REvil是臭名昭著的俄罗斯关联勒索软件团伙,据称对今年早些时候对Kaseya、Travelex和JBS的高调网络攻击负责。
在一个不知名的人劫持了他们的Tor支付门户和数据泄露博客之后,REvil勒索软件行动很可能再次关闭。
Tor站点今天早些时候下线,一名隶属于REvil行动的威胁行为者在XSS黑客论坛上发帖称,有人劫持了该团伙的域名。
该劫持首先由Recorded Future的Dmitry Smilyanets发现,并指出一个不知名的人使用与REvil的Tor站点相同的私钥劫持了Tor隐藏服务(洋葱域名),并且可能拥有这些站点的备份。
“但是自从今天莫斯科时间12点至17点10分,有人用和我们的密钥相同的密钥提出了登陆和博客的隐藏服务,我们的担心得到了证实,第三方有我们洋葱服务密钥的备份。“一个被称为“0_neday”的威胁行为者在黑客论坛上发帖。
该威胁行为者继续说,他们没有发现其服务器被破坏的迹象,但将关闭该行动。
然后,威胁行为者告诉附属机构通过Tox与他联系以获取解密密钥,这样附属机构就可以继续勒索受害者并在支付赎金时提供解密器。
要启动Tor隐藏服务(.onion域),您需要生成一个私钥和公钥对,用于初始化服务。 私钥必须是安全的,并且只有受信任的管理员才能访问,因为任何有权访问此密钥的人都可以用它在自己的服务器上启动相同的.onion服务。
由于第三方能够劫持这些域名,这意味着他们也可以访问隐藏服务的私钥。
今天晚上,0_neday再次在黑客论坛主题上发帖,但这次说他们的服务器被入侵了,无论是谁做的,都是针对威胁者的。
目前,尚不清楚是谁入侵了他们的服务器。
由于Bitdefender和执法部门获得了主REvil解密密钥的访问权并发布了免费的解密器,一些威胁行为者认为FBI或其他执法部门自其重新启动以来就可以访问服务器。
由于没有人知道发生了什么,也有可能是威胁行为者试图重新获得对行动的控制。
REvil可能会永久关闭 在REvil通过Kaseya MSP平台中的零日漏洞对公司进行大规模攻击后,REvil的运营突然关闭,他们面向公众的代表Unknown消失了。
在Unknown没有回来之后,REvil的其他操作者在9月利用备份再次启动了操作和网站。
从那以后,勒索软件业务一直在努力招募用户,甚至将联盟的佣金提高到90%,以吸引其他威胁者与他们合作。
由于这次最新的事故,目前论坛上的行动很可能将永远消失。
然而,对于勒索软件来说,没有什么好事会永远持续下去,他们很可能很快就会将它们重新命名为一项新业务。
近期,黑客在暗网上吹嘘窃取并泄露了高度敏感的文件,其中包含从悉尼一家医疗保健公司窃取的患者私人信息。
麦格理健康公司(Macquarie Health Corporation)周一证实,在这家私营公司遭到网络犯罪分子袭击后,其许多系统仍处于离线状态。麦格理健康公司经营着十几家私立医院,包括悉尼的Manly Waters私立医院。
在黑客入侵后,包含高度个人信息的医疗和法律文件被发布到暗网上。
据了解,其中一份多页文件样本详细记录了一名新南威尔士州妇女的病史、姓名和出生日期。
在悉尼和墨尔本经营12家私立医院的麦格理健康公司(Macquarie Health Corporation)于上周四首次披露了黑客攻击事件,并在周一发布了更新信息:
Macquarie Health Corporation (MHC) 仍在遭受与网络事件相关的重大影响。
感谢我们的员工在我们的许多系统保持离线状态下继续提供以患者为中心的护理的辛勤工作。
对于这种中断可能造成的任何不便,我们深表歉意,并感谢我们的员工、患者和临床医生在这种情况下的耐心等待。
黑客在一个暗网网站上的帖子中声称,他们窃取了6700多人的个人数据。
“患者的医疗数据……财务文件、银行余额、税收减免。”黑客们声称已经获得了一长串文件的清单。
犯罪分子还声称获得了“超过1000个”密码的访问权限,包括PayPal、亚马逊和Facebook等服务的密码。
除个人数据外,黑客声称已经从该公司窃取了超过119,000个内部文件,大小总计225GB。
新南威尔士州警方的一位女发言人说,他们不知道这一事件,并准备着手调查。
由欧盟和欧洲委员会的CyberEast联合项目组织的在线犯罪收益区域会议于2021年10月4日至5日使用网上在线活动举行。该会议启动了该地区的一系列国内活动,深入探讨了网络犯罪调查和金融调查/情报之间的合作问题,并特别关注某些类型的由信息和通信技术促成的欺诈、虚拟货币和暗网。
