Rumunski kriminalci koristili sistem za video nadzor policije u Vašingtonu za širenje ransomwarea

Sajber hronika, 22.12.2017, 00:30 AM

Rumunski kriminalci koristili sistem  za video nadzor policije u Vašingtonu za širenje ransomwarea

Državljani Rumunije, jedan muškarac i jedna žena, optuženi su za hakovanje sistema za video nadzor na otvorenom koji pripada policiji Vašingtona, koji su koristili za distribuciju ransomwarea.

Mihaj Aleksandru Isvanka i Evelin Cismaru uhapšeni su prošle nedelje tokom operacije Bakovia, tokom koje je uhapšeno pet osoba optuženih za distribuciju spam elektronske pošte preko koje su šireni ransomwarei CTB-Locker i Cerber.

Prema izveštaju američke Tajne službe, Isvanka i Cismaru su optuženi za hakovanje 123 od 187 sigurnosnih kamera koje je postavilo Odeljenje Metropoliten policije Okruga Kolumbija (MPDC) a koje su deo sistema koji policija Vašingtona koristi za video nadzor javnih površina širom grada. Svaka od ovih sigurnosnih kamera je kontrolisana preko namenskog računara koji se instalira odmah pored kamere i koji je povezan sa MPDC mrežom.

Američki istražitelji kažu da su Isvanka i Cismaru uspeli da preko sigurnosnih kamera pristupe računarima koji ih kontrolišu. Oni su se navodno prijavljivali preko RDP-a i pokretali razne programe koji su im bili potrebni za slanje spam emailova.

Upad se dogodio 9. januara a vašingtonska policija ga je otkrila 12. januara posle čega je sistem bio isključen četiri dana, do 15. januara, da bi se mreža očistila i zaštitila.

Isključivanje celokupnog CCTV sistema u Vašingtonu dogodilo se dve nedelje pre ceremonije inauguracije predsednika Trampa što je izazvalo uznemirenost u američkim medijima, jer su mnogi ovaj incident prvobitno pripisali neidentifikovanim hakerima koji rade za interese neke države.

Agenti američke Tajne službe uključili su se u istragu i pregledali tri kompromitovana računara. Od svega što su otkrili istražitelji, najznačajnija je bila aktivna sesija browsera za SendGrid nalog registrovan pod imenom Dejvida Endrua (david.andrews2005@gmail.com). SendGrid nalog se koristio za slanje spam emailova na 179616 email adresa, koji su sadržali fajl pod nazivom USA.txt, pronađen na kompromitovanim računarima.

Pored email adrese Dejvida Endrua, istraživači su otkrili i da je isti računar korišćen za pristup sandučetu za prijem pošte naloga anonimano027@gmail.com. Pošto su dobili sudski nalog za pristup ovom nalogu, istražitelji su u prijemnom sandučetu pronašli nekoliko emailova od interesa za istragu.

Email prepiska je otkrila da je na nalog anonimano027@gmail.com stigao spisak IP adresa, korisničkih imena i lozinki sa naloga vand.suflete@gmail.com ("vand suflete" na rumunskom znači "prodati duše"). Na spisku su bile 94 IP adrese koje pripadaju drugim hakovanim MPDC sistemima za nadzor.

Još jedan email sa istog naloga otkrio je listu IP adresa, korisničkih imena i lozinki za računare zaražene Cerber ransomwareom. Neke IP adrese su označene su sa "ars", što na rumunskom znači "zapaljeno", dok je IP adresa označena sa "aici", što znači "ovde", bila IP adresa kompromitovanog računara koji je pregledala Tajna služba.

Kada su istražitelji pogledali u prijemno sanduče naloga vand.suflete@gmail.com, pronašli su vezu sa kontrolnim panelom operacije Cerber ransomwarea. Takođe su pronašli tri emaila koja su sadržala PDF fajlove koji bi instalirali Cerber i Dharma ransomware. Ovi fajlovi su takođe bili hostovani na kompromitovanim MPDC sistemima.

Veruje se da je Isvanka stajao iza sva tri email naloga i da ih je koristio za slanje podataka kompromitovanim računarima.

Trag koji je istražitelje doveo do Isvanke je to što je koristio svoju ličnu email adresu kao email adresu za oporavak naloga anonimano027@gmail.com. Anonimano027@gmail.com Isvanka je koristio i za registraciju na hakerskom forumu ifud.vs, gde je objavio oglas pod imenom "Tommy Tommy" u kome je tražio one koje "žele da rade za cerber virus za dobar procenat".

