فهرست بستن

کارگزار دسترسی به شبکه Wazawaka کیست؟ – Krebs on Security

vpn
کارگزار دسترسی به شبکه Wazawaka کیست؟ – Krebs on Security

در بسیاری از حملات باج‌افزاری، مجرمانی که شبکه قربانی را غارت می‌کنند، همان کلاهبردارانی نیستند که دسترسی اولیه به سازمان قربانی را به دست آورده‌اند. معمولاً رایانه‌های شخصی آلوده یا اعتبارنامه‌های VPN به سرقت رفته که باند مورد استفاده قرار می‌گرفت، از یک واسطه مجرم سایبری که به عنوان واسطه دسترسی اولیه شناخته می‌شود خریداری می‌شد. این پست به بررسی برخی از سرنخ‌هایی می‌پردازد که «وازاواکا»، دسته هکری که توسط یک واسطه دسترسی بزرگ در صحنه جرایم سایبری روسی زبان انتخاب شده است، بررسی می‌کند.

Wazawaka در دهه گذشته یک عضو بسیار فعال در چندین انجمن جرایم سایبری بوده است، اما مورد علاقه او جامعه روسی زبان Exploit است. Wazawaka روزهای اولیه خود را در Exploit و دیگر انجمن‌ها و فروش حملات انکار سرویس توزیع شده (DDoS) گذراند که می‌توانست وب‌سایت‌ها را با قیمتی حدود 80 دلار در روز آفلاین کند. اما در سال‌های اخیر، Wazawaka روی دستفروشی دسترسی به سازمان‌ها و پایگاه‌های اطلاعاتی دزدیده شده از شرکت‌های هک شده تمرکز کرده است.
در موضوعی که توسط Wazawaka در Exploit در مارس 2020 شروع شد، آمده است: «بیا، دزدی کن و خمیر بگیر!» می‌خواند که در آن او دسترسی به یک شرکت چینی با بیش از 10 میلیارد دلار درآمد سالانه را فروخت. "به آنها نشان دهید که چه کسی رئیس است."
بر اساس پست‌هایشان در Exploit، Wazawaka با حداقل دو برنامه مختلف وابسته به باج‌افزار، از جمله LockBit کار کرده است. وازاواکا گفت که LockBit برای شش ماه منتهی به سپتامبر 2020 تقریباً 500000 دلار کمیسیون به او پرداخت کرده است.
وازاواکا همچنین گفت که با دارک‌ساید، گروه وابسته باج‌افزاری که مسئول قطع شش روزه استعماری Pipeline در سال گذشته بود که باعث کمبود سوخت در سراسر کشور و افزایش قیمت شد، همکاری کرده است. از آن زمان، وزارت امور خارجه ایالات متحده برای اطلاعاتی که منجر به دستگیری و محکومیت هر یک از افراد وابسته به دارک‌ساید شود، جایزه 5 میلیون دلاری در نظر گرفته است.
به نظر می‌رسد Wazawaka این دیدگاه منحصربه‌فرد جامعه‌گرا را اتخاذ کرده است که وقتی سازمان‌هایی که به دلیل باج‌گیری بازداشت می‌شوند، از همکاری یا پرداخت امتناع می‌ورزند، هرگونه اطلاعاتی که از قربانی به سرقت می‌رود باید در انجمن‌های جرایم سایبری روسیه برای غارت همه منتشر شود – نه اینکه به‌صورت خصوصی به بالاترین پیشنهاد فروخته شود. در تاپیک به رشته در انجمن جنایی XSS، نام مستعار Wazawaka "Uhodiransomwar" را می توان مشاهده کرد که پیوندهای دانلودی را به پایگاه های داده از شرکت هایی ارسال می کند که پس از پنج روز از مذاکره امتناع کرده اند.
Uhodiransomwar در آگوست 2020 نوشت: «تنها و اصل اصلی باج‌افزار این است: اطلاعاتی که می‌دزدید هرگز نباید فروخته شود. اگر باج توسط طرفی پرداخت نشود، جامعه باید آن را کاملاً رایگان دریافت کند. این اطلاعات به سرقت رفته است.»
Wazawaka همیشه آنقدر دوستانه با دیگر کلاهبرداران سایبری نبوده است. در طول ده سال گذشته، اطلاعات تماس او برای ثبت دامنه‌های فیشینگ متعددی استفاده شده است که برای دریافت اعتبار از افرادی که سعی در انجام معاملات در بازارهای مختلف وب تاریک دارند، استفاده شده است. در سال 2018، Wazawaka تعداد زیادی دامنه را ثبت کرد که دامنه واقعی را برای بازار وب تاریک Hydra جعل می‌کرد. در سال 2014، وازاواکا از طریق پیام خصوصی به یکی دیگر از اعضای انجمن جنایی محرمانه گفت که از دزدی حساب های فروش مواد مخدر در این بازارها پول خوبی به دست آورده است.
Wazawaka به یاد می آورد: "من قبلاً حساب های QIWI آنها را با حداکثر 500 هزار دلار سرقت می کردم." "یک دلال هرگز نزد پلیس نمی رود و به آنها می گوید که چیزهای آنلاین می فروشد و شخصی پول او را دزدیده است."
وازاواکا کیست؟
Wazawaka از چندین آدرس ایمیل و نام مستعار در چندین انجمن جرم و جنایت روسی استفاده می‌کرد، اما داده‌های جمع‌آوری‌شده توسط شرکت امنیت سایبری Constella Intelligence نشان می‌دهد که آلتر ایگوهای Wazawaka همیشه از یکی از سه رمز عبور نسبتاً منحصربه‌فرد استفاده می‌کردند: 2k3x8x57، 2k3X8X57، و 00virtual.
این سه رمز عبور توسط یک یا همه آدرس‌های ایمیل Wazawaka در انجمن‌های جرم و جنایت، از جمله [email protected]، [email protected]، [email protected]، [email protected] استفاده شده است.
این آخرین آدرس ایمیل تقریباً یک دهه پیش برای ثبت یک حساب Vkontakte (نسخه روسی فیس بوک) تحت نام Mikhail "Mix" Matveev استفاده شد. شماره تلفن مرتبط با آن حساب Vkontakte – 7617467845 – توسط ارائه‌دهنده تلفن روسی MegaFon به یکی از ساکنان خاکاسیا، واقع در بخش جنوب غربی سیبری شرقی اختصاص داده شده است.
DomainTools.com [an advertiser on this site] گزارش می دهد [email protected] برای ثبت سه دامنه بین سال های 2008 و 2010 استفاده شد: ddosis.ru، best-stalker.com و cs-arena.org. آخرین دامنه در ابتدا در سال 2009 توسط میخائیل پی. ماتویف در آباکان، خاکاسیا ثبت شد.
میخائیل ماتویف غیرمعمول‌ترین نام در روسیه نیست، اما سرنخ‌های دیگر کمک می‌کنند تا مسائل را تا حدی محدود کنیم. به عنوان مثال، وازاواکا در اوایل پست‌های خود برای Exploit، به اعضا می‌گوید که می‌توان از طریق حساب پیام فوری ICQ 902228 با او تماس گرفت.
یک جستجوی اینترنتی برای شماره ICQ Wazawaka یک حساب در سال 2009 برای Wazawaka در یک انجمن گفتگوی منقرض شده در مورد Kopyovo-a، شهری با تقریباً 4400 روح در جمهوری روسیه Khakassia به ارمغان می آورد:

