Rumunski kriminalci koristili sistem za video nadzor policije u Vašingtonu za širenje ransomwarea

Sajber hronika, 22.12.2017, 00:30 AM

Državljani Rumunije, jedan muškarac i jedna žena, optuženi su za hakovanje sistema za video nadzor na otvorenom koji pripada policiji Vašingtona, koji su koristili za distribuciju ransomwarea.

Mihaj Aleksandru Isvanka i Evelin Cismaru uhapšeni su prošle nedelje tokom operacije Bakovia, tokom koje je uhapšeno pet osoba optuženih za distribuciju spam elektronske pošte preko koje su šireni ransomwarei CTB-Locker i Cerber.

Prema izveštaju američke Tajne službe, Isvanka i Cismaru su optuženi za hakovanje 123 od 187 sigurnosnih kamera koje je postavilo Odeljenje Metropoliten policije Okruga Kolumbija (MPDC) a koje su deo sistema koji policija Vašingtona koristi za video nadzor javnih površina širom grada. Svaka od ovih sigurnosnih kamera je kontrolisana preko namenskog računara koji se instalira odmah pored kamere i koji je povezan sa MPDC mrežom.

Američki istražitelji kažu da su Isvanka i Cismaru uspeli da preko sigurnosnih kamera pristupe računarima koji ih kontrolišu. Oni su se navodno prijavljivali preko RDP-a i pokretali razne programe koji su im bili potrebni za slanje spam emailova.

Upad se dogodio 9. januara a vašingtonska policija ga je otkrila 12. januara posle čega je sistem bio isključen četiri dana, do 15. januara, da bi se mreža očistila i zaštitila.

Isključivanje celokupnog CCTV sistema u Vašingtonu dogodilo se dve nedelje pre ceremonije inauguracije predsednika Trampa što je izazvalo uznemirenost u američkim medijima, jer su mnogi ovaj incident prvobitno pripisali neidentifikovanim hakerima koji rade za interese neke države.

Agenti američke Tajne službe uključili su se u istragu i pregledali tri kompromitovana računara. Od svega što su otkrili istražitelji, najznačajnija je bila aktivna sesija browsera za SendGrid nalog registrovan pod imenom Dejvida Endrua ([email protected]). SendGrid nalog se koristio za slanje spam emailova na 179616 email adresa, koji su sadržali fajl pod nazivom USA.txt, pronađen na kompromitovanim računarima.

Pored email adrese Dejvida Endrua, istraživači su otkrili i da je isti računar korišćen za pristup sandučetu za prijem pošte naloga [email protected]. Pošto su dobili sudski nalog za pristup ovom nalogu, istražitelji su u prijemnom sandučetu pronašli nekoliko emailova od interesa za istragu.

Email prepiska je otkrila da je na nalog [email protected] stigao spisak IP adresa, korisničkih imena i lozinki sa naloga [email protected] ("vand suflete" na rumunskom znači "prodati duše"). Na spisku su bile 94 IP adrese koje pripadaju drugim hakovanim MPDC sistemima za nadzor.

Još jedan email sa istog naloga otkrio je listu IP adresa, korisničkih imena i lozinki za računare zaražene Cerber ransomwareom. Neke IP adrese su označene su sa "ars", što na rumunskom znači "zapaljeno", dok je IP adresa označena sa "aici", što znači "ovde", bila IP adresa kompromitovanog računara koji je pregledala Tajna služba.

Kada su istražitelji pogledali u prijemno sanduče naloga [email protected], pronašli su vezu sa kontrolnim panelom operacije Cerber ransomwarea. Takođe su pronašli tri emaila koja su sadržala PDF fajlove koji bi instalirali Cerber i Dharma ransomware. Ovi fajlovi su takođe bili hostovani na kompromitovanim MPDC sistemima.

Veruje se da je Isvanka stajao iza sva tri email naloga i da ih je koristio za slanje podataka kompromitovanim računarima.

Trag koji je istražitelje doveo do Isvanke je to što je koristio svoju ličnu email adresu kao email adresu za oporavak naloga [email protected]. [email protected] Isvanka je koristio i za registraciju na hakerskom forumu ifud.vs, gde je objavio oglas pod imenom "Tommy Tommy" u kome je tražio one koje "žele da rade za cerber virus za dobar procenat".

Isvanka koristio IP adresu 86.107.57.138 za registraciju i pristup svim svojim email nalozima, a ista IP adresa je korišćena i za hakovanje mreže britanske zdravstvene organizacije čije je servere Isvanka koristio za svoj posao sa ransomwareima.

Ova IP adresa je istražitelje dovela do rumunskog internet provajdera iz Bukurešta. Kompanija, Teen Telecom, je vlastima predala informacije o pravom identitetu svog korisnika Mihaja Isvanke.

Vlasti su povezale Isvanku sa Cismaruom jer je Cismaru koristila svoju email adresu ([email protected]) za slanje liste IP adresa na Isvankin nalog [email protected], odakle je lista prosleđena na [email protected] nalog koji je pronađen na kompromitovanim MPDC sistemima.

Logovi su otrkili i da je Cismaru poslala fajl USA.txt na email adresu [email protected].

Američke vlasti nisu imale poteškoća u otkrivanju pravog identiteta Cismarua, pošto ona nije koristila nijednu drugu osim svoje lične email adrese koju je koristila u stvarnom životu, a njeno prijemno sanduče sadržalo je sve informacije koje su istražiteljima pomogle da otkriju gde se ona nalazi.

I Isvanka i Cismaru su rumunski državljani koji žive u Londonu ali su u vreme hapšenja bili u Rumuniji. Uhapšeni su na aerodromu u Bukureštu dok su pokušavali da napuste zemlju.

Rumunska policija je pokušala da optuži ovo dvoje i za druga krivična dela, ali je morala da odustane od tih optužbi zbog nedostatka dokaza.

Međutim, američka Tajna služba nije imala taj problem pošto je zaplenila i analizirala hakovane računare policije Vašingtona. Američki istražitelji su pratili dvoje rumunskih državljana do njihovih Facebook naloga i profila na YouTubeu. Oni su došli i do brojeva njihovih pasoša, ličnih karata i mnogo drugih informacija.

Isvanka je pronađen i u bazi podataka Agencije za borbu protiv kriminala Velike Britanije, gde je bio "označen kao sumnjiv zbog činjenice da se adresa za naplatu ne poklapa sa adresom za dostavu".

Američki istražitelji su pronašli i email prepisku Isvanke i Cismarua koja sadrži detalje o hiljadama kreditnih kartica.

Pored toga, Isvanka je koristio email nalog [email protected] kada je naručivao picu koja mu je dostavljana na adresu stana u Bukureštu u kome je boravio. Prema rumunskim vlastima, stan je u vlasništvu Ovidija Alekandra Dana, čoveka koji je zbog kriminala uhapšen i optužen prošle godine i kome se trenutno sudi u Bukureštu.