溯源知名数据售卖组织USDoD

文摘   2024-09-10 17:10   北京  

上周,CrowdStrike 公开了著名黑客组织 USDoD 的身份,在各类暗网和深网中发布过大量的售卖帖,其实在很早之前我们已经有溯源到了,正好借助这次公开补充些我们自己内部开源调查中的技巧和是如何来追溯他的真实信息的。

USDoD 是一个知名数据售卖者,以泄露大型个人信息数据库而闻名,包括来自空客和美国环境保护署等公司的数据库。还有来自 FBI 的 InfraGard 计划的数据,从 LinkedIn 等网站获取信息,还有BlackWater、国内某数据、开曼国家银行等等。

8 月底,Tecmundo 发表了一篇文章,公开“USDoD 集团的可能领导者是一位名叫 Luan BG 的 33 岁男子,住在巴西米纳斯吉拉斯州”。文中还提供了一些伪媒体和社交媒体资料,但没有追溯将 USDoD 的官方 Twitter 资料与 Luan BG 联系起来的真实信息。
USDoD 被广泛认为是一个非常成功的黑客组织。去年 4 月,美国、英国、加拿大等的 27 亿条记录被泄露,包括社会安全号码、姓名、地址、电话号码等。
技巧:Twitter个人简介
USDoD @equationcorp使用的 Twitter 帐户。该帐户的简介是“ protect the hive. When the system is out of balance, I correct it“(2024 年 4 月 29 日)。

我们在 Instagram @zerodaycorp 上找到了几乎相同的标题(之后已更改)。这可能是巧合,但值得研究。

名称“Luan Gonçalves”在缓存结果中让位于已删除的 Threads 帐户:@barbosa.luan_ 该帐户似乎也涉及网络安全相关内容。

如果有 Threads 帐户,则必须在同一句柄下有一个链接的 Instagram 帐户。该帐户曾被纹身类账号标记过:此后该转发提及已被删除,但@zerodaycorp仍然存在于点赞中。这意味着 Luan Gonçalves 将他的 Instagram 用户名从 @barbosa.luan_更改为 @zerodaycorp。

通过对伪 “barbosa.luan_” 的尝试和判断,我们在 soundcloud 配置文件中找到了名为 LBG91 的句柄。在这里,Luan 将自己描述为“来自巴西的 Goa Trance 制作人,LBGRecords 的首席执行官兼创始人(https://soundcloud.com/lbg91)”。此个人资料链接了一个 Spotify 和一个现已删除的 Twitter 帐户。

多亏了 @Tineye 的反向图像搜索,我们才能够找到 Luan 的 Medium 帐户:natsec.medium.com。这将在我们的发现列表中添加了一个新的可能性。

medium中,一篇文章提到了他在威胁情报平台 Alien Vault/LevelBlue Labs 上的出版物。

他在作者部分的名字与我们在他的旧 Instagram 句柄上找到的名字一致,并且媒介 URL 也给了我们一个新的昵称“luanbgs22”。

多亏了很优质的工具 WhatsMyName,我们可以使用 luanbgs22 找到一个 Gravatar 帐户。我们在头像上认出了同一张面孔。
可以从 Gravatar 个人资料中找到电子邮吗,找到了电子邮件 luanbgs22@gmail.com。

我发现了很多与这封电子邮件相关的信息:Github、Gravatar、TV Time、泄露的数据和使用这封电子邮件注册的域名。

在黑客论坛 RaidForums 的数据泄露事件中,我们可以看到这封电子邮件与用户名“LLTV”相关联。此外,该电子邮件已被用于注册 blacksuse.org、blacksuse.wiki、blacksuse.systems。用户“LLTV”在 Reddit 上提到了 BlackSuse OS。

回到他的 GitHub 帐户,个人简介内容是“Linux User/Gray Hat/Pet's lover/Future Ruby Programmer/Os-Dev”。看了看他的仓库,Luan 似乎擅长逆向工程。

Luan 在 BlackSUSE 上曾努力工作:基于 OpenSUSE 的 Linux 发行版。通过在搜索引擎上搜索 BlackSUSE,我们在 Hack Forums 上找到了这篇来自 BlackSUSE 的帖子,该帖子来自用户“ElmagoLoko”。

在同一论坛的另一篇帖子中,ElmagoLoko 发布了一个指向他的 Github 个人资料的链接,该链接是......我们之前找到的那个。并能确认Luan 就是 Elmagoko,一个逆向工程和渗透测试爱好者。
在另一篇 Hack 论坛帖子中,ElmagoLoko 发布了一封 Jabber 电子邮件:ElMagoLoko@hacker.im

这封电子邮件在 Guiado Hacker(另一个黑客论坛)上被一位名为 CryptoSystem 的用户提及。

CryptoSystem 在 2020 年和 2021 年活跃在 Guiado Hacker 上,并发布了多个数据泄露事件:BlackWater、国内某数据、开曼国家银行......这与 USDoD 所做的非常相似!

总结一下:
1. USDoD 的简历与 Luan Gonçalves Barbosa 的 Instagram 帐户相同
2. 他是巴西的音乐制作人
3. 基于他的数字足迹,他喜欢渗透和逆向工程 
4. 他在多个黑客论坛上拥有帐户,并发布了多个数据泄露

Luan Gonçalves Barbosa 此后确认自己是 USDoD :

军机故阁
最新的安全情报与技术
 最新文章