CyberEast是欧洲联盟和欧洲委员会的一个联合项目,由欧洲委员会根据欧洲睦邻友好工具(ENI)在东部伙伴关系(EAP)地区实施。
参与国:摩尔多瓦、亚美尼亚、白俄罗斯、格鲁吉亚、阿塞拜疆和乌克兰。
该项目旨在通过符合《布达佩斯网络犯罪公约》及相关文书的立法和政策框架,加强司法和执法当局的能力以及机构间合作,并提高在刑事司法、网络犯罪和电子证据方面的有效国际合作和信任,包括服务提供商和执法部门之间。
近100名网络犯罪调查员和检察官、金融调查和金融情报官员、安全专家(CSIRTs、国家安全部门)以及来自东部伙伴关系地区的私营部门实体(银行组织和互联网服务提供商)参加了这次活动。
除了与国际专家就这些主题进行深入讨论,以及在活动期间从东部伙伴关系国家收集的意见,区域会议还介绍了金融调查、虚拟货币和暗网培训课程,该课程将于2021年10月和11月作为系列国家培训向东部伙伴关系国家推出。
会议的所有材料,包括活动期间进行的现场在线投票,都可以从以下链接中获取。
CyberEast项目
犯罪收益在线材料
CyberEast项目开展以下活动: 一、立法和政策框架以及遵守《布达佩斯公约》,包括通过:
– 通过国家评估评估《布达佩斯网络犯罪公约》的遵守情况
– 为制定/更新网络犯罪战略和行动计划做出贡献
– 编写关于网络犯罪和网络安全的国家和地区报告趋势和威胁
– –刑事司法当局和政策制定者的高级别区域和国家会议,以评估关键问题
二、加强司法和执法当局的能力以及机构间合作,包括通过:
– 评估机构设置、能力、能力、培训需求以及机构间合作差距和区域网络犯罪单位的机会
– 有助于更新和/或为网络犯罪部门制定培训计划
– –关于网络犯罪调查和数字取证的培训课程、案例模拟练习和模拟试验
– –制定网络犯罪/事件报告和计算机安全事件响应小组 (CSIRT) 与刑事司法当局共享数据的商定程序
三、加强在刑事司法、网络犯罪和电子证据方面的有效国际合作和信任,包括服务提供商和执法部门之间的合作,包括通过:
– 为涉及网络犯罪和电子证据的刑事案件制定司法协助请求准则
– 研讨会、培训和模拟用于提高 24/7 联络点的技能、设置和能力
– 网络犯罪部门和检察官关于使用模板用于数据保存和订户信息的国际请求的培训课程
– 案例模拟练习开发网络犯罪国际合作的技能
– 支持执法和刑事司法当局之间的合作协议
– 开发标准模板和获取私营部门实体持有的数据的程序的讲习班
– 支持公私合作对话
Facebook及其相关平台Instagram和WhatsApp在全球范围内中断的情况下,其超过15亿用户的数据现在正在暗网上出售,引起极大恐慌,公司股价暴跌近5%,百亿市值瞬间蒸发。
在Twitter上发现的屏幕截图显示,据称在暗网上出售15亿Facebook用户的个人数据的帖子,只能通过称为Tor的特殊浏览器访问。
据专注于隐私研究的安全公司PrivacyAffairs报告称,2021年9月下旬,某知名黑客论坛上的用户发布了一个公告,声称拥有超过15亿Facebook用户的个人数据。数据目前在该黑客论坛平台上出售,有意向的买家有机会购买全部或部分数据。
据论坛发帖人称,所提供的数据包含以下Facebook用户的个人信息:姓名、性别、所在地、电子邮箱、电话号码、用户身份。
据称,一名潜在买家的报价为每100万个Facebook账户5,000美元,这将使整个Facebook用户数据集价值超过750万美元。
在随后的帖子中,卖家声称代表一家致力于从Facebook获取数据的大公司。卖方补充说,该公司是合法的“爬虫公司”,已运营至少四年,拥有超过18,000名客户。
帖子里提供的样本表明,数据确实似乎是真实的。PrivacyAffairs用已知的Facebook数据库泄漏对它们进行交叉检查,没有发现存在匹配,这意味其提供的样本数据是独一无二的,而不是转售之前已经泄露的数据。
网络爬虫 根据该帖子,卖家声称是通过网络爬取而不是对Facebook进行黑客攻击或破坏个人用户的帐户来获取数据的。网络爬虫是一个使用机器人从网站中提取公开可用内容和数据的过程,并将爬取的内容组合成新的列表和数据库。
然而,卖家利用黑客论坛来吸引客户并没有缓解人们的担忧,哪怕该公司声称泄露数据的15亿Facebook用户不会因此受到影响。
虽然从技术上讲,没有任何帐户受到损害;但这些数据最终可能落入不择手段的互联网营销人员手中以及网络犯罪分子手中,影响会是巨大的。
宕机事件 屋漏偏逢连夜雨,差不多同个时候,Facebook平台包括WhatsApp和Instagram突然无法访问。Facebook公司表示,它“意识到有些人在访问Facebook应用程序时遇到问题”,并且正在努力恢复访问权限。
