司窃取的联邦数据大约十天前被黑客放到了网上。我们能想象这些数据从那时起已经被下载了很多次吗?普华永道负责网络安全服务的合伙人Yan Borboën表示:“是的,很可能这些数据已经被下载过很多次了,直到今天仍然如此。我们从之前的案例中知道这是可能的。”暗网上被盗数据存在真正的市场,就Xplain公司而言,这些数据显然会引起了许多人的兴趣——黑客、外国安全服务机构、网络安全公司……因此,许多存储副本已经在线和离线存在,下载到计算机、优盘或光盘、移动硬盘上。
数据一旦流出就很难监控 回到周日NCSC给出的信息,我们可以肯定地说数据不在暗网上吗?可以永久扫描吗?“我们的‘威胁情报’领域的专家团队确实可以监控暗网,”Yan Borboën继续说道。然而,考虑到暗网本身的功能,不可能确保这些搜索能够详尽地检测所有数据。事实上,数据有可能在访问受到严格限制的秘密暗网论坛上共享。
结论是:一旦数据被盗,其所有者就不再对其有任何控制权。
瑞士联邦正在危机处理 瑞士联邦危机工作人员已成立,负责处理影响Xplain公司的网络攻击,联邦委员会希望在联邦数据被盗后采取行动。危机工作人员负责协调正在进行的工作,以管理针对Xplain的勒索软件攻击。
联邦公共事务部已启动诉讼程序。联邦数据保护专员还对联邦警察局和联邦海关办公室展开调查,有迹象表明可能存在严重违反数据保护规定的情况。
政府还决定验证并在必要时修改与联邦政府IT服务提供商的当前合同。如果遇到网络攻击,联邦必须能够迅速做出反应。联邦服务提供商必须确保遵守针对网络攻击的保护标准。
5月中旬,一个被盗的数据库出现在暗网上,内容是《瑞士评论》(Swiss Review)订阅者信息的外部下载链接。这是一份联邦政府杂志,可以让国外的瑞士公民了解本国的最新动态。
这个数据库很全面,它包含超过42.5万个地址,其中40%是邮政地址,60%是电子邮件地址。任何在瑞士注册为海外公民的人都会自动通过电子邮件或邮寄方式收到《瑞士评论》。据外交部称,80万海外瑞士人中只有33万没有选择接受《瑞士评论》——其中包括讲意大利语的瑞士人。
瑞士外交部在处理这些地址时遵守所有数据保护规则,因为这些数据不是自愿提交的,它来自瑞士驻外领事馆。
任何在瑞士注销身份登记的人都有义务向相关瑞士代表处申报其在国外的居住地。这创造了《瑞士评论》的订户基础。
任何人都不能访问 瑞士政府认为这些数据非常敏感,甚至连《瑞士评论》的出版商SwissCommunity都无法获得这些数据。
但是,现在正是这些数据库可以在暗网中找到——或者至少是其中的一部分,具体情况尚不清楚。暗网是互联网中普通计算机用户无法访问的部分。
“联邦外交部不知道实际上有多少数据被窃取。”外交部写道。
联邦数据保护和信息专员阿德里安·洛比格(Adrian Lobsiger)表示:“非自愿收集的数据以这种方式公开,这一事实令人非常遗憾。”他正在呼吁让受影响的人得到通知。
已经提交了一份刑事投诉,网络安全专家正在进行调查。
网络攻击的副产品 但是,这怎么可能发生呢?简单地说,海外瑞士人的425000个地址是对两家瑞士出版社(NZZ出版集团和CH Media)进行勒索攻击的副产品。这两家出版社的数字基础设施是相互联网的。
对这次攻击负责的犯罪组织自称“Play”。这是一个活跃于国际舞台的黑客组织,据说与俄罗斯有联系。2023年5月3日,“Play”在暗网上公布了从瑞士出版集团CH Media窃取的大量数据。
