关键信息基础设施安全动态周报【2022年第13期】
发布时间:
2022-04-08
来源:
作者:
天地和兴
访问量:
970
目 录
第一章 国外关键信息基础设施安全动态
(一)罗克韦尔PLC存在严重漏洞
(二)德国风力涡轮机制造商Nordex遭受网络攻击导致IT系统关闭
(三)美国工业零部件制造商Parker Hannifin遭受网络攻击泄露员工信息
(四)数据擦除软件AcidRain攻击Viasat卫星终端影响数千风力涡轮机
(五)PEAR PHP存储库中存在长达15年的安全漏洞可导致供应链攻击
(六)欧洲工业基础设施面临网络威胁
(七)BlackCat勒索软件组织攻击工业企业
(八)俄罗斯黑客组织Gamaredon攻击乌克兰及欧盟机构
(九)德国及美国关闭俄罗斯暗网市场Hydra
第一章 国外关键信息基础设施安全动态
(一)罗克韦尔PLC存在严重漏洞
工业网络安全公司Claroty的Team82和罗克韦尔自动化研究人员在罗克韦尔(Rockwell)可编程逻辑控制器(PLC)和工程工作站软件中发现了两个安全漏洞。攻击者可远程利用这些漏洞,修改自动化流程,破坏工厂运营,对工厂造成物理损坏,或采取其他恶意行为。
其中CVE-2022-1161影响Rockwell的Logix控制器的多个版本,CVSS得分为满分10.0,是严重漏洞。Logix控制器是罗克韦尔的主打产品,广泛应用于各个领域。另外一个漏洞CVE-2022-1159影响其Studio 5000 Logix Designer应用程序的多个版本,CVSS评分为7.7,是高危漏洞。
利用这些漏洞,有权访问受害者系统的攻击者在不被发现的情况下更改PLC程序代码,并修改自动化流程,从而导致严重破坏。受到篡改后的代码可以下载到PLC,而在工作站的工程师会看到该进程按预期运行,类似震网病毒(Stuxnet)和Rogue7攻击。
对此,罗克韦尔为用户提供了检测此类隐藏代码的工具,并敦促用户升级受影响的产品,以利用这些检测功能。此外,美国CISA也已发布警告,警告该问题的严重性。同时罗克韦尔也对此发布了安全公告。
第一个漏洞CVE-2022-1161是CVSS得分为满分10.0的严重漏洞,被发现在ControlLogix、CompactLogix和GuardLogix控制系统上运行的受影响PLC固件中。该漏洞允许攻击者将用户可读的程序代码写入与执行的编译代码不同的内存位置,从而允许攻击者进行修改。为此,攻击者可以使用Team82先前披露的Logix控制器中的硬编码密钥漏洞与罗克韦尔自动化PLC通信,并修改用户程序,而无需使用Studio 5000 Logix Designer软件。
第二个漏洞CVE-2022-1159在Studio 5000 Logix Designer应用程序中发现,该应用程序在工作站上编译用户程序。此编译过程为Logix Designer应用程序用户程序下载到Logix控制器做好准备。要成功利用此漏洞,攻击者必须首先获得对运行Studio 5000 Logix Designer的工作站的管理员访问权限。然后攻击者可以拦截编译过程,并将代码注入用户程序。用户可能不知道已经发生了这种修改。
参考来源:Claroty http://u6.gg/kzrz2
(二)德国风力涡轮机制造商Nordex遭受网络攻击导致IT系统关闭
Nordex Group是全球最大的风力涡轮机制造商之一,4月2日披露其遭受了网络攻击,迫使该公司关闭了部分基础设施。
Nordex Group总部位于德国汉堡,在3月31日检测到了入侵,随后立即启动了事件响应程序,以遏制该攻击。作为预防措施,Nordex Group关闭了跨多个地点和业务部门的IT系统,以防止威胁在其网络中传播。
