在泰國、新加坡執(zhí)法部門與網(wǎng)絡(luò)安全公司Group-IB的協(xié)同努力下，一名與全球90多起數(shù)據(jù)泄露案件有關(guān)的黑客被逮捕。這名黑客曾以GHOSTR、ALTDOS、DESORDEN和0mid16B等多個網(wǎng)絡(luò)身份活躍，據(jù)稱其在暗網(wǎng)市場上竊取并出售了超過13TB的敏感信息，其中包括政府機構(gòu)的記錄。此外，他還是臭名昭著的網(wǎng)絡(luò)犯罪和數(shù)據(jù)泄露平臺Breach Forums的活躍成員。

GHOSTR因多重賬戶被Breach Forums封禁（截圖來源：Hackread.com）

多國作案，行業(yè)廣泛

自2020年起，這名黑客的目標主要集中在新加坡、馬來西亞、巴基斯坦和印度等亞太地區(qū)國家，后來逐漸擴展到歐洲、北美和中東。受害者涉及醫(yī)療、金融、電子商務(wù)和物流等多個行業(yè)。起初，他通過威脅泄露被盜數(shù)據(jù)向公司施壓，要求支付贖金，并在要求被忽視時向媒體或監(jiān)管機構(gòu)發(fā)出警告。后來，他轉(zhuǎn)向在暗網(wǎng)論壇上直接出售數(shù)據(jù)庫，以高質(zhì)量泄露和高端定價而聞名。在某些情況下，他甚至?xí)苯油ㄟ^電子郵件與客戶聯(lián)系，迫使公司就范。

根據(jù)Group-IB于周四發(fā)布的新聞稿，該黑客利用常見漏洞滲透系統(tǒng)，使用sqlmap等工具執(zhí)行SQL注入攻擊，以訪問后端數(shù)據(jù)庫，并入侵安全防護薄弱的遠程桌面協(xié)議（RDP）服務(wù)器。一旦進入系統(tǒng)，他便部署修改版的滲透測試工具CobaltStrike，以維持對受攻擊網(wǎng)絡(luò)的控制權(quán)，并將提取的數(shù)據(jù)復(fù)制到云端服務(wù)器用于勒索。

多重身份，追蹤艱難

調(diào)查人員面臨的最大挑戰(zhàn)是該黑客頻繁更換別名和策略。Group-IB通過分析暗網(wǎng)論壇上的寫作風(fēng)格、發(fā)布格式和目標偏好，將這些身份關(guān)聯(lián)起來。例如，ALTDOS在2020年主要針對泰國受害者，而DESORDEN后來則瞄準了零售、金融、物流、保險、醫(yī)療、酒店、招聘、科技、電子商務(wù)和房地產(chǎn)投資等領(lǐng)域。

盡管多次因詐騙和虛假賬戶被論壇封禁，該黑客仍不斷更換身份繼續(xù)作案，直到其在線活動的蹤跡被當(dāng)局追查到現(xiàn)實中的真實身份。在逮捕行動中，泰國當(dāng)局查獲了多臺筆記本電腦、電子設(shè)備以及用數(shù)據(jù)銷售所得購買的大量奢侈品。

查獲物品（來源：Group-IB）

Group-IB通過研究該黑客的行為模式和技術(shù)線索，成功將其多個身份關(guān)聯(lián)起來。這一案例讓人聯(lián)想到巴西黑客USDoD，其真實身份在被CrowdStrike揭露后被捕，進一步證明了網(wǎng)絡(luò)犯罪追蹤的可能性。