然而,宕机持续了近6个小时,这种运维事故在国际大型互联网公司Facebook发生是很难让人理解的。解决问题后,Facebook也发布了解释公告:协调数据中心之间网络流量的主干路由器上的配置更改导致了通信中断。
Cloudflare也发博客调侃,并分析事故原因为BGP配置错误,导致DNS解析出现故障:
10月4日16:50UTC左右,1.1.1.1公共DNS服务器提供商Cloudflare注意到Facebook、WhatsApp和Instagram的域名突然停止解析,社交巨头的所有IP都无法抵达,就好像Facebook的数据中心同时从互联网上断开。Facebook通过BGP向其他网络广播其存在,在16:40UTC,Facebook发出了一系列路由变更,问题跟着产生了,它停止广播其DNS前缀路由,DNS服务器下线,Facebook相关域名停止解析随后影响到其他DNS服务器,Facebook事实上从互联网上消失了。21:00UTC左右,Facebook重新广播其路由信息,到21:20UTC其服务恢复正常。
为什么问题持续了如此长的时间?根据社交网络上未经证实的消息:在路由问题发生之后,能物理接触系统的工程师与有权限登陆系统的工程师与知道如何解决问题的工程师之间存在协调方面的问题。
受宕机事件影响,Facebook股价一度跌至5.9%,收跌4.9%,创6月3日以来的四个月最低,市值一夜蒸发643亿美元(约合人民币4147亿元)。
马来西亚信用报告机构CTOS和Experian发布新闻声明,宣布其数据资产是安全的,并且还将向所有马来西亚人提供一定时长(分别是一个月与三个月)的免费暗网监控。
他们的公告是在马来西亚国家银行(BNM)暂停所有信用报告机构(CRA)的中央信用参考信息系统(CCRIS)以应对潜在的网络威胁和数据泄露事件的可能性之后发布的。
虽然尚不清楚究竟是什么原因导致暂停,但CTOS写道,整个行业的举动是“进一步保护客户信息的预防措施”。他们还解释说,“网络攻击变得越来越频繁和复杂”,临时暂停适用于所有CRA。
此前BNM称:一旦信用报告机构的安全访问得到保证,访问将恢复。尽管如此,金融消费者可通过这个链接访问他们的CCRIS报告:https://eccris.bnm.gov.my
“我们想向公众保证,截至目前,没有迹象表明我们的数据资产遭到入侵……我们已经并将继续进行大量投资,以确保我们的IT和数据安全“,CTOS集团首席执行官丹尼斯·马丁(Dennis Martin)说:“我们的框架、政策、程序和系统以马来西亚国家银行的技术风险管理(RMiT)标准和ISO27001以及其他全球标准为基准。”
马丁称:“CTOS非常重视网络安全风险和数据泄露保护,我们拥有的所有数据和信息都受到世界一流的认证数据安全技术的保护。随着网络攻击变得越来越频繁和复杂,我们还加强了主动评估流程,以保护数据的完整性。”
Experian也解释说,他们已经进行了“深入的安全调查”,没有发现任何系统、服务器或设施受到入侵的证据。他们已在整个调查过程中向国行提交调查结果,并将“尽快”恢复其CCRIS服务。
“我们致力于推进数据安全标准和保障措施,以保护马来西亚消费者和企业的信息和利益。对于许多人来说,这是一个令人担忧的时期,过去几周据称有消息称个人数据在暗网上被出售。”Experian写道。
CTOS CTOS宣布,从今天起,即2021年10月4日,所有马来西亚人都可以通过CTOS SecureID免费获得一个月的暗网监控。该服务将有助于检查客户的个人信息是否有可能暴露在暗网中。
你可以在这里通过CTOS注册一个月的免费服务。根据他们的网站,通常每月费用为8.90马币,或每年86.90马币。CTOS SecureID还将为你提供信用监测和报告,以及欺诈和Takaful保险。
Experian Experian通过JagaMyID提供为期三个月的免费暗网监控。基本的JagaMyID服务通常每年要花费63马币,还包括信用报告,但没有保护计划。JagaMyID Plus账户包括保护计划,一年的费用为99令吉。
从2021年10月4日起,您可以在此处通过Experian注册为期三个月的免费服务。
共有三家由BNM授权的CRA可以进入CCRIS。除了CTOS和Experian,Credit Bureau也承认了暂停。但是,它尚未提供类似于其他CRA的免费暗网监控服务。
医疗保健提供者周五在一份声明中表示,在5月份对Eskenazi Health进行网络攻击期间被盗的一些患者和员工数据已在暗网上发布。