该公司发布的公告显示,“2022年3月31日,Nordex Group的IT安全部门检测到该公司受到网络安全事件的影响。在早期阶段就注意到了入侵,并根据危机管理协议立即采取了应对措施。作为预防措施,该公司决定关闭多个地点和业务部门的IT系统。已经立即成立了由内部和外部安全专家组成的事件响应小组,以遏制问题并防止进一步传播,并评估潜在风险的程度。”
Nordex没有透露网络攻击的技术细节,但它被迫关闭部分IT基础设施的事实表明,该公司成为勒索软件攻击的受害者。客户、员工和其他利益相关者可能会受到公司系统关闭的影响。
参考来源:SecurityAffairs http://u6.gg/kzr11
(三)美国工业零部件制造商Parker Hannifin遭受网络攻击泄露员工信息
美国工业零部件制造商Parker Hannifin披露,其系统遭受了黑客入侵,随后关闭了一些系统并展开调查。Parker证实,一些数据已被访问和获取,包括员工和个人信息。该公司没有披露攻击者信息,然而勒索软件组织Conti在泄露网站上发布了Parker超过5GB的文档。
Parker Hannifin是财富250强公司,专注于运动和控制技术,为航空航天、移动和工业领域的组织提供精密工程解决方案。
在4月5日提交给美国证券交易委员会的8-K文件中,Parker表示,“2022年3月14日,Parker Hannifin检测到第三方未经授权访问了公司系统。该公司立即启动了事件响应协议,其中包括关闭某些系统,并开始对该事件进行调查,该调查正在进行中。该公司还通知了相关执法机构,并正在与之合作,并聘请了法律顾问和其他第三方事件响应和网络安全专业人员。虽然公司的调查正在进行中,但公司认为某些数据已被访问和获取,其中可能包括公司团队成员的个人信息。根据其初步评估和目前已知的信息,该事件并未对财务或运营产生重大影响,公司认为该事件不会对其业务、运营或财务业绩产生重大影响。公司的业务系统全面运行,公司维持保险,但须遵守其规模和行业典型的某些免赔额和政策限制。”
虽然Parker没有分享有关此事件的任何其他信息,但研究人员检查了主要勒索软件组织的网站,发现著名的Conti组织对此事件负责。
该黑客组织发布了超过5GB的存档文件,其中显然包含从Parker窃取的文件,然而这可能只是他们获得的全部数据的一小部分。Conti网站显示,只有3%的被盗数据被泄露。
黑客通常会告诉受害者,他们必须支付数百万美元才能恢复加密文件,并防止被盗数据泄露。在过去几年中,网络犯罪分子攻击了数百个组织,但该组织在2月成为目标,此前该组织在入侵乌克兰后表示支持俄罗斯政府。
参考来源:SecurityWeek http://u6.gg/kz49p
(四)数据擦除软件AcidRain攻击Viasat卫星终端影响数千风力涡轮机
SentinelOne研究人员发现了一款名为AcidRain的数据擦除恶意软件,用于擦除路由器和调制解调器的数据,在2月24日针对KA-SAT卫星宽带服务的网络攻击中使用了该恶意软件,影响了乌克兰及欧洲的数千人员。AcidRain旨在暴力破解设备文件名,并擦除它可以找到的每个文件,以便在未来的攻击中轻松重新部署。这表明攻击者不熟悉目标设备的文件系统和固件,或者没有开发可重用工具的意图。
AcidRain于3月15日首次被发现,从意大利的一个IP地址作为32位MIPS ELF二进制文件使用ukrop文件名上传到VirusTotal恶意软件分析平台。
