在泰國(guó)、新加坡執(zhí)法部門與網(wǎng)絡(luò)安全公司Group-IB的協(xié)同努力下，一名與全球90多起數(shù)據(jù)泄露案件有關(guān)的黑客被逮捕。這名黑客曾以GHOSTR、ALTDOS、DESORDEN和0mid16B等多個(gè)網(wǎng)絡(luò)身份活躍，據(jù)稱其在暗網(wǎng)市場(chǎng)上竊取并出售了超過(guò)13TB的敏感信息，其中包括政府機(jī)構(gòu)的記錄。此外，他還是臭名昭著的網(wǎng)絡(luò)犯罪和數(shù)據(jù)泄露平臺(tái)Breach Forums的活躍成員。

GHOSTR因多重賬戶被Breach Forums封禁（截圖來(lái)源：Hackread.com）

多國(guó)作案，行業(yè)廣泛

自2020年起，這名黑客的目標(biāo)主要集中在新加坡、馬來(lái)西亞、巴基斯坦和印度等亞太地區(qū)國(guó)家，后來(lái)逐漸擴(kuò)展到歐洲、北美和中東。受害者涉及醫(yī)療、金融、電子商務(wù)和物流等多個(gè)行業(yè)。起初，他通過(guò)威脅泄露被盜數(shù)據(jù)向公司施壓，要求支付贖金，并在要求被忽視時(shí)向媒體或監(jiān)管機(jī)構(gòu)發(fā)出警告。后來(lái)，他轉(zhuǎn)向在暗網(wǎng)論壇上直接出售數(shù)據(jù)庫(kù)，以高質(zhì)量泄露和高端定價(jià)而聞名。在某些情況下，他甚至?xí)苯油ㄟ^(guò)電子郵件與客戶聯(lián)系，迫使公司就范。

根據(jù)Group-IB于周四發(fā)布的新聞稿，該黑客利用常見漏洞滲透系統(tǒng)，使用sqlmap等工具執(zhí)行SQL注入攻擊，以訪問(wèn)后端數(shù)據(jù)庫(kù)，并入侵安全防護(hù)薄弱的遠(yuǎn)程桌面協(xié)議（RDP）服務(wù)器。一旦進(jìn)入系統(tǒng)，他便部署修改版的滲透測(cè)試工具CobaltStrike，以維持對(duì)受攻擊網(wǎng)絡(luò)的控制權(quán)，并將提取的數(shù)據(jù)復(fù)制到云端服務(wù)器用于勒索。

多重身份，追蹤艱難

調(diào)查人員面臨的最大挑戰(zhàn)是該黑客頻繁更換別名和策略。Group-IB通過(guò)分析暗網(wǎng)論壇上的寫作風(fēng)格、發(fā)布格式和目標(biāo)偏好，將這些身份關(guān)聯(lián)起來(lái)。例如，ALTDOS在2020年主要針對(duì)泰國(guó)受害者，而DESORDEN后來(lái)則瞄準(zhǔn)了零售、金融、物流、保險(xiǎn)、醫(yī)療、酒店、招聘、科技、電子商務(wù)和房地產(chǎn)投資等領(lǐng)域。

盡管多次因詐騙和虛假賬戶被論壇封禁，該黑客仍不斷更換身份繼續(xù)作案，直到其在線活動(dòng)的蹤跡被當(dāng)局追查到現(xiàn)實(shí)中的真實(shí)身份。在逮捕行動(dòng)中，泰國(guó)當(dāng)局查獲了多臺(tái)筆記本電腦、電子設(shè)備以及用數(shù)據(jù)銷售所得購(gòu)買的大量奢侈品。

查獲物品（來(lái)源：Group-IB）

Group-IB通過(guò)研究該黑客的行為模式和技術(shù)線索，成功將其多個(gè)身份關(guān)聯(lián)起來(lái)。這一案例讓人聯(lián)想到巴西黑客USDoD，其真實(shí)身份在被CrowdStrike揭露后被捕，進(jìn)一步證明了網(wǎng)絡(luò)犯罪追蹤的可能性。