Eskenazi Health在8月份曾表示,没有证据表明攻击导致银行或信用卡欺诈,但该医疗机构现在建议人们向信用报告机构查询,并获得免费的信用监测和身份盗窃保护。
Eskenazi Health是马里恩县健康与医院公司的一部分,该公司还包括马里恩县公共卫生部、印第安纳波利斯紧急医疗服务中心和Sidney&LoisEskenazi医院。
Eskenazi说,被盗数据包括患者和员工的医疗、财务和人口统计信息。暗网上发布的信息可能包括姓名、出生日期、年龄、地址、电话号码、电子邮件地址、医疗记录号码、患者账号、诊断、临床信息、医生姓名、保险信息、处方、服务日期、驾照号码、护照号码、面部照片、社会安全号码和信用卡信息。
对于已故患者,此信息还可能包括死亡原因和死亡日期。
受数据泄露影响的人将收到信件,详细说明他们的哪些具体信息类型被涉及。
数据泄露发生在5月19日左右。Eskenazi Health公司的一份新闻稿说,该医疗机构在8月4日左右得知该漏洞,并将其网络下线,“以保护其信息并维护病人护理的安全性和完整性”。
Eskenazi在8月底说,它已经通知了联邦调查局,后者正与该医疗机构合作进行调查。
数据加密和数字隐私提供商Virtru表示,医疗保健数据安全是一项重大挑战。他们将健康信息交换、电子记录、技术采用中的用户错误、黑客、云和移动技术以及医院过时的技术列为医疗保健提供者面临的最大挑战。
Eskenazi Health发布了公告,表示正在做出改变并努力确定需要改进的领域。
“印第安纳波利斯,2021 年 10 月 1 日 — Eskenazi Health 宣布,Eskenazi Health 于 2021 年 8 月 4 日左右发现由网络犯罪分子实施的网络攻击,导致部分员工和患者的个人信息(包括健康信息)遭到泄露。Eskenazi Health 是马里恩县健康与医院公司 (HHC) 的一家公立医院部门,代表 HHC 及其部门领导调查。
“网络攻击和 Eskenazi Health 的反应
“在 2021 年 8 月 4 日左右,Eskenazi Health 的信息安全团队意识到其系统上存在可疑活动。检测到此活动后,Eskenazi Health 立即采取措施使其网络脱机,以保护其信息并维护患者护理的安全性和完整性。Eskenazi Health 拥有全面的临床信息系统,并遵循其既定的停机程序。
“根据其信息安全协议,Eskenazi Health 迅速调查了这一活动,以确定攻击的范围和性质,并确定复杂的网络犯罪分子在 2021 年 5 月 19 日左右使用恶意互联网协议地址访问了其网络. 网络犯罪分子还禁用了安全保护,这使得在发起网络攻击之前很难检测到他们的活动。
“Eskenazi Health 重视其患者、员工和提供者,并致力于保护隐私。我们迅速聘请了一个独立的法医团队来调查和控制事件并防止进一步的犯罪活动。Eskenazi Health 的法医团队进行了广泛的调查,并协助 Eskenazi Health 采取缓解措施,以确保网络罪犯不再存在于其网络中。Eskenazi Health 还通知了 FBI 并启用了额外的安全措施,以进一步增强其网络安全性。没有证据表明网络犯罪分子曾锁定任何文件,并且 Eskenazi Health 没有向网络犯罪分子支付赎金。
特里尔”网络碉堡“案关于地下计算机中心作为暗网犯罪业务平台的审判,一直以其数字给人留下深刻印象。
据说有近25万起刑事犯罪通过在特拉本-特拉巴赫的一个旧地堡中的400台服务器中运行暗网服务时发生,涉及毒品、假币或网络攻击的交易价值几百万美元。而调查人员对此案进行了五年的调查,直到2019年9月数百名警察破获了这些经营者。
近一年来,八名被告一直在特里尔地区法院受审。”在德国迄今为止最大的网络犯罪审判之一”——这是国家网络犯罪中央办公室所属的科布伦茨总检察长办公室在2020年10月19日审判开始时给诉讼程序的标题。这七名男子和一名妇女被指控成立了一个犯罪组织,并协助和怂恿25万起刑事犯罪。
经过100多名证人、数千页档案、数十个审判日——有时一周两次——审判现在正慢慢接近尾声。至少是取证的问题。主要被告荷兰人的辩护律师Michael Eichin说,法庭希望在9月底结束其审批。然后,辩方将提出要求提供证据的动议。最后,将提出抗辩:八名被告每人将有两名辩护律师。该审判计划到2021年底结束。
律师Sven Collet估计,审判可能在11月中旬结束。“我预计,我们肯定会在今年年底前通过。” 他代表Calibour GmbH公司,该公司经营的数据中心被宣传为“防弹主机”(“防弹”,防止警察进入),其唯一代表是主要被告。
