在華盛頓有187臺(tái)電腦用于管理閉路監(jiān)控網(wǎng)絡(luò)，其中有123臺(tái)被五名來(lái)自羅馬尼亞的匿名黑客控制了，本月這5名黑客中的兩人將面臨美國(guó)的計(jì)算機(jī)罪名指控。

根據(jù)主導(dǎo)抓捕的歐洲刑警組織的消息，這兩名被捕的嫌疑人使用Cerber勒索病毒攻擊了美國(guó)計(jì)算機(jī)網(wǎng)絡(luò)。此外，美國(guó)特勤局也參與了這起惡意軟件感染事件的調(diào)查。

根據(jù)美國(guó)有線電視新聞網(wǎng)獲得的證詞（該證詞曾被泄露，之后被重新封存），特勤處特工James Graham聲稱此前的美國(guó)司法部計(jì)算機(jī)欺詐案件由兩個(gè)羅馬尼亞人Mihai Alexandru Isvanca和Eveline Cismaru發(fā)起。

在一封面向媒體的電子郵件中，司法部發(fā)言人證實(shí)了逮捕和法庭控訴已經(jīng)同步進(jìn)行。“我們正獨(dú)立進(jìn)行相關(guān)調(diào)查，這二人已被歐洲刑警組織逮捕，所有法庭文件不會(huì)公開(kāi)。”

其他消息顯示，因?yàn)?strong>疑似使用Cerber勒索病毒攻擊美國(guó)閉路監(jiān)控?cái)z像系統(tǒng)，Isvanca和Cismaru在羅馬尼亞被警察逮捕。

交通攝像頭

Graham描述了疑犯如何在2017年的1月9日、1月12日控制了華盛頓警察局用于管理交通攝像頭的電腦，這是一個(gè)勒索計(jì)劃的一部分。

在1月12日，在發(fā)現(xiàn)部分?jǐn)z像頭處于離線狀態(tài)后，華盛頓特區(qū)的警方IT人員和一名特勤局特工使用遠(yuǎn)程桌面協(xié)議（RDP）軟件連接到了控制攝像機(jī)的服務(wù)器之一。

他們觀察到，該設(shè)備運(yùn)行了多個(gè)意想不到的窗口，包括：歐洲航運(yùn)公司Hermes的號(hào)碼追蹤；瀏覽器窗口，頁(yè)面是用Sendgrid帳戶登陸的多個(gè)活躍郵箱；瀏覽器窗口，內(nèi)容是“電子郵件在線驗(yàn)證器”的谷歌搜索結(jié)果；URL為http://emailx.discoveryvip.com/的瀏覽器窗口；一個(gè)寫(xiě)滿編程代碼和文本的記事本程序；一個(gè)顯示Cerber勒索攻擊的閃動(dòng)窗口。

服務(wù)器的IT管理員隨后封鎖了被入侵設(shè)備的網(wǎng)絡(luò)訪問(wèn)，并將該設(shè)備連同其他兩臺(tái)電腦一起從監(jiān)控系統(tǒng)中移除。

調(diào)查人員確信，兩個(gè)勒索軟件變種Cerber和Dharma被安裝在了該電腦上。他們還發(fā)現(xiàn)了一個(gè)文本文件“USA.txt”，記錄了179616個(gè)電子郵件地址，用于向勒索攻擊的受害者發(fā)送垃圾郵件。隨后在疑犯所用的某個(gè)郵件帳戶中，調(diào)查人員發(fā)現(xiàn)了一個(gè)使用相同校驗(yàn)方式的文本文件。

案中涉及的電子郵件地址,分析師認(rèn)為vand.suflete@gmail.com是疑犯偏好的地址。Graham指出，羅馬尼亞語(yǔ)中的“vand suflete”意為“販賣(mài)靈魂”。

遠(yuǎn)程控制

Graham解釋說(shuō)，從谷歌獲取的Gmail郵箱記錄里包括一個(gè)Cerber控制面板的鏈接。Isvanca和Cismaru租用Cerber來(lái)感染受害者、更改文件、綁票數(shù)據(jù)。

他解釋說(shuō)在法庭文件中。“根據(jù)我的訓(xùn)練和經(jīng)驗(yàn)，Cerber商業(yè)模式是：Cerber惡意軟件的發(fā)明/所有者將Cerber資源出售給客戶。Cerber控制面板是一個(gè)網(wǎng)站，允許Cerber客戶在不訪問(wèn)源代碼的情況下使用Cerber框架，從而讓發(fā)明/所有者在保留知識(shí)產(chǎn)權(quán)的情況下售賣(mài)惡意軟件來(lái)獲得額外收入。”

歐洲刑警組織稱這種模式為“犯罪即服務(wù)(CaaS)”。

電子郵件帳戶之間的聯(lián)系最終暴露了Isvanca和Cismaru。

調(diào)查人員聯(lián)系了vand.suflete@gmail.com中提到的電子郵件帳戶所有者，以確認(rèn)他們的系統(tǒng)是否已被破壞。一位不愿透露身份的公司確認(rèn)自身已經(jīng)遭到黑客入侵，并返回了系統(tǒng)中Cerber啟動(dòng)頁(yè)面的截圖。

通過(guò)被入侵的域控制器電腦上的Hermes貨運(yùn)號(hào)碼，調(diào)查人員追蹤到一個(gè)倫敦的地址，但是英國(guó)國(guó)家犯罪調(diào)查機(jī)構(gòu)沒(méi)有發(fā)現(xiàn)可以表明收件人參與勒索方案的證據(jù)。

英國(guó)醫(yī)療行業(yè)被黑

域控制器計(jì)算機(jī)上用于創(chuàng)建訂單的IP地址，可以追溯到一家英國(guó)的醫(yī)療公司。該IP地址也被發(fā)現(xiàn)存在于vand.suflete@gmail.com的電子郵件帳戶清單里。

該公司匿名地向調(diào)查人員承認(rèn)，該公司的eXpressApp框架(XAF)系統(tǒng)上的一個(gè)用戶帳戶被盜了。通過(guò)對(duì)該IP地址進(jìn)行快速查找，可以發(fā)現(xiàn)它與醫(yī)療保健公司W(wǎng)ellWork Ltd的紐卡斯?fàn)栟k公室有關(guān)，該公司的名字也在法庭文件中作為一個(gè)RDP連接字出現(xiàn)。

通過(guò)將林林總總的電子郵件帳戶和IP地址與欺詐數(shù)據(jù)庫(kù)進(jìn)行比對(duì)，羅馬尼亞警方可以獲得足夠的細(xì)節(jié)來(lái)形成進(jìn)一步的電子證據(jù)。

Facebook和YouTube的記錄也幫了調(diào)查人員的大忙。根據(jù)Graham的經(jīng)驗(yàn)，人們常常對(duì)社交媒體賬戶上的信息做出輕微的改動(dòng)來(lái)掩蓋身份。但這些改動(dòng)被證明不足以欺騙調(diào)查人員。