Cooper Quintin 多年来一直在追踪一个名为Dark Caracal的网络雇佣军组织的活动。 2022 年 7 月 28 日,他说他发现了该组织在多米尼加共和国和委内瑞拉开展新的黑客活动的痕迹。在分析黑客用作命令和控制服务器的域时,他有了一个惊人的发现。
“四个多月以来,他们都没有意识到自己忘记了注册恶意软件中列出的一个关键域,”数字版权组织电子前沿基金会的高级安全研究员昆廷告诉 TechCrunch。
Quintin 很快意识到,如果他可以注册域并控制它(一种在网络安全术语中称为sinkholing的机制),他就可以实时了解黑客的行为,更重要的是,他们的目标。
他说他是在当天晚些时候发现的,但他立即开始“纠缠” EFF 的律师,以获得注册该域名并将其下沉的许可。第二天,昆廷获得批准并有效地渗透到 Dark Caracal 的黑客行动中。
在撰写本文时,他仍在秘密监视黑客的活动。据昆廷所知,黑客们还没有意识到这一点。
“我想我可能会得到几天的信息,最多可能是一两周。我从没想过我会得到几个月的信息,”他说。
多亏了天坑,昆廷发现自去年 3 月以来,黑客已经将 700 多台计算机作为目标,其中大部分位于多米尼加共和国和委内瑞拉。
Quintin 接管的域不是主要的命令和控制服务器——它是三个服务器之一——但它仍然有一个重要的目标:为恶意软件下载附加功能,称为Bandook 。然而,这意味着 Quintin 没有获得有关目标及其身份的详细信息,除了 IP 地址。
此外,当他们决定控制 Dark Caracal 的领地时,昆廷和他的同事们决定他们不想收集太多的个人信息。
“我们想确保我们不会进一步侵犯被感染者的隐私,”他说。
考虑到这一目标,他们做出了一个特殊的决定,在 sinkhole 的网站上发布了隐私政策,该政策称 EFF“将尽最大努力在发布或共享之前或在特定时间范围内对 SINKHOLE 收集的任何数据进行匿名处理,”其他做法旨在保护黑客活动的受害者。
EFF 自 2015 年以来一直在追踪 Dark Caracal。2020 年,Quintin 和 EFF 的网络安全主管 Eva Galperin发布了一份关于针对黎巴嫩目标的黑客活动的报告。 EFF 研究人员当时得出的结论是,黑客活动是在黎巴嫩政府的要求下进行的,他们将其与2016 年在哈萨克斯坦的一次活动联系起来。
多年来,该组织一直针对不同国家的不同受害者,这一事实使 EFF 研究人员得出结论,Dark Caracal 不是传统的政府黑客组织,而是政府和其他组织雇用的组织,可以对他们感兴趣的任何人进行黑客攻击.
“我们认为他们是一个网络雇佣军,他们似乎为多个民族国家做过工作,包括黎巴嫩和哈萨克斯坦。现在看来他们正在拉丁美洲做一些工作,”昆廷说。 (昆廷和他的同事无法确定 Dark Caracal 在这里为谁工作。)
EFF 研究人员认为,Dark Caracal 与网络安全公司 ESET 在 2021 年报告的一项活动背后的组织相同,该活动主要针对委内瑞拉的计算机。负责该报告的 ESET 研究员 Matias Porolli 告诉 TechCrunch,当 Quintin 向他寻求帮助时,他调查了当前的活动。 Porolli 表示,他得出的结论是,最近的这次活动是由 ESET 在 2021 年跟踪的同一组织发起的。
然而,Porolli 表示,他们没有足够的数据来断定 2021 年的活动确实是由 Dark Caracal 进行的。指向 Dark Caracal 的痕迹之一是使用间谍软件或远程访问木马,通常称为 RAT,称为 Bandook。
“这是相同的恶意软件,Bandook,但它可以被不同的团体使用,”Porolli 说。
然而,Cooper 表示,他认为使用相同的恶意软件是一个足够强大的链接,因为 Bandook 不是开源的,也似乎不是公开可用的。此外,黑客多年来一直在慢慢改进 Bandook,为间谍软件添加不同的功能,这表明他们是同一群人在改进自己的工具。
他们的工具和技术正在慢慢变得更好。
“我们在这里并不是在与世界上最好的人打交道。但无论如何,他们仍然完成了工作。他们显然能够开展大型活动,并感染大量计算机,”昆廷说。 “我认为关注这些低端医生很重要,因为他们投入了大量工作。而且我认为他们所做的工作与像 NSO Group 这样更知名的人一样多,而且我认为他们以不同的方式同样危险。”
球现在在 Dark Caracal 的球场上。既然 Quintin 的行为公开了,他们会发现他们已经被渗透了吗?
“如果我是他们,我会阅读 EFF 博客来寻找我的名字,”昆廷笑着说。
你有更多关于黑暗狞猫的信息吗?或者你有关于其他雇佣军黑客组织的信息吗?我们很乐意听取您的意见。您可以通过 Signal 安全地联系 Lorenzo Franceschi-Bicchierai,电话 +1 917 257 1382,或通过 Wickr、Telegram 和 Wire @lorenzofb,或发送电子邮件至 [email protected] 。您还可以通过SecureDrop联系 TechCrunch。
数字权利捍卫者渗透到所谓的雇佣军黑客组织中Lorenzo Franceschi-Bicchierai最初发表于TechCrunch