میخائیل میکس
همچنین در حدود سال 2009، شخصی با استفاده از نام مستعار Wazawaka و آدرس 902228 ICQ شروع به ارسال پست هایی در شبکه های رسانه های اجتماعی روسی کرد و سعی داشت مردم محلی را متقاعد کند که به وب سایت "fureha.ru" مراجعه کنند، که به عنوان وب سایت دیگری که برای ساکنان Khakassia ارائه می شود، عنوان شد.
به گفته ناظر دامنه روسی 1stat.ru، fureha.ru در ژانویه 2009 به آدرس ایمیل [email protected] و شماره تلفن +79617467845 ثبت شد، که همان شماره مربوط به حساب Mikhail "Mix" Matveev Vkontakte است.
DomainTools.com می گوید که آدرس [email protected] برای ثبت دو دامنه استفاده شده است: یکی به نام badamania[.]ru و یک سایت پورنو منقرض شده به نام tvporka[.]ru. شماره تلفن مرتبط با ثبت نام آن سایت پورنو در سال 2010، 79235810401 بود که توسط MegaFon در Khakassia نیز صادر شد.
جستجوی این عدد در اسکایپ نشان می دهد که بیش از یک دهه پیش با نام کاربری "matveevatanya1" مرتبط بوده است. این برای یک تاتایانا ماتویوا دریابینا 29 ساله ثبت شده است که نمایه Vkontakte او می گوید که در حال حاضر در کراسنویارسک، بزرگترین شهر نزدیک به آباکان و آبازا، ساکن است.
به نظر می رسد که تاتایانا یکی از بستگان میخائیل ماتویف، شاید حتی خواهر او باشد. هیچ کدام به درخواست ها برای اظهار نظر پاسخ ندادند. در سال 2009، یک میخائیل ماتویف از Abaza، Khakassia نام کاربری Wazawaka را در weblancer.net، یک بورس شغلی آزاد برای متخصصان فناوری اطلاعات روسی، ثبت کرد. حساب Weblancer می گوید Wazawaka در حال حاضر 33 ساله است.