公布窃取的数据是勒索扑克游戏的一部分,这在黑客所谓的勒索软件攻击中很常见。他们的做法冷酷而奸诈。
首先,犯罪分子侵入公司的IT系统。然后他们经常加密受害者的数据。与此同时,他们威胁要公布敏感数据。如果被勒索的公司拒绝支付赎金,数据记录就会发布在暗网上。
受攻击的公司表示,他们尚未支付赎金。
NZZ和CH Media数字生态系统遭受的攻击发生在3月底。据编辑部主任马克·莱托(Marc Lettau)称,《瑞士评论》编辑部也因编辑系统中断而受到了此次攻击的影响。《瑞士评论》也通过其IT基础设施与受到攻击的环境相连。
2023年5月3日,即“Play”公布被盗数据的当天,CH Media通知其IT客户。合作伙伴公司了解到客户数据也受到了影响。此消息也被发送至《瑞士评论》。
到5月中旬,很明显,这些数据包括《瑞士评论》订阅者的详细地址信息。每年六次,当该杂志印刷时,瑞士外交部会将这些数据发送给负责发送《瑞士评论》的印刷公司。
工作流程中的数据保护? 此工作流程中是否有数据保护措施?外交部的回应是:“发送是通过加密的政府文件传输进行的。该流量没有受到影响,没有被黑客攻击,也不是数据被盗的对象。根据政府的数据保护规定,这些数据必须以加密的形式存储在印刷公司。”
目前尚不清楚相关数据库最终是否经过加密。CH Media写道:“我们不对个别客户关系发表评论。”
针对瑞士公司的勒索攻击 外交部上周才发表声明,即在泄密事件发生六周后。其中的核心要点是:除了地址之外,印刷公司不掌握任何个人数据。
显然,外交部几周来一直在努力做出正确的评估和正确的沟通。但专家们确信:“错误不在于政府,”《Inside-IT》杂志主编雷托·沃格特(Reto Vogt)表示。他说,政府以其对数据保护的敏感态度而闻名。“这一特殊案例可能只是运气不好。”
电子投票面临风险? 然而,这次攻击有可能引发有关瑞士电子投票系统的安全争论,该系统于2023年重新推出。新系统的首次试用伴随着瑞士发生的几起网络攻击,引起了人们的关注。
除了勒索出版商之外,“Play”还对瑞士IT公司Xplain发起了一次惊人的攻击。该公司为瑞士司法和警察当局提供软件。
这次勒索软件攻击也导致了敏感数据的发布。受影响的包括军队、联邦海关和边境安全局以及联邦警察。调查仍在进行中,损坏程度尚无法确定。
六月初,另一个黑客团体使瑞士重要网站瘫痪。这次袭击是由亲俄组织NoName发起的,是对乌克兰总统泽连斯基在瑞士议会的视频演示的回应。
许多州的网站以及联邦政府和瑞士证券交易所的网站都受到了攻击。这些攻击的原理是不同的。它们被称为DDoS攻击,包括精心策划的大规模调用流量访问网站,使其不堪重负,导致网站暂时瘫痪。
无论勒索软件攻击和DDoS攻击都与电子投票技术没有直接关系。然而,如果此类攻击频繁发生,就会产生后果。IT企业家格吕特(Franz Grüter)表示:“即使这一事件与电子投票系统没有直接联系,随着每一次额外的网络事件的发生,人们对国家IT系统安全性的信心也会下降。”
“可疑的安全思维” 对于格吕特来说,这些事件“让人们对政府的安全思维产生了怀疑”。格吕特是议会的人民党议员,对电子投票持怀疑态度。他认为这次事件很严重,并指出,在选举年,可购买的包含所有海外瑞士人地址的数据集特别有价值。“有人可以利用它来进行非常有针对性的选举广告。”
瑞士外交部写道,它“不知道这些数据目前是否在暗网上被提供”。