部署后,AcidRain会通过受感染的路由器或调制解调器的整个文件系统。它还使用所有可能的设备标识符擦除闪存、SD/MMC卡和它可以找到的任何虚拟块设备。
SentinelOne威胁研究人员表示,“二进制文件对文件系统和各种已知的存储设备文件进行深入擦除。如果代码以root身份运行,AcidRain会对文件系统中的非标准文件执行初始递归覆盖和删除。”
为了破坏受感染设备上的数据,擦除器使用最多0x40000字节的数据覆盖文件内容,或使用MEMGETINFO、MEMUNLOCK、MEMERASE和MEMWRITEOOB输入/输出控制(IOCTL)系统调用。在AcidRain的数据擦除过程完成后,恶意软件会重新启动设备,使其无法使用。
根据上传到VirusTotal的AcidRain二进制文件的名称,可能是“乌克兰行动”的缩写,SentinelOne表示,该恶意软件可能是专门为针对乌克兰的行动而开发的,并可能用于在KA-SAT网络攻击中擦除调制解调器。
SentinelOne假设,“在一次供应链攻击中,威胁行为者使用KA-SAT管理机制来推动为调制解调器和路由器设计的擦除器。这种设备的擦除器会覆盖调制解调器闪存中的关键数据,使其无法操作,需要重新刷新或更换。”
这与Viasat关于KA-SAT事件的报告直接矛盾,该报告声称“没有发现任何入侵或篡改Viasat调制解调器软件或固件图像的证据,也没有任何供应链干扰的证据”。然而Viasat证实了SentinelOne的假设,称破坏数据的恶意软件是使用“合法管理”命令部署在调制解调器上的。
Viasat发言人表示,“SentinelLabs报告中关于ukrop二进制文件的分析与我们报告中的事实一致。具体而言,SentinelLabs使用Viasat之前描述的合法管理命令识别在调制解调器上运行的破坏性可执行文件。我们希望在这项调查完成后可以提供更多的取证细节。”
安全研究人员Ruben Santamarta也证实了使用AcidRain擦除调制解调器的做法。他转储了在针对KA-SAT的攻击中损坏的SATCOM调制解调器的闪存。正如SentinelOne所说,Santamarta观察到的破坏性模式与AcidRain的覆盖擦除器方法的输出相匹配。
自2022年2月攻击以来,Viasat运送了近30,000个调制解调器,以使客户重新上线,并继续加快服务恢复速度,这一事实也暗示SentinelOne的供应链攻击理论站得住脚。
附带说明一下,该恶意软件使用的IOCTL也与VPNFilter恶意软件dstr擦除器插件使用的IOCTL相匹配,这是一种归因于俄罗斯黑客GRU的恶意工具。
AcidRain是在针对乌克兰的攻击中部署的第七种数据擦除恶意软件,自今年年初以来,已有六种恶意软件被用于攻击该国。乌克兰计算机应急响应小组最近报告称,它跟踪为DoubleZero的数据擦除器已被部署在针对乌克兰企业的攻击中。
在俄乌冲突开始的前一天,ESET发现了一种现在称为HermeticWiper的数据擦除恶意软件,该恶意软件与勒索软件诱饵一起用于攻击乌克兰的组织。在俄乌冲突当天,他们还发现了一个名为IsaacWiper的数据擦除器和一个名为HermeticWizard的新蠕虫,用于投放HermeticWiper有效载荷。
ESET还发现了第四种破坏数据的恶意软件,称之为CaddyWiper。这是一种擦除器,可以从附加的驱动程序中删除用户数据和分区信息,还可以擦除部署在其上的Windows域中的数据。
乌克兰国家通信和信息保护局发现了第五个擦除恶意软件,名为WhisperKill,称其重复使用了Encrpt3d勒索软件的80%的代码。1月中旬,微软发现了第六个名为WhisperGate的擦除器,用于对乌克兰的数据擦除攻击,伪装成勒索软件。
