Кто является автором GovRAT и бот-мастером Mirai 'Bestbuy'?

В феврале 2017 года власти в Соединенного Королевства арестовали 29-летнего британского молодого человека по подозрению в том, что он нанес удар - атаку более 900 000 немцам, связанную с Mirai, вредоносным штампом, который порабощает интернет - устройства Things (IoT), такие как камеры безопасности и интернет-маршрутизаторы для использования в крупномасштабных кибератаках. Следователи еще не огласили имя этого человека, но новостные сообщения говорят о том, что он может быть хорошо известен хакерским дескрипторам «Bestbuy». Этот пост будет следовать по маршруту улик к одной из вероятных реалий личности Bestbuy.

В конце ноября 2016 года модифицированная версия Mirai начала распространяться по сетям немецкого провайдера Deutsche Telekom. Эта версия червя Mirai распространяется так быстро, что сам процесс сканирования новых заражаемых хостов перегружает устройства, выполняющие свою работу, что приводит к разовому отключению более 900000 клиентов. Та же самая бот-сеть ранее была привязана к атакам на широкополосные провайдеры U.K. и Office Talk Talk.

Компания Security Tripwire опубликовала отчет о неудавшейся атаке Mirai, отметив, что имена доменов, привязанных к серверам, используемых для координации действий ботнета, были зарегистрированы по-разному, как «Питер Паркер» и «Человек паук» и на адрес в Израиле (27 Hofit St). Мы вернемся к Человеку-пауку через мгновение.

По мнению нескольких охранных фирм, ботнет Mirai, ответственный за отключение сетей Deutsche Telekom, контролировался через серверы по интернет-адресу 62.113.238.138. Farsight Security, компания, которая сопоставляет, какие доменные имена к каким интернет адресам привязаны, сообщает, что на этом адресе было всего девять доменов.

Единственный из этих доменов, который не связаны с Mirai, - это dyndn-web[dot]com, который согласно отчету от BlueCoat от 2015 года (теперь Symantec) был связан с использованием и продажей трояна удаленного доступа (RAT) под названием «GovRAT». Троян задокументирован, он использовался в многочисленных кампаниях по кибер - шпионажу против правительства, финансовых учреждений, оборонных подрядчиков и более чем 100 корпораций.

Еще один отчет о GovRAT - это показания одного из служащих фирмы InfoArmor – о том, что вредоносное программное обеспечение GovRAT продавалось в темной сети на форумах BlackBar хакерами, которые известны под именами BestBuy и «Popopret» (некоторые эксперты полагают, что это были две разные личности, одного и того же киберпреступника).

Хакер «BestBuy» продает свой троянец GovRAT на темном веб-форуме «Hell». Изображение: InfoArmor.

GovRAT продается на разных сайтах, связанных с вредоносными программами и эксплойтами, начиная с 2014 года. Сегодня, например, он был продан пользователем, который выбрал псевдоним Spdr и использовал адрес электронной почты [email protected].

Напомним, что домены, используемые для управления ботнетом Mirai, которые были направлены в «Deutsche Telekom», имели формы «Человек-паук» в регистрационных записях. Также контроллер, используемый для управления трояном GovRAT, и ботнетом Mirai одновременно были размещены на одном сервере с несколькими иными доменами.

Согласно отдельному отчету (PDF) от InfoArmor, GovRAT также был продан вместе со службой, которая позволяет любому человеку подписывать свою вредоносную программу, используя сертификаты подписи кода, украденные у законных компаний. InfoArmor сообщила, что найденная цифровая подпись, связанная с этой услугой, была выпущена разработчиком с открытым исходным кодом Сингх Адитья, используя адрес электронной почты [email protected].

Интересно, что оба этих адреса электронной почты - [email protected] и [email protected] - были подключены к аналогично названным учетным записям пользователей в vDOS, на протяжении многих лет крупнейшая служба DDoS-for-hire (то есть до тех пор, пока KrebsOnSecurity не вышел из пол контроля собственников, двух 18-летних израильских мужчин).

Прошлым летом vDOS подвергся массовому взлому, и копия его пользовательских и платежных баз данных была передана автору и федеральным правоохранительным органам Соединенных Штатов Америки. Рассекреченная база данных показывает, что оба этих адреса электронной почты привязаны к учетным записям на vDOS с именем «bestbuy и bestbuy2».