庞大的审判中的一个核心问题是:是否有可能证明被告协助和教唆——也就是说,他们是否知道其客户的非法阴谋?并说他们放任他们这样做?在Eichin看来,有许多迹象表明,”协助和教唆的事情可能不会发生。但是,现在仍然悬而未决的,当然是犯罪组织的形成“。即使他不认为这是合理的。
Collet 还说:“你必须为每个个案证明协助和教唆的行为。他说,这很难,因为计算机中心实际上不过是一个保险箱。”只要我们不能自己打开它,看里面的情况,我们就不知道人们在里面放了什么。他说,对于犯罪团伙的指控,人们必须看一看这可能适用于谁。“不是对每个人都是如此。”
当被问及诉讼情况时,法院不大愿意透露。新闻办公室说,“取证工作仍在进行中“。审判时间如此之长的事实是”由于审判材料的范围“。调查人员在大多数情况下都听到了。然而,这可能不是特里尔地区法院最长的一次审判。
听证会9月27日及28日继续进行,结果还没公开。新闻办公室补充说:”诉讼程序的进一步发展和持续时间将特别取决于被告人的辩护行为。被告是四名荷兰人、三名德国人和一名保加利亚人。“
Eichin律师批评说,”调查中的严重缺陷“在审判过程中一再暴露出来。例如,在对服务器的评估中。”他们声称,这些服务器上没有任何合法的东西。然后发现只有5%的数据被分析了。” 他的客户应该知道这一切是”荒谬的“。
就个人而言,他对检察院的调查”真的非常、非常片面“感到困扰。”他们真的只看有犯罪嫌疑的东西,开脱罪责的证据被完全忽略了”。他说,“狩猎的本能”很清楚,他们想完成他们已经工作了五年的方案。“但你必须想象。在某些情况下,人们已经被审前拘留了两年”。
Eichin说,最终该审判不会在特里尔进行裁决。“无论结果如何,它肯定会进入联邦最高法院。” 他说,随后可能会提出宪法申诉。“这都需要时间。然后也许在四到五年内,我们会知道它到底是怎样的。只有这样,才不会有人记得。”曼海姆的律师说。
众所周知,强大的恶意软件可以在暗网上购买并相对轻松地使用。思科Talos网络安全研究团队的一份新报告说明了开箱即用的远程访问木马恶意软件的危险程度:自2020年12月以来,一场名为“Armor Piercer”的活动一直在攻击印度政府。
Armor Piercer具有被称为APT36或Mythic Leopard的高级持续威胁(APT)组织的许多特征,据信该组织在巴基斯坦境外开展活动。特别是,该报告引用了与Mythic Leopard使用的类型“非常相似”的诱饵和策略。
另一方面,该报告说,此次发现的RAT木马让人觉得Armor Piercer活动可能不是一个熟练的APT攻击:“发现两个商业RAT系列,称为NetwireRAT(又名NetwireRC)和WarzoneRAT(又名Ave Maria)”是对印度政府和军队发动袭击的幕后黑手。
“与许多犯罪软件和APT攻击不同,该活动使用相对简单、直接的感染链。攻击者没有开发定制的恶意软件或基础设施管理脚本来执行他们的攻击,但使用的暗网购买的RAT并没有降低杀伤力。”Talos在其报告中说。
Talos说,可以在暗网上购买的RAT木马具有广泛的功能集,其中许多允许完全控制受感染的系统,并能够建立立足点以部署其他恶意软件,就像从GUI仪表板部署包和模块一样简单。
与现代恶意软件活动一样,Armor Piercer活动使用恶意的Microsoft Office文档进行感染。该文档带有恶意的VBA宏和脚本,一旦被毫无戒心的用户打开,它就会从远程网站下载恶意软件加载程序。安装程序的最终目标是在系统上放置一个RAT,它可以保持访问,允许进一步渗透到网络中并窃取数据。
Armor Piercer背后的攻击者使用的RAT具有广泛的功能。
NetwireRAT能够从浏览器中窃取凭证,执行任意命令,收集系统信息,修改、删除和创建文件,列举和终止进程,记录密钥,等等。
WarzoneRAT以其令人印象深刻的功能概述为例,这些功能来自暗网广告,可在上面链接的Talos报告中找到。它能够独立于.NET运行,提供对受感染计算机的60FPS远程控制,隐藏的远程桌面,UAC绕过权限提升,从受感染的计算机上传输网络摄像头,从浏览器和邮件应用程序中恢复密码,实时和离线键盘记录器,反向代理,远程文件管理等。
现成的RAT和其他恶意软件不一定是懒惰、缺乏经验或时间短的操作的标志。“现成的产品,例如商品或破解的RAT和邮件程序,使攻击者能够快速实施新的活动,同时专注于他们的关键战术:诱使受害者感染自己。”Talos说。