随后Viasat发言人发表了以下声明,“昨天的Viasat事件报告中提供的事实是准确的。SentinelLabs报告中关于ukrop二进制文件的分析与我们报告中的事实一致。具体而言,SentinelLabs使用如前所述的Viasat合法管理命令识别在调制解调器上运行的破坏性可执行文件。正如我们在报告中指出的那样,攻击者通过这个受信任的管理网络横向移动到用于管理和操作网络的特定网段,然后使用这个网络访问权限同时在大量家用调制解调器上执行合法的、有针对性的管理命令。此外,我们不认为这是供应链攻击或漏洞。正如我们所指出的,Viasat没有证据表明正常网络操作中涉及的标准调制解调器软件或固件分发或更新过程在攻击中被使用或破坏。此外,没有证据表明任何最终用户数据被访问或泄露。由于正在进行的调查,并确保我们的系统免受持续攻击的安全,我们无法公开分享该事件的所有取证细节。通过这个过程,我们已经并将继续与世界各地的各种执法和政府机构合作,他们已经获得了事件的详细信息。我们希望在调查完成后提供更多的取证细节。”
参考来源:BleepingComputer http://u6.gg/kzpze
(五)PEAR PHP存储库中存在长达15年的安全漏洞可导致供应链攻击
SonarSource研究人员在PEAR PHP存储库中发现了一个存在长达15年之久的安全漏洞,攻击者可利用该漏洞对系统进行供应链攻击。攻击者还可以获得未经授权的访问权限,以执行任意行为,例如发布恶意软件包和执行任意代码。PEAR是一个以可重用和模块化形式分发PHP组件的框架。该漏洞可能为具有低级技能的威胁行为者提供了一种利用PHP供应链的关键组件造成重大麻烦的方法。
最初实现该功能时,其中一个问题是由代码提交引入的,该代码使用了一个名为mt_rand()的密码不安全的PHP函数。威胁行为者还可以使用此功能在不到50次尝试中发现有效的密码重置令牌。
PEAR客户端本身、Console_Getopt、Archive_Tar和Mail是从pear.php.net下载的最受欢迎的软件包,总共下载了超过2.85亿个软件包。尽管Composer的市场份额很大,但PEAR包每月仍继续被下载数千次。
SonarSource漏洞研究人员Thomas Chauchefoin表示,“成功利用第一个漏洞的攻击者可以接管任何开发人员账户,并发布恶意版本,而第二个漏洞将允许攻击者获得对中央PEAR服务器的持久访问权限。”
在GitHub上可以找到一个名为pearweb的源代码项目,是pear.php.net背后的源代码。研究人员发现,pearweb在旧版本(1.4.7,而不是其最新版本1.4.14)中提取了依赖项Archive_Tar,因此在测试虚拟机上部署pearweb时错过了其他几个功能。
已知旧版本的Archive_Tar包含目录遍历漏洞,可能导致任意代码执行。该漏洞在多个版本中被跟踪为CVE-2020-36193。
在不到一年的时间里,在PHP供应链中检测到两次恶意攻击,这是第二次发现问题。在2021年4月下旬,包含PHP编程语言和大量附加模块的Composer PHP包管理器中发现存在严重漏洞,可能使攻击者能够执行任意命令。
参考来源:GBHackers http://u6.gg/kzhbq
(六)欧洲工业基础设施面临网络威胁
工业网络安全公司Dragos报告显示,恶意网络行为者对欧洲的工业基础设施构成严重威胁,已知至少有10个黑客组织以欧洲组织作为攻击目标。
欧洲工业基础设施网络环境面临着来自威胁组织和网络犯罪分子的独特威胁。整个欧洲工业运营高度相互依存,但独立管理和运营的性质,构成了独特的区域系统性风险,对一个欧洲国家的威胁就是对其他国家的运营的威胁。