Список продаж Spdr01 троянца GovRAT на сайте вредоносных программных обеспечений и эксплойтов показывает, что он использовал адрес электронной почты [email protected]

Просочившаяся база данных vDOS также содержала подробные записи интернет адресов, которые клиенты использовали для входа в службу атаки на прокат. Эти журналы показывают, что учетные записи bestbuy и bestbuy2 регистрируются неоднократно с нескольких разных IP-адресов в Великобритании и Гонконге.

Журналы технической поддержки указывают, что причина, по которой база данных vDOS показывает две разные учетные записи с именем «bestbuy», - это то, что администраторы vDOS запретила оригинальную «самую выгодную» учетную запись после того, как она была зарегистрирована как из Великобритании, так и из Гонконга. Претензии Bestbuy к администраторам vDOS о том, что он не делится аккаунтом, и что странные действия можно объяснить его недавнюю поездку в Гонконг, не заставила их возвратить деньги или возобновить первоначальную учетную запись.

Ряд подсказок в приведенных выше данных свидетельствует о том, что лицо, ответственное за бот-сеть Mirai и GovRAT, связано с Израилем. Во-первых, адрес электронной почты [email protected] был использован для регистрации как минимум трех доменных имен, все из которых привязаны к большой семье в Израиле. Более того, в нескольких сообщениях темной сети, можно увидеть, как Bestbuy спрашивает, есть ли у кого-нибудь «трава для продажи в Израиле», отметив, что он не хочет рисковать, получая наркотики по почте.

Домены, привязанные к [email protected], привели к очень глубокой кроличьей норе, которая, в конечном счете, не стала полезной в этом исследовании. Но, похоже, что прозвище «spdr01» и адрес электронной почты [email protected] были использованы еще в 2008 году основным членом израильского форума взлома и чата IRC Binaryvision.co.il.

Посетив страницу архива Binaryvision по этому пользователю, мы можем видеть, что Spdr был технически подкованным человеком, он разместил несколько статей об уязвимостях кибербезопасности и безопасности в мобильных сетях (Google Chrome или Google Translate ловко переводит эти статьи с иврита на английский).

Я связался с несколькими действующими членами Binaryvision и спросил, есть ли еще кто-то поддерживающий контакт с Spdr со старых времен. Один из членов сказал, что он считает, что Spdr имеет двойное гражданство Израиля и США, что ему примерно 30 лет. Другой сказал, что Spdr недавно был женат. Никто из тех, кто поделился информацией, не хотел быть идентифицированным в этой истории.

Но некоторые поиски в социальных сетях этих пользователей показали, что у них был общий друг, который соответствует приведенному выше описанию. Профиль в Facebook одного парня по имени Даниэль Кай с псевдонимом «DanielKaye.il» (.il - это домен верхнего уровня для Израиля) показывает, что ему на данный момент 29 лет, и он был вовлечен в брак с молодой женщиной по имени Кэтрин из Соединенного Королевства.

Фоновое изображение профиля Кая в Facebook - это изображение Гонконга, а последнее действие Кая в Facebook, по-видимому, просмотр отдыха и спорта в Гонконге.

Используя Domaintools.com (полное раскрытие: Domaintools является рекламодателем в этом блоге), я запустил «обратного WHOIS» поиск по имени «Даниэль Кай», на что получил 103 текущих исторических домена. Один из них, в частности, привлек мое внимание: Cathyjewels[dot]com, который, как оказалось, привязан к собственному ювелирному магазину, расположенному в США.

Cathyjewels[dot]com был зарегистрирован в 2014 году Даниэль Каем в Эгхаме, США, используя адрес электронной почты [email protected]. Я решил запустить этот адрес электронной почты через Socialnet, плагин для инструмента анализа данных Maltego, который просматривает десятки сайтов социальных сетей для пользовательских терминов. Socialnet сообщает, что этот адрес электронной почты привязан к учетной записи в Gravatar - службе, которая позволяет пользователям сохранять один и тот же аватар на нескольких веб-сайтах. Имя в этой учетной записи? Вы догадались: Spdr01.

Выход из плагина Socialnet для Maltego при поиске адреса электронной почты [email protected].

Даниэль Кай не ответил на многочисленные письма с просьбой прокомментировать случившиеся, отправленные через Facebook, и на различные адреса электронной почты, упомянутые здесь.

В случае если кто-то захочет следить за этим исследованием, я выделил основные закономерности между точками данных, упомянутыми в этом посте, в следующей карте.

«Карта рассуждений», отслеживающая некоторые исследования, упомянутые в этом сообщении.