Isvanka koristio IP adresu 86.107.57.138 za registraciju i pristup svim svojim email nalozima, a ista IP adresa je korišćena i za hakovanje mreže britanske zdravstvene organizacije čije je servere Isvanka koristio za svoj posao sa ransomwareima.

Ova IP adresa je istražitelje dovela do rumunskog internet provajdera iz Bukurešta. Kompanija, Teen Telecom, je vlastima predala informacije o pravom identitetu svog korisnika Mihaja Isvanke.

Vlasti su povezale Isvanku sa Cismaruom jer je Cismaru koristila svoju email adresu (eveline.cismaru@gmail.com) za slanje liste IP adresa na Isvankin nalog vand.suflete@gmail.com, odakle je lista prosleđena na anonimano027@gmail.com nalog koji je pronađen na kompromitovanim MPDC sistemima.

Logovi su otrkili i da je Cismaru poslala fajl USA.txt na email adresu david.andrews2005@gmail.com.

Američke vlasti nisu imale poteškoća u otkrivanju pravog identiteta Cismarua, pošto ona nije koristila nijednu drugu osim svoje lične email adrese koju je koristila u stvarnom životu, a njeno prijemno sanduče sadržalo je sve informacije koje su istražiteljima pomogle da otkriju gde se ona nalazi.

I Isvanka i Cismaru su rumunski državljani koji žive u Londonu ali su u vreme hapšenja bili u Rumuniji. Uhapšeni su na aerodromu u Bukureštu dok su pokušavali da napuste zemlju.

Rumunska policija je pokušala da optuži ovo dvoje i za druga krivična dela, ali je morala da odustane od tih optužbi zbog nedostatka dokaza.

Međutim, američka Tajna služba nije imala taj problem pošto je zaplenila i analizirala hakovane računare policije Vašingtona. Američki istražitelji su pratili dvoje rumunskih državljana do njihovih Facebook naloga i profila na YouTubeu. Oni su došli i do brojeva njihovih pasoša, ličnih karata i mnogo drugih informacija.

Isvanka je pronađen i u bazi podataka Agencije za borbu protiv kriminala Velike Britanije, gde je bio "označen kao sumnjiv zbog činjenice da se adresa za naplatu ne poklapa sa adresom za dostavu".

Američki istražitelji su pronašli i email prepisku Isvanke i Cismarua koja sadrži detalje o hiljadama kreditnih kartica.

Pored toga, Isvanka je koristio email nalog david.andrews2005@gmail.com kada je naručivao picu koja mu je dostavljana na adresu stana u Bukureštu u kome je boravio. Prema rumunskim vlastima, stan je u vlasništvu Ovidija Alekandra Dana, čoveka koji je zbog kriminala uhapšen i optužen prošle godine i kome se trenutno sudi u Bukureštu.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Devojka koja je hakovala email nalog Selene Gomez mogla bi da bude osuđena na 9 godina zatvora

Devojka koja je hakovala email nalog Selene Gomez mogla bi da bude osuđena na 9 godina zatvora

21-godišnja Suzan Atrik iz Nju Džerzija optužena je za hakovanje email naloga pop zvezde i glumice Selene Gomez, i krađu njenih privatnih fotograf... Dalje

SAD optužile 12 ruskih obaveštajaca zbog mešanja u američke predsedničke izbore

SAD optužile 12 ruskih obaveštajaca zbog mešanja u američke predsedničke izbore

Američko Ministarstvo pravde optužilo je 12 ruskih obaveštajnih agenata za hakerske napade vezane za predsedničke izbore 2016. godine. Prema navod... Dalje

Uhapšen bivši radnik NSO Grupe zbog prodaje špijunskog softvera kompanije za 50 miliona dolara

Uhapšen bivši radnik NSO Grupe zbog prodaje špijunskog softvera kompanije za 50 miliona dolara

Bivši radnik NSO Grupe, kompanije koja prodaje 0-day exploite i moćni špijunski softver širom sveta, uhapšen je i optužen u Izraelu zbog krađe ... Dalje

Tinejdžeri uhapšeni zbog hakovanja 700000 naloga

Tinejdžeri uhapšeni zbog hakovanja 700000 naloga

Ruska policija uhapsila je dvojicu tinejdžera zbog hakovanja i prodaje pristupa za preko 700000 online naloga u ruskim online prodavnicama, platnim s... Dalje

Bivši programer CIA optužen za najveće curenje tajnih dokumenata i hakerskih alata u istoriji agencije

Bivši programer CIA optužen za najveće curenje tajnih dokumenata i hakerskih alata u istoriji agencije

Dvadesetdevetogodišnji programer koji je bio zaposlen u CIA, a koji je prošle godine optužen za posedovanje dečje pornografije, sada je optužen i... Dalje