Dragos高度自信地评估,欧洲资产所有者目前面临的最大网络安全弱点是,缺乏对其网络的资产可见性,以及薄弱的网络身份验证策略。如果没有资产可见性,组织将无法正确保护其运营技术(OT)环境,因为防御者无法保护他们看不到的东西。工业运营商应评估和实施最小权限原则,以限制对OT环境的未经授权的访问。
此外,日益加剧的地区紧张局势可能会导致犯罪分子和其他攻击者对工业运营产生影响。特别值得关注的是,地理上分散的工业运营,例如可再生能源发电、上游和中游石油和天然气、水和废水管理、以及电力传输。
Dragos跟踪的威胁组织以破坏性攻击欧洲目标组织。即使目前不活跃,Dragos也以适度的信心评估,这些组织可能会保持这种能力水平,如果需要再次发生这种使用的情况。
虽然欧洲所有私营和公共工业实体都面临来自勒索软件运营商的威胁,但意大利、德国、奥地利和瑞士的中小型制造公司面临的攻击风险最高,尤其是勒索软件即服务组织,由于缺乏IT/OT安全性和模糊的资产可见性。
石油和天然气资产,包括位于鹿特丹的关键再气化工厂,是希望破坏石油和天然气(ONG)能源流入欧洲的攻击者的目标。英国电力部门面临着被能够对多个发电站进行协同攻击的行为者破坏的风险。由于控制方数量有限,输电行业也面临风险,尽管这些实体通常表现出更大程度的纵深防御。
公共和私营实体将继续与公认的OT环境威胁作斗争,包括内部人员带来的威胁、供应链威胁、知识产权盗窃和数字化转型。随着组织对网络安全计划的投资和成熟度的提高,这些威胁可能会减少。
欧洲组织面临着来自国外近期和远期政治和经济威胁的独特风险。历史上针对欧洲工业基础设施的攻击行动已被充分记录,其中包括一个独特的案例,其中试图盗窃知识产权导致了极端的运营影响。
Dragos在4月5日发布的一份报告中表示,该公司追踪的10个威胁组织已针对欧洲实体开展了行动,包括破坏性攻击。这些组织为Xenotime、Magnallium、Electrum、Allanite、Chrysene、Kamacite、Covellite、Vanadinite、Parisite和Dymalloy,其中一些与中国、俄罗斯、伊朗和朝鲜有关。
Dragos以适度的信心评估,由于潜在的政治和经济影响以及对平民生活和基础设施的直接影响,欧洲因网络攻击而引发的以工业基础设施为目标的广泛破坏活动的风险较低。
此外Dragos认为,欧洲局部或小规模遭到破坏的风险较低,因为有动机的国家支持的攻击者在被认为具有政治或经济优势时,可能会执行低风险的行动。
勒索软件仍然对信息技术(IT)和OT环境构成威胁。欧洲组织也不应忽视其他各种威胁,其中之一就是勒索软件。对各种勒索软件组织运营的网站分析表明,大约四分之一的受害者位于欧洲,尤其是在制造业。
OT特定设备和服务中的漏洞可能会给操作环境带来风险。截至2022年2月,Dragos研究人员评估并验证了影响全球工业设备的3286个漏洞,其中483个漏洞直接影响欧洲,因为它们来自欧洲实体使用的供应商。在这483个影响欧洲的漏洞中,有310个(64%)需要攻击者在网络上才能利用,其中100多个可被利用导致失去可见性和/或失去控制。
参考来源:Dragos http://u6.gg/kzrj3
(七)BlackCat勒索软件组织攻击工业企业
卡巴斯基研究人员发现,勒索软件组织BlackCat使用Fendr自定义渗透工具收集敏感信息,攻击了中东的一家ERP提供商及南美的一家石油、天然气、采矿和建筑公司,表明网络犯罪分子对工业组织越来越感兴趣。