据报道,西门子能源公司(德国慕尼黑;www.siemens-energy.com)和施耐德电气公司(法国吕埃尔-马尔迈松;www.se.com)这两家关键基础设施行业的工业控制系统(ICS)供应商已被网络犯罪团伙CL0P列为勒索软件受害者,但是否有针对性的攻击尚未得到证实。
该勒索软件团伙(也称为TA505)从2023年5月27日开始利用MOVEit Transfer(一款面向互联网的自动文件传输Web应用程序)中的漏洞,据报道该团伙已经列出了全球数百家公司的名单。据威胁网络安全情报平台FalconFeeds6月27日在推文中称,CL0P勒索软件组织在其暗网泄密网站中将西门子能源、施耐德电气和其他一批实体列为新的受害者。
CL0P #ransomware group has added five new victims:
– https://t.co/b5TXXSO3oi
– Schneider Electric (https://t.co/icrsZ9CAwB)
– Siemens Energy (https://t.co/89TbkQ3YMn)
– UCLA (https://t.co/hoy9JuoHTT)
– Abbie (https://t.co/AtFS3GFSGi)#MOVEIT #Cl0p #DarkWeb #DeepWeb #CyberRisk pic.twitter.com/mTpLZdCzbW
— FalconFeedsio (@FalconFeedsio) June 27, 2023 西门子能源公司在一份声明称,它已了解这一预警,并将继续与政府合作伙伴和客户密切合作,以确定这些说法是否属实。“我们拥有一支世界一流的事件响应团队,我们还有一个ProductCERT组织,负责在发生漏洞或攻击事件时进行披露。”一位公司官员指出。
CL0P的阴险手段 CL0P因其使用特定的恶意软件感染MOVEit Transfer的Web应用程序的能力,然后使用该恶意软件从MOVEit Transfer底层数据库窃取数据,而受到美国联邦政府的审查。美国网络安全和基础设施安全局(CISA)和联邦调查局(FBI)在6月7日发布的联合网络安全咨询(CSA)中建议采取行动和缓解措施,以防范先前未知的结构化查询语言(SQL)注入漏洞(CVE-2023-34362)。
CISA表示:“CL0P出现于2019年2月,由CryptoMix勒索软件变体演变而来,在大规模鱼叉式网络钓鱼活动中被用作勒索软件即服务(RaaS),这些活动使用经过验证和数字签名的二进制文件来绕过系统防御。”。
CISA建议采取的防止或减轻影响的步骤包括,统计实体资产和数据清单、仅授予特定的管理权限,以及激活防火墙和路由器等网络基础设施设备上的安全配置。
此外,美国国务院根据正义悬赏的任务,于6月16日悬赏高达1000万美元,奖励那些将CL0P勒索软件团伙或任何其他针对美国关键基础设施的恶意网络行为者与外国政府联系起来的线索。
Advisory from @CISAgov, @FBI: https://t.co/jenKUZRZwt
Do you have info linking CL0P Ransomware Gang or any other malicious cyber actors targeting U.S. critical infrastructure to a foreign government?