در مارس 2019، Wazawaka غیبت طولانی در Exploit را با گفتن اینکه او یک فرزند دارد توضیح داد. این بازیگر جنایی نوشت: یکی دو هفته دیگر به همه پاسخ خواهم داد. "بابا شد – چند هفته به تعطیلات رفت."
یکی از آدرس‌های ایمیل متعددی که Wazawaka استفاده کرد [email protected] بود که به یک حساب کاربری جدیدتر اما حذف شده Vkontakte برای یک Mikhail Matveev مرتبط است و از رمز عبور 2k3X8X57 استفاده می‌کند. طبق معمول، من یک نقشه ذهنی جمع آوری کردم که پیوندهای اشاره شده در این داستان را نشان می دهد:
نقشه ذهنی تقریبی از ارتباطات ذکر شده در این داستان.
تحلیلگران شرکت اطلاعات سایبری Flashpoint می‌گویند پست‌های Wazawaka در انجمن‌های مختلف جرم و جنایت روسیه نشان می‌دهد که او در بسیاری از تخصص‌ها، از جمله عملیات بات‌نت، بدافزار keylogger، بات‌نت هرزنامه، جمع‌آوری اعتبار، دستکاری Google Analytics، فروش پایگاه‌های اطلاعاتی برای عملیات هرزنامه و راه‌اندازی حملات DDoS مهارت دارد.
Flashpoint می‌گوید به احتمال زیاد Wazawaka/Mix/M1x هویت‌ها و حساب‌های مجرمانه سایبری را با چندین عضو دیگر فروم به اشتراک گذاشته است، که به نظر می‌رسد اکثر آن‌ها یک دهه پیش در کسب‌وکار DDoS-for-hire او شرکا بوده‌اند. به عنوان مثال، Flashpoint به یک تاپیک انجمن Antichat مربوط به سال 2009 اشاره می کند که در آن اعضا می گویند که M1x روی سرویس DDoS خود با هکری به نام مستعار "Vedd" کار می کرد که مشهور است همچنین ساکن آباکان بود.
درست بمانید و مادر روسیه به شما کمک خواهد کرد
البته همه اینها آکادمیک است، مشروط بر اینکه آقای وازاواکا الف) هرگز روسیه را ترک نکند و ب) از فعالیت های جرایم سایبری که شهروندان روسی را هدف قرار می دهد اجتناب کند. در یک موضوع ژانویه 2021 در Exploit در مورد دستگیری یک وابسته برای برنامه باج افزار NetWalker و نابودی بعدی آن، به نظر می رسد Wazawaka قبلاً از این محدودیت ها چشم پوشی کرده است.
وازاواکا در مورد شعار شخصی خود می گوید: «در جایی که زندگی می کنید، به محلی سفر نکنید و به خارج از کشور نروید.
این می‌تواند توضیح دهد که چرا Wazawaka در مورد پنهان کردن و محافظت از هویت مجرمان سایبری خود بسیار بی‌تفاوت است: به طور باورنکردنی، آلتر ایگو Wazawaka در انجمن XSS – Uhodiransomware – هنوز از همان رمز عبوری در انجمن استفاده می‌کند که 10 سال پیش برای حساب Vkontakte خود استفاده می‌کرد. برای او خوش شانس است، XSS همچنین از برنامه احراز هویت تلفن همراه خود یک کد یک بار مصرف می خواهد.
مرحله دوم ورود به حساب Wazawaka در XSS (Uhodiransomwar).
وازاواکا گفت که بسته شدن نت واکر نتیجه طمع مدیر آن (با نام مستعار "بوگاتی") بود و سپس او به موعظه در مورد نیاز به تغییر نام تجاری هویت مجرمان سایبری خود به صورت دوره ای ادامه داد.
وازاواکا گفت: «من با بوگاتی کار داشتم. «آن مرد بیش از حد ثروتمند شد و شروع به استخدام آمریکایی ها به عنوان شرکای وابسته کرد. اتفاقی که الان افتاد نتیجه است. با این حال، اشکالی ندارد. من آرزو می‌کنم که بوگاتی کمی تغییر نام تجاری انجام دهد و از ابتدا شروع کند 🙂 در مورد سرورهایی که توقیف شده‌اند، آنها باید پنل‌های مدیریت خود را در روسیه میزبانی می‌کردند تا از توقیف سرورهایشان توسط اینترپل، اف‌بی‌آی یا هر چیز دیگری جلوگیری شود.»
وازاواکا در پایان گفت: "مادر روسیه به شما کمک خواهد کرد." "وطن خود را دوست داشته باشید، و همیشه از همه چیز دور خواهید شد."
اگر این پست را دوست داشتید، ممکن است از کارگزار دسترسی به شبکه "بابام" کیست نیز لذت ببرید؟