BlackCat勒索软件组织以勒索软件即服务(RaaS)模式运作,于2021年11月出现,此后一直以全球组织为目标,包括美国的许多组织。
多家网络安全公司发现,BlackCat与BlackMatter和DarkSide勒索软件操作之间存在联系。BlackCat团队似乎由包括BlackMatter在内的各种RaaS集团附属机构组成,而不仅仅是BlackMatter的更名。
在4月7日卡巴斯基发表的一篇博客文章中,研究人员还提供了有关BlackMatter和BlackCat之间联系的信息,重点介绍了一种名为Fendr和ExMatter的数据泄露工具。
去年,赛门铁克将Fendr描述为一种自定义数据泄露工具,使BlackMatter运营商能够轻松地从受感染的系统中窃取有价值的数据。该工具以前仅在BlackMatter攻击中出现,旨在收集特定文件类型,并将其上传到网络犯罪分子的服务器,然后再部署文件加密勒索软件。然后可以使用被盗数据来迫使受害者付款。
在最近对南美一家石油、天然气、采矿和建筑公司的BlackCat攻击中,黑客部署了Fendr工具的一个版本。然而与在BlackMatter攻击中发现的工具相比,这个工具针对的是一些额外的文件类型,特别是那些通常在工业环境中发现的文件类型。
卡巴斯基解释表示,“这些额外的文件扩展名用于工业设计应用程序,如CAD图纸和一些数据库,以及RDP配置设置,使该工具更加适合我们认为该组目标的工业环境。”
勒索软件团伙对工业公司感兴趣这一事实并不令人惊讶,政府和网络安全公司一直在警告组织勒索软件对工业系统构成越来越大的威胁。
在2月发布的一份报告中,工业网络安全公司Claroty表示,勒索软件经常攻击工业控制系统(ICS)或其他操作技术(OT)环境,并且影响通常很大。
参考来源:SecurityWeek http://u6.gg/kz3fe
(八)俄罗斯黑客组织Gamaredon攻击乌克兰及欧盟机构
乌克兰计算机应急响应团队CERT-UA发现,与俄罗斯有关的威胁组织Gamaredon正在针对当地国家组织进行鱼叉式网络钓鱼攻击。恶意电子邮件试图利用乌克兰战争主题为诱饵来欺骗收件人,并利用间谍恶意软件感染目标系统。CERT-UA已确定了针对乌克兰组织及欧盟政府机构的两起独立案例。
Gamaredon是俄罗斯国家支持的威胁行为者,至少自2014年以来一直以乌克兰为目标,被认为是俄罗斯联邦安全局FSB的一部分。根据乌克兰特勤局2021年11月发布的详细技术报告,Gamaredon已对该国1,500个关键实体发起了至少5,000次网络攻击。
乌克兰军队此前已经确定了Gamaredon网络部队的成员,暴露了他们的工具集,并在俄罗斯黑客论坛上追踪定制恶意软件的开发。因此,即使在网络响应团队资源和时间有限的混乱战时情况下,由于过去进行了广泛的识别工作,可以更有信心地做出归因。
Gamaredon向乌克兰各政府机构分发有关“俄罗斯联邦战犯信息”的电子邮件。从vadim_melnik88@i[.]ua发送的电子邮件包含一个HTML附件,CERT-UA表示,目前安全软件的检测率较低。
如果打开,一个RAR文件会自动创建并放在计算机上,据称在快捷方式文件.lnk中包含那些应对乌克兰战争罪行负责的人的身份识别详细信息。但是,单击此LNK文件将下载另一个带有VBScript代码的HTA文件,该代码运行PowerShell脚本以获取最终有效负载。
在针对不同欧盟政府官员的运动中,Gamaredon使用名“援助”和“必要军事援助”的RAR档案附件。这些档案包含快捷方式文件.lnk,据称其中包括向乌克兰提供军事和人道主义援助所需的物品清单。打开该文件会触发相同恶意软件感染链。发件人的地址是info@military-ukraine[.]site,这可能被认为是合法的,而签名者据说是乌克兰的军备副司令兼少将。