美国司法部周五宣布对33岁的米洛米尔·德斯尼卡(Milomir Desnica)提出指控,他是克罗地亚和塞尔维亚公民。他被指控在2019年底在暗网里推出“Monopoly市场”,担任该暗网市场的管理员,并通过所有销售中赚取的佣金获利。
2022年7月,华盛顿的一个联邦大陪审团对德斯尼卡提出了两项指控,并要求没收他所指控的罪行的所有收益。他被指控串谋分销和持有并意图分销50克以上的甲基苯丙胺,以及洗钱罪。这些罪名最高可判处终身监禁和20年有期徒刑。
针对德斯尼卡的案件是联邦调查局华盛顿外地办事处的高科技阿片类药物特别工作组和德国奥尔登堡中央刑事调查组(Zentrale Kriminalinspektion Oldenburg)网络犯罪小组联合调查的结果,该调查确定并定位了德斯尼卡。2022年11月2日,奥地利当局根据临时逮捕令逮捕了他。警方搜查了他的住所和车辆,没收了电子设备和现金。
在德斯尼卡提出异议后,奥地利法院支持了美国的引渡请求,并于周五被引渡。预计嫌疑人将于周一在华盛顿特区联邦法院首次出庭,接受美国地方法院法官卡尔·尼科尔斯(Carl J. Nichols)的审讯。
美国司法部指控德斯尼卡审查和批准想要在”Monopoly市场“上出售毒品的个人的所有申请。检察官表示,所有供应商的申请都包括“他们想要销售的毒品的描述、库存的照片证明以及为通过’Monopoly市场‘完成销售后需支付佣金的协议”。
根据法庭文件,供应商通常同意与”Monopoly市场“运营者分享5%的收入。联邦调查局表示,”Monopoly市场“总共为供应商赚取了至少1800万美元的收入,这意味着该市场的运营者据称赚取了超过90万美元的佣金。
涉嫌在暗网经营”Monopoly市场“的男子被逮捕 ”Monopoly市场“是一个暗网市场,这意味着只能通过使用匿名Tor浏览器才能访问该电子商务网站。在其他毒品中,该网站还销售阿片类药物、兴奋剂、致幻剂和处方药。检察官表示,2021年,卧底的美国执法人员能够从”Monopoly市场“购买超过100克的甲基苯丙胺。
5月份,在欧盟执法机构欧洲刑警组织的协调下,一次代号为SpecTor的联合执法行动,查获了”Monopoly市场“的犯罪基础设施,并逮捕了288名嫌疑人。执法人员还缴获了超过5400万美元的现金和虚拟货币、850公斤毒品(包括安非他明、可卡因、MDMA、LSD和摇头丸)以及117支枪。
参与SpecTor的9个国家分别逮捕了多名嫌疑人:美国(153人被捕)、英国(55人)、德国(52人)、荷兰(10人)、奥地利(9人)、法国(5人)、瑞士(2人)、波兰(1人)、巴西(1人)。
欧洲刑警组织执行主任凯瑟琳·德·博勒(Catherine De Bolle)当时在会议上表示:“这次行动向暗网上的犯罪分子发出了强烈的信息:国际执法机构有手段和能力识别你的非法活动,并追究你的责任,即使是在暗网上。”
针对”Monopoly市场“的案件之所以成立,部分原因是德国当局于2021年12月扣押了”Monopoly市场“的基础设施,这使得警方能够开始识别供应商和客户。美国联邦调查局表示,在司法互助条约的支持下,它从德国收到了市场数据库和论坛数据库的数字取证副本。
通过加密货币追踪溯源,FBI找到幕后的运营者德斯尼卡 美国联邦调查局表示,在研究了德国执法部门查获的市场数据库(其中包括发送给供应商的票据)后,确定了德斯尼卡的身份。调查人员发现,所有发给供应商的票据都包含比特币或门罗币地址,供应商被要求将”Monopoly市场“运营者应得的佣金发送到该地址,虽然这些付款详细信息已在2021年10月22日之前的票据中删除,但在后来的票据中仍然存在。
联邦调查局分析了涉及”Monopoly市场“运营者明显使用的地址的大量交易。按月计算,所有收到的资金中,有一半似乎被转账到存储中,并显然保持不变,另一半被发送到不保留用户详细信息的加密货币交易所。司法部表示:“德斯尼卡随后将非法加密货币出售给塞尔维亚的点对点交易商,以换取法定货币-所有这些都是为了清洗非法毒品销售的收益。”