不知道这次特定的攻击是否可能会转移到印度以外的地方,或者世界其他地方是否正在使用类似的策略。开箱即用的恶意软件的威胁仍然存在,无论组织位于何处:它很容易获得,相对便宜,如果它足够好以蠕虫进入政府计算机系统,它很可能对你的计算机系统做同样的事情。
DeSnake回来了,并承诺这次将保持AlphaBay的正常运行。 四年多前,美国司法部宣布捣毁AlphaBay,这是历史上最大的黑暗网络市场。泰国警方在曼谷逮捕了该网站26岁的管理员亚历山大-卡泽斯(Alexandre Cazes),联邦调查局查封了AlphaBay在立陶宛的中央服务器,消灭了一个每年向40多万注册用户出售价值数亿美元的硬性毒品、黑客数据和其他违禁品的市场。联邦调查局称对该网站的破坏是一次“具有里程碑意义的行动”。
但是,这一大规模暗网交易市场摧毁计划中一个关键人物的命运从未得到解释。AlphaBay的前二号管理员、安全专家和自称的联合创始人,他的名字是DeSnake。现在,在他的市场消亡四年后,DeSnake似乎又回到了网上,并在他自己独自的领导下重新启动了AlphaBay。
DeSnake最近接受媒体采访,透露了他是如何从AlphaBay的倒闭中毫发无损地走出来的,为什么他现在又重新出现,以及他对这个复活的、曾经占主导地位的在线暗网市场有什么计划。他通过加密短信与媒体交流,这些短信来自一系列频繁变化的假名账户,此前他用DeSnake的原始PGP密钥签署了一份公开信息,证明了自己的身份,多个安全研究人员对此进行了验证。
“我回来的最大原因是要让人们记住AlphaBay的名字,而不是那个被捣毁的市场和创始人被说成是已经自杀的。”DeSnake写道。被捕一周后,Cazes在被捕一周后被发现死于泰国监狱的牢房中;与暗网社区中的许多人一样,DeSnake认为Cazes是在监狱中被谋杀的。他说,“在阅读了FBI关于Cazes被捕情况的介绍后,他被迫重建 AlphaBay,他认为这是不尊重的行为。突袭后,AlphaBay的名字被曝光了,我来这里是为了弥补这一点。”
“在这场游戏中,没有矫枉过正。” DeSnake传递的信息中弥漫着一种实际的偏执,无论是在个人层面还是在他对AlphaBay改造后的技术保护的计划中。例如,恢复的AlphaBay版本只允许用户用加密货币门罗币Monero进行买卖,Monero的设计远比比特币更难追踪,而比特币的区块链已经证明可以进行链上追踪。AlphaBay的暗网网站现在不仅可以像原来的AlphaBay一样通过Tor访问,还可以通过I2P访问,这是一个不太流行的匿名系统,DeSnake鼓励用户转而使用。他反复描述了他对Tor可能受到监视的警惕,尽管他没有提供证据。
DeSnake说,他的安全实践——无论是他在AlphaBay内应用的还是在个人层面上的——都远远超出了他的前任Cazes的安全实践,他在网上的名字是Alpha02。Cazes被抓,部分原因是通过比特币区块链分析,确认了他作为AlphaBay老板的角色,这种伎俩对于Monero来说要困难得多,甚至不可能。DeSnake认为,像这样的新保护措施将使这次AlphaBay更难从暗网中移除。“我给了Cazes许多匿名的防范方法,但他选择只使用某些东西,而他将其他方法/方式称为‘矫枉过正’。”DeSnake写道,他的英语似乎带着外国口音,偶尔会拼写错误。“在这场游戏中,没有矫枉过正。”
DeSnake将他持续的自由归功于接近极端的操作安全方案。他说他的工作计算机运行着一个“失忆”操作系统,比如Linux的以安全为中心的Tails发行版,旨在不存储任何数据。事实上,他声称根本不会在硬盘或USB驱动器上存储任何有罪的数据,无论是否加密,并拒绝进一步解释他如何实现这一明显的魔术。DeSnake还声称已经准备了一个基于USB的“终止开关”设备,旨在擦除他计算机的内存,并在电脑离开他的控制时在几秒钟内将其关闭。
为了避免在他登录AlphaBay时他的电脑被抓住的风险,DeSnake说他每次离开它时都会完全关闭它,即使是去洗手间。“在这方面最大的问题是人类的需求……我会说这是最大的不便。”DeSnake写道:“虽然你做出牺牲,一旦你习惯了,它就会变成第二天性。”
毕竟,执法部门没收了Alexandre Cazes和Ross Ulbricht的笔记本电脑——后者因经营名为丝绸之路的暗网毒品交易市场而被判无期徒刑——当时他们正在开放、运行,并登录到他们所监督的暗网网站的管理员账户。相比之下,DeSnake非常大胆地声称,即使被扣押,他的工作PC也不会牵连到他。
