美国政府周三公布了对“一个组织松散、出于经济动机的网络犯罪集团”的五名嫌疑人的刑事指控,这些指控与许多备受瞩目和毁灭性的黑客攻击有关。
10 月 8 日,一份未密封的联邦大陪审团起诉书指控这五名男子在作为黑客组织的一部分活动时犯有阴谋、电信欺诈和身份盗窃罪。
“我们指控这群网络犯罪分子实施了一项复杂的计划,窃取了价值数千万美元的知识产权和专有信息,”加利福尼亚州中区联邦检察官马丁·埃斯特拉达 (Martin Estrada) 说,该案正在那里被起诉。
据谷歌云的 Mandiant 称,嫌疑人据称是被称为“Scattered Spider”的犯罪集团的一部分,该集团与使用“社会工程技术以企业呼叫中心为目标、广泛的 SMS 网络钓鱼活动和各种其他更复杂的技术来破坏主要组织”的攻击有关。
起诉书中提到的嫌疑人包括德克萨斯州 23 岁的艾哈迈德·霍萨姆·埃尔丁·埃尔巴达维 (Ahmed Hossam Eldin Elbadawy),又名“AD”;诺亚·迈克尔·厄本(Noah Michael Urban),20岁,又名“索萨”(Sosa)和“伊利亚”(Elijah),来自佛罗里达州;德克萨斯州 20 岁的 Evans Onyeaka Osiebo;以及北卡罗来纳州 25 岁的乔尔·马丁·埃文斯 (Joel Martin Evans),又名“joeleoli”。
联邦调查局周二在北卡罗来纳州逮捕了埃文斯;厄本已经作为另一起联邦案件的一部分被拘留。政府没有说明埃尔巴达维和奥西博是否仍然在逃。除了起诉书外,截至周四,所有其他案件记录仍处于保密状态。
当局周三还公布了一份针对苏格兰 22 岁男子泰勒·罗伯特·布坎南 (Tyler Robert Buchanan) 的部分编辑刑事起诉书,日期为 5 月 25 日。他被指控共谋实施阴谋、电信欺诈和严重身份盗窃。
西班牙警方于 5 月 31 日逮捕了布坎南。6 月 21 日,美国检察官办公室提交了引渡他的请求。
Scattered Spider 与针对 130 多个不同组织的攻击有关,主要是通过社会工程学进行的。该组织还与总部位于俄罗斯的勒索软件组织 Alphv(又名 Alphv)合作。BlackCat,通常以西方受害者为目标。
“这些个人以及他们合作的其他行为者通过他们的破坏性入侵给北美各地的组织造成了如此多的痛苦和经济损失,”Google Cloud Mandiant 的首席技术官 Charles Carmakal 说。
“这对执法部门来说是一个不错的胜利,随着时间的推移,它严重阻碍了该组织今年的快节奏,”Carmakal 说。
FBI 将嫌疑人与至少 45 起袭击事件联系起来
联邦调查局表示,它已将这五名嫌疑人与针对美国和国外(包括加拿大、英国和印度)的至少 45 家公司联系起来。法庭文件显示,该组织的受害者或未遂受害者包括美国的“数十家公司”,涉及多个领域,包括社交媒体、风险投资、互动娱乐、电信和技术、咨询公司、云提供商和虚拟货币。
被告还被指控从 29 名受害者那里窃取价值至少 1100 万美元的虚拟货币。
嫌疑人被指控至少在 2021 年 9 月至 2023 年 4 月期间进行网络钓鱼攻击,经常向目标公司的员工发送大量短信。这些消息通常声称来自公司,或者来自受信任的 IT 或业务供应商,并且“通常表示员工的帐户即将被停用,并提供指向网络钓鱼网站的链接,这些网站旨在看起来像受害者公司或其签约供应商的合法网站,并引诱收件人提供机密信息, 包括帐户登录凭据,“司法部说。
FBI 表示,攻击者的网络钓鱼工具包包括诱骗受害者不仅输入他们的用户名和密码的能力,还包括他们可能作为双因素身份验证请求的一部分收到的任何一次性代码。
检察官指控嫌疑人使用被盗的身份验证信息访问受害者的网络和“机密信息,包括机密工作成果、知识产权和个人身份信息,例如帐户访问凭据、姓名、电子邮件地址和电话号码”。
美国司法部表示,据称该组织还使用通过这些入侵获得的信息——泄露的数据集和其他来源——“未经授权访问许多人的加密货币账户和钱包,并窃取价值数百万美元的虚拟货币”。
苏格兰没收嫌疑人的设备
虽然检察官不需要在起诉书中详细说明与案件有关的所有证据,但美国向西班牙提交的引渡请求包含了在苏格兰执法部门单独调查过程中收集的证据的额外细节。
引渡请求称,苏格兰警方于 2023 年 4 月搜查了布坎南在邓迪的住所,没收了大约 20 台数字设备——包括台式机和笔记本电脑、外部存储设备和电话——并与联邦调查局分享了它们的数字取证副本,时间为 2023 年 11 月至 2024 年 1 月。
联邦调查局表示,在苏格兰警方没收的设备的浏览器搜索历史中,它发现了对网络钓鱼服务管理控制台的多次访问、登录受害者公司的尝试、美国公司员工的用户名和密码,以及包括 Telegram 聊天截图在内的消息,其中提到了用于从受害者那里获取价值至少 300 万美元的加密货币的“SIM 卡交换和社会工程”计划。
该局表示,从布坎南查获的其中一个系统包含一个网络钓鱼工具包,被描述为“一种软件程序,旨在捕获进入网络钓鱼网站的信息(例如用户名和密码),然后将该信息传输到攻击者可以访问的另一个数据库。调查人员表示,他们认为 Telegram 频道是由一位未透露姓名的同谋者访问的。
它表示,安装的网络钓鱼工具包与托管在用于发起网络钓鱼攻击的虚拟专用服务器上的网络钓鱼工具包具有相同的哈希值。
联邦调查局表示,在布坎南的系统上发现的区块链“快捷方式”引用了一个加密货币地址——它认为该地址由他控制——从 2022 年 10 月到 2023 年 2 月,通过该地址转入或转出 391 个比特币,目前价值 3000 万美元。