检察官周六提交给法院的一份支持拘留的备忘录报告说,FBI揭开德斯尼卡的真面目的部分原因是识别出“存入MoonPay.io交易所某钱包的两笔比特币存款,该钱包也收到了2020年7月的’Monopoly市场‘收益”。FBI从MoonPay加密货币交易所获得的记录,使其能够识别用于在MoonPay进行存款的谷歌支付帐户,并追溯到德斯尼卡使用的信用卡和Gmail地址。FBI表示,其中一个电子邮件帐户包含访问”Monopoly市场“的比特币钱包所需的12个单词的助记词。
检察官在备忘录中写道:“他通过各种社交媒体、个人电子邮件帐户以及访问‘Monopoly市场’比特币钱包所需的种子短语,与‘Monopoly市场’直接联系在一起。”
美国政府成立了一个新的打击加密货币犯罪的特别工作组,由来自不同联邦机构的五名调查员组成。
“暗网市场和数字货币犯罪特别工作组”成立于6月15日,旨在“瓦解和摧毁“那些利用数字货币提供的“匿名外观”进行贩毒、洗钱和其他犯罪的犯罪组织。
其活动暂时将仅限于亚利桑那州。
美国移民和海关执法局网站周二分享的一份新闻稿称:“随着这些犯罪活动和组织变得更加复杂,执法工具、资源和情报必须适应,不得不进行调整。”
U.S. Attorney and Federal Law Enforcement Partners Announce Formalization of Darknet Marketplace and Digital Currency Crimes Task Force @DHSgov @DEAPHOENIXDiv @IRS_CI @USPISpressroom https://t.co/rpfowDMAdO
— US Attorney Arizona (@USAO_AZ) June 16, 2023 该交叉机构包括来自国土安全部(DHS)、国税局刑事调查组(IRS-CI)、美国缉毒署(DEA)、司法部(DOJ)和美国邮政检查局(USPS)的特工。
多年来,这五个机构都完成了一系列与加密货币有关的刑事调查,加密货币作为绕过传统金融体系制衡的工具,正在不断增长。
例如,去年,司法部追回了2018年从加密货币交易所Bitfinex盗窃的36亿美元比特币,这是历史上最大的一次金融扣押行动。同年晚些时候,该部门查获了与丝绸之路(Silk Road)相关的50,000个比特币(BTC),”丝绸之路“是一个现已不复存在的暗网市场,利用比特币促进毒品、武器和其他非法物品的交易。
“DEA致力于拯救生命,”DEA负责的特别探员Cheri Oz说。“隐藏在暗网中的毒贩将被这个特别工作组积极锁定并揭穿。”
与此同时,IRS-CI特别负责人Al Childress表示,他的部门“正在越来越多地投入更多的调查时间和特工专业知识来应对暗网和加密货币犯罪。”
根据Chainaanalysis的数据,虽然通过加密货币相关犯罪窃取的资金数额每年都在增长,但其在加密货币相关交易绝对总额中所占的份额持续下降。
此外,美国财政部去年在一份风险评估报告中证实,数字资产被用于洗钱的情况仍然远少于法定货币。
尽管如此,财政部还在4月份强调了与去中心化金融(DeFi)生态系统相关的“国家安全”风险,因为“窃贼”和“勒索软件行为者”也可以利用它来洗钱。
代码签名证书应该有助于验证软件发布者的身份,并提供加密保证,确保已签名的软件未被更改或篡改。这两种特性使得被盗或不正当获得的代码签名证书对网络犯罪集团具有吸引力,他们看重的是其为恶意软件增加隐蔽性和持久性的能力。
独立记者布莱恩·克雷布斯(Brian Krebs)近期发布了一项调查,在调查中,他多次对知名暗网用户“Megatraffer”进行了人肉,将他与过去十年中期居住在莫斯科的某个人联系起来。文章中称,这位俄罗斯资深黑客自2015年以来几乎垄断了以恶意软件为中心的代码签名证书的地下市场。