但所有这些技术和操作保护可能都没有简单的地理保护那么重要。DeSnake声称位于一个非引渡国家,超出了美国执法部门的范围。AlphaBay的新老板描述了他曾在前苏联生活过,而且他以前在原来AlphaBay的论坛上给用户写过俄语信息。
长期以来,一直有传言称AlphaBay与俄罗斯或俄罗斯人有某种联系。它的规则一直禁止出售从前苏联国家的受害者那里窃取的数据,这是俄罗斯黑客的共同禁令,旨在保护他们免受俄罗斯执法部门的审查。当Alexandre Cazes在暗网网站上以Alpha02绰号写作时,他有时会用俄语短语“保持安全”作为签名。但后来在泰国追踪到 Cazes时,许多人认为AlphaBay的俄罗斯指纹是为了误导调查人员。
然而,DeSnake现在声称,他和其他参与最初AlphaBay的人实际上仍然超出了西方执法部门的范围。他在谈到AlphaBay禁止出售前苏联公民被盗数据的规定时写道:”你不会在你睡觉的地方拉屎”。”我们这样做是为了其他工作人员的安全。Cazes决定接受它,作为保护自己的一种方式。”
无论如何,DeSnake 声称他“在过去的 4 年里去过几个大洲”并且“没有任何问题”,这让他相信他多年的自由不仅是因为他的位置,而且是在技术上战胜了追踪他的执法机构。当然,有可能DeSnake告诉媒体的一切本身可能都是误导,旨在帮助他进一步逃避这些机构。
虽然 DeSnake 的说法几乎没有得到证实,但他至少在暗网市场运营商中享有不寻常的长寿。安全公司 Flashpoint 表示,至少自 2013 年以来,它已经看到了 DeSnake 以同一个笔名运作的证据和描述——首先是在 Evolution 和 Tor Carder Forum 等网站上以信用卡为重点的网络犯罪分子,然后自己成为市场管理员。
DeSnake于2014年秋季首次出现在最初的AlphaBay论坛上,他是一个信用卡欺诈(也称为 “刷卡”)工具和指南的供应商,在Evolution的管理员在所谓的 “退出骗局 “中带着用户的钱潜逃后寻找一个新家。他说他很快就通过一种非正统的方法与Alpha02成为朋友:他声称他在AlphaBay上“弹出了一个shell”,入侵了该网站并获得了权限,可以在其服务器上运行自己的命令。他说,他没有利用该漏洞,而是帮助管理员修复它,并很快成为该网站的第二大管理员和安全负责人。“我负责安全和某些管理工作。”DeSnake说,“剩下的,他都负责。”
近三年后,Cazes被捕,该网站被下线,部分原因是AlphaBay创始人在其论坛上向新用户泄露了欢迎消息元数据中的个人电子邮件地址。DeSnake说他很早就通过切换网站的论坛软件修复了这个问题,这就是证据的线索。“直到今天我仍然不相信他把他的个人电子邮件放在那里。”DeSnake说。“他是一个很好的搬运工,他更了解 opsec。”
自从AlphaBay回归以来,暗网买家和供应商并没有完全蜂拥而至。重新启动几周后,它的挂牌量不到500件,而AlphaBay2017年高峰时的挂牌量超过350,000 件。这些低数字可能源于DeSnake坚持只接受门罗币、持怀疑态度的暗网用户等着看新的AlphaBay是否权威,以及源于一连串的分布式拒绝服务攻击,这些攻击使该网站自推出以来一直处于离线状态。但DeSnake认为,暗网市场通常只有在另一个受欢迎的市场关闭或被执法部门捣毁时才会涌入新用户;自从AlphaBay回来后,这两种情况都没有发生。
与此同时,DeSnake希望通过一个他称之为AlphaGuard的仍未被证实的系统来吸引用户,该系统旨在让用户提取他们的资金,即使当局再次查封运行AlphaBay基础设施的服务器。
正如DeSnake所描述的那样,AlphaGuard会在检测到AlphaBay离线时自动租用和设置新服务器。他甚至声称AlphaGuard会自动入侵其他网站并在他们的服务器上植入数据,为用户提供“提款代码”,他们可以用来保存他们存储在AlphaBay上的加密货币,以防万一。“这是一个系统,可以确保用户可以提取资金、解决纠纷,并且如果发生突袭,通常不会损失一分钱。”DeSnake 写道,“即使它同时发生在所有服务器上,它是不可阻挡的。”
“除了推出市场之外,他并没有真正展示任何东西。” 如果AlphaGuard的功能听起来还不够理想的话,DeSnake说他还处于一个长期计划的早期阶段,即实施一个完全去中心化的市场系统,本质上是对目前黑暗网络市场的Napster的BitTorrent。在这个雄心勃勃的计划中,独立运行数百或数千台服务器的开源程序员和服务器运营商将获得部分利润,以托管市场,形成一个巨大的暗网网络,没有单一的故障点。DeSnake说,AlphaBay将是该网络上托管的“品牌”之一,但任何供应商或市场都可以选择建立自己的品牌,其加密功能将使每个市场或商店处于管理员的控制之下,即使其代码在大量机器上被复制。