CERT-UA已确认这些电子邮件中至少有一封已到达拉脱维亚政府的收件箱,因此同样的运动可能针对更多的欧洲政府。
该报告与最近针对欧盟实体的俄罗斯发起的攻击的其他调查结果一致,例如上周的Google TAG网络钓鱼活动报告、针对KA-SAT卫星服务的擦除恶意软件部署、波罗的海地区的GPS系统干扰、以及针对帮助解决难民危机人士的网络钓鱼攻击。
参考来源:BleepingComputer http://u6.gg/kz46r
(九)德国及美国关闭俄罗斯暗网市场Hydra
德国联邦刑事警察局4月5日关闭了俄罗斯暗网市场Hydra的服务器,并查获了价值2500万美元的比特币加密货币钱包。Hydra是世界上最大、运行时间最长的暗网市场。在2021年,Hydra约占所有暗网市场相关加密货币交易的80%,自2015年以来,该市场已收到约52亿美元的加密货币。
美国司法部长Merrick B. Garland表示,“司法部将不遗余力地追究那些违反我们法律的人的责任,无论他们身在何处,或者他们如何试图隐瞒罪行。与我们的德国执法合作伙伴一起,我们已经占领了世界上最大的暗网市场的基础设施,但我们的工作还远未结束。我们将继续与我们的国际和跨机构合作伙伴合作,破坏和拆除暗网市场,并让那些在暗网上犯罪的人对其行为负责。”
司法部副总检察长Lisa O. Monaco表示,“司法部不会允许暗网市场和加密货币成为洗钱和出售黑客工具和服务的避风港。我们的信息应该很明确:我们将继续追捕暗网市场和那些利用它们的人。与我们在德国和世界各地的合作伙伴一起,我们将继续努力破坏允许这些犯罪分子运作的生态系统。”
Hydra是一个在线犯罪市场,使主要俄语国家的用户能够在法律范围之外匿名买卖非法商品和服务,包括非法药物、被盗财务信息、欺诈性身份证件、以及洗钱和混合服务。Hydra上的交易以加密货币进行,Hydra的运营商对在Hydra上进行的每笔交易收取佣金。
在关闭Hydra的同时,美国司法部还宣布了对30岁的俄罗斯居民Dmitry Olegovich Pavlov的刑事指控,指控他与Hydra服务器的运营和管理有关,串谋分销毒品和洗钱。
加利福尼亚州北区美国检察官Stephanie M. Hinds表示,“这一协调行动向任何试图在暗网掩护下经营或支持在线犯罪企业的人发出了明确的信息。暗网不是犯罪分子可以逍遥法外或躲避美国执法部门的地方,我们将继续使用我们先进的工具和专业知识来拆除和禁用暗网市场。这一行动也强调了国际执法合作的重要性。我们感谢德国当局和德国联邦刑事警察局在此案中提供的宝贵帮助。”
美国缉毒局(DEA)局长Anne Milgram表示,“暗网一直是全球销售致命药物的关键在线市场。Hydra提供的非法物质和洗钱服务威胁着广泛社区的安全和健康。暗网上的犯罪分子隐藏在匿名假象的背后,但DEA和我们在全球的合作伙伴正在密切关注。我们将继续调查、揭露犯罪网络并对其采取行动,无论它们在哪里运作。我赞扬DEA迈阿密反毒品网络调查工作组、网络支持科和特别行动部的非凡调查工作,以及促成此次行动的联邦和国际执法合作伙伴的团队合作。”
美国国税局刑事调查局局长Jim Lee表示,“Hydra暗网网站为那些认为自己超出执法范围的犯罪分子提供了一个买卖非法毒品和服务的平台。我们的网络犯罪部门再次利用他们的加密货币跟踪专业知识来帮助关闭该网站,并确定其背后的罪犯。剥夺犯罪分子自由活动的空间来进行他们的邪恶活动,是完全阻止这种活动发生的第一步。”