在文章开头,克雷布斯对“Megatraffer”在俄罗斯犯罪论坛Exploit.in上的帖子的审查后显示,“Megatraffer”于2015年开始在Exploit上交易被盗的代码签名证书。他的业务很快扩展到销售用于对设计为在Microsoft Windows、Java、Adobe AIR、Mac 和 Microsoft Office上运行的应用程序和文件进行加密签名的证书。
根据“Megatraffer”的说法,恶意软件供应商需要证书,因为许多防病毒产品对未签名的软件更感兴趣,而且从互联网下载的签名文件往往不会被现代网络浏览器内置的安全功能阻止。Krebs详细说明,在2016年,“Megatraffer”以每张700美元的价格出售独特的代码签名证书,并针对“扩展验证”或EV代码签名证书收取两倍多的费用(1900美元)。根据“Megatraffer”的说法,如果您想签署能够在较新的Windows操作系统中可靠运行的恶意软件或硬件驱动程序,则EV证书是“必备”证书。
“Megatraffer”继续在六个以上的其他俄语网络犯罪论坛上提供代码签名服务,主要以 Thawte 和 Comodo 等主要供应商偶尔提供的 EV 和非 EV 代码签名证书的形式提供。
据网络情报公司Intel 471称,从2009年9月到今天,“Megatraffer”一直是至少七个最大的暗网站点的积极参与者。在大多数情况下,他使用的电子邮件地址是“[email protected]”,这个电子邮件地址还与两个论坛账户中一个名为“O.R.Z.”的用户相联系。
开放式数据库监控公司Constella Intelligence发现邮箱地址[email protected]仅与少数几个密码相关联,但最常见的密码是字母组合“featar24”。对其进行反向搜索后,克雷布斯找到了一个邮箱地址“[email protected]”,Intel 471发现该地址在2008年也与昵称O.R.Z相关联,这个2008年在Verified.ru上注册的帐户。在此之前,[email protected]被用作“Fitis”帐户的电子邮件地址,该帐户在2006年9月至2007年5月期间处于活跃状态。此外,Constella Intelligence发现“featar24”密码关联到电子邮件地址[email protected],该地址与2008年Carder.su上的另一个O.R.Z.账户相关联。此外,[email protected]地址被用来创建一个名为“Fitis”的Livejournal个人博客,其头像是一只大熊。
“我是一个完美的罪犯。我的指纹每隔几天就会改变,无法辨认。至少我的笔记本电脑是肯定的。”Fitis在他的博客中写道。
2010年,在当时两家最大的垃圾邮件赞助商相互开战并且他们的内部文件、电子邮件和聊天记录落入许多国际研究人员手中之后,“Fitis”的身份被曝光。文件显示,Spamit联盟计划中收入最高的员工之一就是“Fitis”,他吸引了超过75个联盟成员(并从所有75名联盟成员的未来销售中获得佣金)来工作。他收到了一个WebMoney帐户的付款,该帐户的所有者在注册时出示了有效的俄罗斯护照,其姓名为Konstantin Evgenievich Fetisov,出生于1982年11月16日,在莫斯科注册。俄罗斯机动车记录显示,此人在同一莫斯科地址登记了两辆不同的车辆。
此外,注册到[email protected]电子邮件地址的最奇怪的域名是fitis.ru,根据DomainTools.com说这是在2005年注册给来自莫斯科的Konstantin E. Fetisov。