DeSnake自从他最早在AlphaBay论坛上发帖以来就一直在讨论这个去中心化项目,他承认这还需要几年的时间。但他认为这是一种让AlphaBay在未来执法行动中无懈可击的方式,并可以补偿暗网用户在原始AlphaBay服务器被查封时损失的数百万美元。“说到赚钱,这是对AlphaBay未来的投资。”DeSnake 写道。“说到意识形态,我认为这很清楚。原因是为了让AlphaBay名声大噪……这是我们对暗网领域所发生的事情进行补偿的方式。”
但是,密切关注暗网市场的Flashpoint分析师伊恩-格雷(Ian Gray)说,DeSnake描述的所有防御魔法——无论是AlphaGuard还是去中心化项目——在很大程度上仍是未经证实的言论。例如,去中心化计划将需要大量开发商和网络运营商的集体支持,以支持可能被视为本质上非法的项目。Gray指出,DeSnake没有为该系统或AlphaGuard发布任何代码,并质疑为什么他会在AlphaBay被关闭四年后重新启动,而他的去中心化梦想没有任何实际进展。“除了推出市场之外,他并没有真正展示任何东西,”格雷说。“我不信任 DeSnake,而且我认为整个社区都普遍不信任。”
格雷指出了主要是俄罗斯网络犯罪论坛XSS上的一个帖子,其中许多评论者对DeSnake的回归表示怀疑,有些人暗示他正受到执法部门的控制。“哈哈,DeSnake现在要交多少诚实的同志才能离开惩戒室?” 一位评论者用俄语问道。另一位写道:“这是假的,99.9% 肯定,联邦调查局又开始了。”
一位不愿透露姓名的参与最初AlphaBay调查的美国前执法官员也表示怀疑。“如果我是这个网站的供应商或用户,我会非常担心它被设置为出境骗局或某种类型的蜜罐行动。”这位前官员说,并指出他们不知道任何正在进行的可能针对该网站的执法行动。
卡内基梅隆大学(Carnegie Mellon University)专注于暗网的计算机科学家尼古拉斯-克里斯廷(Nicolas Christin)对照他自己的信息档案中发现的副本,验证了DeSnake的PGP密钥。但他说,那把钥匙可能在执法机构的控制之下,DeSnake本人也可能成为执法合作者。毕竟,在AlphaBay2017 年下线的同时,荷兰警方接管并控制了当时第二大暗网市场Hansa。“这不太可能,”克里斯汀在谈到 DeSnake受到损害的理论时说,“但并非不可能。”
DeSnake反驳说,如果执法部门找到他并推出新的AlphaBay作为蜜罐,他们就会简单地重复使用原始AlphaBay的代码。相反,他说,他从头开始重写。他指出,与仅接受比特币的网站相比,该网站的仅限门罗币的限制将使其在诱捕毫无戒心的暗网买家方面的效果要差得多。
他在暗网市场论坛Dread上给用户的一封邮件中写道:“说了这么多,你自己决定是否与我们一起乘风破浪,走向巅峰。如果你决定不这样做,我可以理解,但随着时间的推移,你将被证明我们是最初的 AB,我们从未在任何形式或形式上‘妥协’过。”
俄罗斯联邦安全局(FSB)公共关系中心周五告诉塔斯社,俄罗斯联邦安全局已经摧毁了一条用于在暗网上供应和销售合成药物的庞大管道,在四个地区拘留了一个贩毒团伙的五名成员。
FSB指出:“联邦安全局已经清理了通过暗网交易市场供应和销售特别大规模合成毒品的最大渠道之一。”
一个全国性犯罪团伙的五名成员在莫斯科、罗斯托夫、阿斯特拉罕和克拉斯诺达尔地区被捕。“被捕者中包括毒品生产和分销渠道背后的策划者,以及协调来自土耳其的非法活动组织者,其负责协调土耳其境内毒品贸易的毒品生产和分销。”FSB说。
要知道,此类任务具有相当的技术复杂性,“暗网”是一个不受政府控制的网络空间。最受欢迎的暗网技术——Tor 网络——最初是由美国情报机构之一为其自己的特工开发的,爱德华·斯诺登(Edward Snowden)在他的回忆录中写道。
早些时候,联邦机构挫败了一个地下实验室的活动,该实验室每月在莫斯科地区生产超过500公斤的毒品。查获非法贩运的甲氧麻黄酮60余公斤、液体麻醉品6000升、前体1500公斤、化学试剂22000公斤。FSB表示:“调查当局正在提出指控并已立案,被拘留者已被还押。”
今年夏天,俄罗斯联邦安全局与联邦海关总署、国防部和国民警卫队一起开展了里海之星2021行动。此次行动的目的是切断通过里海盆地各国走私毒品、武器和弹药的渠道。在行动过程中,有200多人被捕。