上周,CrowdStrike 公开了著名黑客组织 USDoD 的身份,在各类暗网和深网中发布过大量的售卖帖,其实在很早之前我们已经有溯源到了,正好借助这次公开补充些我们自己内部开源调查中的技巧和是如何来追溯他的真实信息的。
USDoD 是一个知名数据售卖者,以泄露大型个人信息数据库而闻名,包括来自空客和美国环境保护署等公司的数据库。还有来自 FBI 的 InfraGard 计划的数据,从 LinkedIn 等网站获取信息,还有BlackWater、国内某数据、开曼国家银行等等。
我们在 Instagram @zerodaycorp 上找到了几乎相同的标题(之后已更改)。这可能是巧合,但值得研究。
名称“Luan Gonçalves”在缓存结果中让位于已删除的 Threads 帐户:@barbosa.luan_ 该帐户似乎也涉及网络安全相关内容。
如果有 Threads 帐户,则必须在同一句柄下有一个链接的 Instagram 帐户。该帐户曾被纹身类账号标记过:此后该转发提及已被删除,但@zerodaycorp仍然存在于点赞中。这意味着 Luan Gonçalves 将他的 Instagram 用户名从 @barbosa.luan_更改为 @zerodaycorp。
通过对伪 “barbosa.luan_” 的尝试和判断,我们在 soundcloud 配置文件中找到了名为 LBG91 的句柄。在这里,Luan 将自己描述为“来自巴西的 Goa Trance 制作人,LBGRecords 的首席执行官兼创始人(https://soundcloud.com/lbg91)”。此个人资料链接了一个 Spotify 和一个现已删除的 Twitter 帐户。
多亏了 @Tineye 的反向图像搜索,我们才能够找到 Luan 的 Medium 帐户:natsec.medium.com。这将在我们的发现列表中添加了一个新的可能性。
在medium中,一篇文章提到了他在威胁情报平台 Alien Vault/LevelBlue Labs 上的出版物。
他在作者部分的名字与我们在他的旧 Instagram 句柄上找到的名字一致,并且媒介 URL 也给了我们一个新的昵称“luanbgs22”。
我发现了很多与这封电子邮件相关的信息:Github、Gravatar、TV Time、泄露的数据和使用这封电子邮件注册的域名。
在黑客论坛 RaidForums 的数据泄露事件中,我们可以看到这封电子邮件与用户名“LLTV”相关联。此外,该电子邮件已被用于注册 blacksuse.org、blacksuse.wiki、blacksuse.systems。用户“LLTV”在 Reddit 上提到了 BlackSuse OS。
回到他的 GitHub 帐户,个人简介内容是“Linux User/Gray Hat/Pet's lover/Future Ruby Programmer/Os-Dev”。看了看他的仓库,Luan 似乎擅长逆向工程。
Luan 在 BlackSUSE 上曾努力工作:基于 OpenSUSE 的 Linux 发行版。通过在搜索引擎上搜索 BlackSUSE,我们在 Hack Forums 上找到了这篇来自 BlackSUSE 的帖子,该帖子来自用户“ElmagoLoko”。
这封电子邮件在 Guiado Hacker(另一个黑客论坛)上被一位名为 CryptoSystem 的用户提及。
CryptoSystem 在 2020 年和 2021 年活跃在 Guiado Hacker 上,并发布了多个数据泄露事件:BlackWater、国内某数据、开曼国家银行......这与 USDoD 所做的非常相似!