archive.org上的Wayback Machine在早年为fitis.ru收录了索引,其中大部分是空白页面,但在2007年的一段短时间内,该网站似乎无意中将其所有文件目录暴露给了互联网。其中显示了一个ICQ的号码为:165540027,英特尔 471发现该ICQ号码是“Fitis”之前在Exploit论坛中使用的即时通讯地址。
总部位于纽约市的网络情报公司Flashpoint发现“Megatraffer”的ICQ是Himba.ru域名的联系电话,Himba.ru是一项于2012年推出的广告联盟计划,英特尔 471发现Himba是一个活跃的广告联盟计划,直到2019年5月左右停止向其合作伙伴付款。
Flashpoint指出,2015年9月,Megatraffer在Exploit上发布了一则招聘广告,寻求经验丰富的编码人员来处理浏览器插件、安装程序和“加载程序”——基本上是远程访问木马(RAT),它们可以在攻击者和受感染的系统之间建立通信。
奇怪的是,克雷布斯几乎只字未提“Megatraffer”在2015年之后的命运和活动。他的调查更关注的不是Fetisov的个性,而是代码签名证书仍然是暗网上需求的商品这一事实。
一名来自美国马萨诸塞州的18岁男孩被指控试图通过在暗网上销售礼品卡(包括亚马逊和迪克的体育用品礼品卡),为恐怖组织“伊拉克和沙姆伊斯兰国(ISIS)”筹集超过1600美元——但该少年的父亲声称他的儿子一直被人“牵着鼻子走”。
美国马萨诸塞州检察官办公室周四发表声明称,来自马萨诸塞州韦克菲尔德的马特奥·文图拉(Mateo Ventura)周四首次在伍斯特美国地方法院出庭,他将面临故意隐瞒外国恐怖组织物质支持或资源来源的指控。
这名少年是韦克菲尔德纪念高中的学生,他被下令关押在监狱,等待下周三的保释听证会。
文图拉的父亲保罗在法庭外告诉记者,他的儿子因早产而在发育和学习方面存在问题,并补充说他在学校受到欺凌者的折磨。
他强烈否认这名少年支持伊斯兰极端组织。
“我儿子说,’爸爸,我不明白,我没有做错任何事’。”保罗·文图拉(Paul Ventura)描述了联邦调查局周四早上前来逮捕马特奥的那一刻。
“我儿子不是恐怖分子。”他补充道。
18岁的马特奥·文图拉(Mateo Ventura)周四被逮捕,罪名是在资助ISIS的计划中故意隐瞒对外国恐怖组织的物质支持或资源来源。
检察官表示,文图拉被指控参与一项计划,即在暗网上以低于面值的价格出售礼品卡,所得款项用于资助伊斯兰国。
根据一份宣誓书,在2020年8月至2021年8月期间,文图拉向他认为是ISIS支持者但实际上是卧底FBI特工的人发送了大约25张价值965美元的礼品卡。
那段时间,他还未成年。
检察官说,在18岁之后的1月至5月期间,文图拉向假冒的ISIS同情者提供了另外705美元的礼品卡。
马特奥的父亲保罗·文图拉(PaulVentura)告诉记者,他的儿子不是恐怖分子,他被人“牵着鼻子走”了。
这位单身父亲说,他的儿子——有学习和发育问题——试图通过向特工展示在暗网上联系ISIS武装分子是多么容易来帮助FBI。
大多数卡片(每张价值从10美元到100美元不等)都来自Google Play商店。其他则来自GameStop、亚马逊和Dick’s Sporting Goods。
法庭文件显示,这名马萨诸塞州的青少年还在一款加密的消息应用程序上谈到了想要出国旅行并与ISIS作战的想法。
法庭文件显示,有一次,这名18岁的年轻人向卧底特工发送了一段录音,宣誓效忠当时的伊斯兰国领导人阿布·易卜拉欣·哈希米·库拉什(Abu Ibrahim al-Hashimi al-Qurash)。
据称,文图拉甚至购买了一张4月份前往开罗的机票,但他从未成功登机。
检察官说,Mateo向他认为是ISIS支持者的人发送了价值1670美元的礼品卡,但实际上该人是FBI卧底特工。
检察官称,今年4月,文图拉联系了FBI,提出向该机构通报埃及未来发生的恐怖袭击事件,以换取1000万美元和豁免权,但被联邦调查局拒绝了他的提议。
