曾有歹徒利用 Predator Pain 和 Limitless 這兩個鍵盤側錄程式,來從事變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC) ,獲利高達約22億新台幣!其中Limitless作者在1月13日,一名大學生Zachary Shames向美國維吉尼亞州聯邦地方法院認罪,這個惡意鍵盤側錄程式被用來竊取數千份使用者敏感資訊(如密碼和銀行憑證)。在 2014年11月,趨勢科技的前瞻性威脅研究團隊(FTR)發表一份包含Limitless的研究報告,同時介紹它被如何用來竊取數千名受害者的資料。在此之前,我們將如何確認Shames為作者的詳細資料交給了美國聯邦調查局(FBI)。本文將詳細介紹我們如何建立連結,這是我們在已發表的報告中所沒有提及的。
根據東維吉尼亞的檢察官辦公室,維吉尼亞州詹姆斯麥迪遜大學的21歲資訊系學生被控協助和教唆電腦入侵。Shames承認開發和銷售超過3,000份的間諜軟體,用來感染超過16,000台電腦,這些行為違反了美國法典第18章第1030(a)(5)(A)和2條。
在2014年7月,FTR 團隊成員開始研究兩種商業化鍵盤側錄程式所進行的攻擊(Predator Pain 和Limitless Logger),這兩者都被用在多起入侵事件,其中不乏知名的受害者。
在研究過程,Limitless和其他工具一起被廣泛地用在針對性攻擊/鎖定目標攻擊(Targeted attack )活動。受害最深的國家是馬來西亞、印度、澳洲、丹麥和土耳其。
圖1、受 Predator Pain/Limitless影響的國家
要注意的是在研究過程,有一名攻擊者針對了東南亞國家,顯示出對馬來西亞的偏好。
底下是趨勢科技所看到受Predator Pain/Limitless 影響最大的產業,首要是製造業(化妝品、寶石、工業設備、燈具和燈具、航海設備、瓷磚),服務業(建築、潛水、航海、航運)和旅館業。
圖2、Predator Pain/Limitless所影響的產業
圖3、Limitless側錄程式產生器
Limitless有許多商業化鍵盤側錄程式常見的功能,包括背景記錄按鍵,停用安全控制及取回並回復帳號密碼給購買授權的攻擊者。終身授權在論壇hackforums[.]net上以35美元的價格出售,這定價讓它大受歡迎,尤其是數個經營變臉詐騙攻擊或稱為商務電子郵件入侵(Business Email Compromise,簡稱 BEC)攻擊活動的非洲集團。這類工具被證明在BEC詐騙或相關攻擊中很有用,通常會寄送帶有業務相關主旨的郵件給公開的電子郵件地址列表。這些郵件通常附加了鍵盤側錄程式,會透過電子郵件、FTP或網頁(PHP)將收集到的資料送回給網路犯罪分子。
在我們的報告發表時,原作者使用綽號Mephobia,將專案交給了另一個Hackforums成員,繼續以「Syndicate Keylogger」的名稱銷售。
圖4、Mephobia在Hackforums的貼文
除了追查工具使用者(我們的一份研究報告起始了國際刑警和奈及利亞EFCC的逮捕行動),我們還查了背後的作者。基於他在Hackforums上的貼文讓我們能夠確認部分事實:
- 當他將專案交出時(2014年1月),Mephobia剛剛結束在大學的第一個學期。
- 他的行銷廣告包含Skype帳號、Paypal等聯絡方式。他還有許多帳號會將Limitless專案跟Mephobia連結(或HFMephobia,HF代表Hackforums),包括Github、Photobucket和一篇Pastebin貼文包含部分程式碼。
- Pastebin程式碼包含另外的Skype帳號 – 其個人資料列出華盛頓特區的地址和可能的出生日期。
我們從之前的研究中發現暱稱Mephobia出現在早期的惡意軟體專案,這還在Limitless開發之前,如Reflect側錄程式和一個線上遊戲Runescape的鍵盤側錄程式。
用戶名稱Mephobia也帶出其他的研究線索。值得注意的是,它出現在被公開外洩的駭客論壇資料庫資料內。雖然這類外洩資料的真實性和有效性難以驗證,但是一再看到跟暱稱有關的相同電子郵件地址讓人認為這可能真的有關聯。這些被駭論壇中有好幾個是Mephobia較早接受駭客教育時常光顧的網站,使用了更加個人的電子郵件帳號,而非主要用來跟Hackforums通訊的Gmail帳號。一個帳號的暱稱為RockNHockeyFan。
這個暱稱將我們引導到其他幾個網站,特別值得注意的是名為Quizlet的線上研究網站上的一個個人檔案,將RockNHockeyFan連結到名字「Zach Shames」。它還連結到Runescape遊戲論壇Sythe .org上的一篇貼文,一個暱稱為Z3r0Grav1ty的使用者在推銷竊取Runescape帳號的工具 – 這和我們惡意軟體資料庫中一個包含字串「Mephobia」的工具是同一個。在此貼文內列出了兩個聯絡資訊:包含暱稱「RockNHockeyFan」的AOL帳號和MSN Live帳號zman81895[@]live[.]com。這接著可以連結許多跟Zach或Zachary Shames有關的社群網路檔案。
為了驗證對Mephobia這名字的懷疑,我們對他在Hackforums的貼文加上這些新資訊再次進行追查。果然,在2012年1月的一篇文章中,可以看到現已關閉的Mephobia帳號發表了聊天記錄,其中他確實揭露自己的名字是「Zach Shames」。
圖5、Mephobia揭露自己的名字為「Zach Shames」
上圖來自Hackforums貼文
有了這資訊,FTR團隊在2014年向美國聯邦調查局華盛頓特區辦公室提出了詳細報告,這裡是嫌犯居住所在。Shames承認在大學宿舍完善自己的產品前,在北維吉尼亞的高中階段開發了鍵盤側錄程式的初始版本,現在面臨了最高十年的牢獄刑罰。Shames的審判日期定在2017年6月16日。
雖然Limitless並非今日最昂貴也不是最先進的惡意軟體,但它清楚的提醒了即便是這等級的惡意軟體也可能被用來造成毀滅性的影響。這也可以提醒年輕一代的專家,製作這種工具會對現實世界造成的影響和帶來非常嚴重的後果,並希望可以鼓勵他們利用自己的天分來幫助世界更加安全。最後,FTR與美國聯邦調查局合作的工作強調了趨勢科技持續致力於與執法單位相互合作。這最終凸顯出公共部門和私人企業共同合作的價值,因為只有同心協力才能真正讓數位資訊交換更加安全。
@原文出處:Not so Limitless after all: Trend Micro FTR Assists in the Arrest of Limitless Author