联邦调查局局长Christopher Wray表示,“成功查封全球最大的暗网市场Hydra,摧毁了数字基础设施,这些基础设施使各种犯罪分子成为可能,包括俄罗斯网络犯罪分子、支持他们和其他人的加密货币不倒翁和洗钱者,以及毒贩。今天的公告证明了我们在这里和世界各地的执法合作伙伴关系的实力和效力,也是我们广泛针对驱动和促成犯罪的整个非法生态系统的战略的另一个例子。”
美国邮政检验局国家总部首席邮政监察员Gary R. Barksdale表示,“美国邮政检验局致力于保护美国邮件,不被用于运输暗网上的非法药物和非法货物。对犯罪市场Hydra Market的扣押反映了执法部门为阻止犯罪企业的非法活动而进行的有效合作。邮政检查局将继续与我们的联邦合作伙伴合作,以结束这些犯罪组织,无论它们在哪里。”
迈阿密国土安全调查局(HSI)负责人Anthony Salisbury表示,“暗网最大的非法商品和服务供应商Hydra市场的拆除,向这些认为自己可以逍遥法外的电子犯罪头目发出了一个信息。HSI将继续与我们的美国和国际执法伙伴合作,打击这些跨国犯罪组织,他们试图操纵暗网的匿名性,将他们的毒药推向世界各地。”
根据起诉书,Hydra上的供应商可以在网站上创建账户来宣传他们的非法产品,买家可以创建账户来查看和购买供应商的产品。Hydra供应商出售各种非法药物,包括可卡因、甲基苯丙胺、LSD、海洛因和其他阿片类药物。供应商在Hydra上公开宣传他们的药物,通常包括照片和对受控物质的描述。买家根据五星级评级系统对卖家及其产品进行评级,供应商的评级和评论在Hydra网站上突出显示。
Hydra还展示了许多销售虚假身份证明文件的供应商。用户可以搜索销售他们想要的身份证明文件类型的供应商,例如美国护照或驾驶执照,并按商品的价格进行筛选或排序。许多虚假身份证明文件的供应商提供根据买家提供的照片或其他信息定制文件。
许多供应商还通过Hydra出售黑客工具和黑客服务。黑客供应商通常提供非法访问买方选择的在线账户的服务。通过这种方式,买家可以选择他们的受害者,并聘请专业的黑客来访问受害者的通信,并接管受害者的账户。
Hydra供应商还提供了一系列强大的洗钱和所谓的“套现”服务,允许Hydra用户将其比特币(BTC)转换为Hydra众多供应商支持的各种形式的货币。此外,Hydra还提供内部混合服务,来清洗然后处理供应商的提款。混合服务允许客户以一种旨在隐藏比特币来源或所有者的方式,将比特币发送给指定的收件人,但需要付费。Hydra的洗钱功能非常受欢迎,以至于一些用户会设置空壳供应商账户,明确目的是通过Hydra的比特币钱包洗钱。
据称自2015年11月左右开始,Pavlov经营着一家名为Promservice Ltd.的公司,也称为Hosting Company Full Drive、All Wheel Drive和4x4host.ru,负责管理Hydra的服务器Promservice。在此期间,Pavlov通过他的公司Promservice管理Hydra的服务器,这使得市场作为一个平台运作,被成千上万的毒贩和其他非法供应商使用,向成千上万的人分发大量非法药物和其他非法商品和服务,并清洗从这些非法交易中获得的数十亿美元。
作为托管Hydra服务器的活跃管理员,据称Pavlov与Hydra的其他运营商密谋,通过提供使Hydra在竞争激烈的暗网市场环境中运营和繁荣的关键基础设施,从而进一步取得成功。据称,Pavlov涉嫌为Hydra的活动提供了便利,并允许Hydra从通过该网站进行的非法销售中获得价值数百万美元的佣金。
参考来源:美国司法部 http://u6.gg/kz3vz
(如未标注,均为天地和兴工业网络安全研究院编译)
相关资讯