文图拉的父亲保罗·文图拉争辩说,他的儿子,他说他精通电脑,正试图通过向FBI展示美国人可以多么容易地在网上与恐怖分子联系来帮助FBI“并与他们合作”。
“[他是]百分百忠诚的美国人。百分之一百,”单身父亲说。“他不喜欢恐怖主义。他不喜欢。他喜欢了解它。”
如果罪名成立,文图拉将面临最高10年的监禁。
法庭文件显示,美国田纳西州的一名女子被指控从暗网付钱给一名杀手,以杀死她在Match.com上认识的徒步旅行伙伴的妻子,并在一款健身应用程序上跟踪该女子的行踪。
当她的朋友(在最近解封的法庭文件中以首字母D.W.命名)告诉她他将在去年秋天结婚时,Melody Sasser显然不喜欢这样。
根据日期为5月11日的宣誓书,她告诉该男子:“我希望你们都掉下悬崖死去。”
上个月,Sasser在美国东田纳西州地方法院被指控犯有雇佣谋杀罪,如果罪名成立,她将面临最高10年的监禁。
根据宣誓书,一个外部执法机构向阿拉巴马州伯明翰的国土安全调查部门举报了4月份涉嫌的阴谋。
法庭文件称,调查人员收到了在线用户“cattree”与暗网网站”在线杀手市场“(Online Killers Market)管理员之间的消息,该网站宣称提供“雇佣杀手”服务。
根据刑事诉讼,该网站的屏幕截图显示,“cattree”于1月11日下单谋杀。
官员们说,她分享了目标的名称、地址以及描述:“它需要看起来是随机的或意外的。或者是因为吸毒,不希望有长时间的调查。她最近搬去和她的新婚丈夫同住。”
根据刑事诉讼,Sassers被指控的行为发生在四个月的时间里,从年初到2023年4月27日。Sassers所谓订单的报价金额为9750 美元,并以比特币支付。
文件称,“Cattree”还上传了目标的照片,该人物的名字缩写为J.W.。
调查人员向目标居住的阿拉巴马州普拉特维尔市的警方发出警报,并派巡逻队前往受害者家中。
该文件称,当J.W.得知所谓的威胁时,她将“Sasser列为嫌疑人”,并说Sasser和她的丈夫在搬到阿拉巴马州之前是徒步旅行(远足)的朋友。
根据宣誓书,D.W.告诉调查人员,他和Sasser在约会网站Match.com上认识,她通过帮忙预订旅馆和休息点并在他离开时照看他的车辆来帮助他完成阿巴拉契亚步道的徒步旅行。
去年秋天,D.W.告诉Sasser他与J.W.订婚后,Sasser前往他在阿拉巴马州的住所。
J.W.报告说,她的车似乎被人用钥匙撬过,并且她接到了一个使用电子设备伪装声音的人打来的“不愉快的电话”。宣誓书称,“威胁”电话来自无法追踪的计算机生成的电话号码和互联网电话。
Sasser被指控在健身应用Strava上监控这对夫妇的行踪和活动,该应用已连接到他们的智能手表并共享位置数据。
当局称,“Online Killers Market”(在线杀手市场)声称在全球拥有12000名注册会员,提供的服务还包括“黑客攻击、绑架、勒索、泼酸毁容和性暴力”。 刑事起诉书称,该网站包括一个内部消息系统,供用户与接单杀手、管理员或其他用户联系。正是在那里,当局指控Sasser以“cattree”为昵称,曾多次向Online Killers Market发送消息,表达了对这项工作尚未完成的失望。
法庭文件显示,3月22日,“cattree”发来一条消息称,“我已经等了2个月零11天,工作没有完成”。
“2个星期前,你说它已经开始工作,将在一个星期内完成。该工作仍然没有完成。是否需要把它分配给其他人。会不会做,拖延的原因是什么。”根据刑事起诉书,她补充说:“什么时候能完成。”
管理员回应说,这项任务对于同意做这项工作的人来说风险太大。
管理员说:“我可以指派另外两名杀手来完成这项工作。”他指出,两人都想要更多的比特币来完成这项工作。在3月29日的消息中,“cattree”同意支付更多费用:“我将增加比特币。”
Sasser于5月18日被捕,目前被关押在监狱中,等待她于周四下一次出庭。
她的律师没有回复置评请求。