Judische: аниме-гёрл, которая держит в страхе крупнейшие корпорации мира

Judische: аниме-гёрл, которая держит в страхе крупнейшие корпорации мира

Один видеокадр стал роковой ошибкой неуловимого киберпреступника.

image

Хакер Judische заработал около $2 миллионов на взломах компаний и вымогательстве данных, как сообщил сам злоумышленник. В начале года Judische устроил серию атак, взламывая облачные базы данных Snowflake и похищая конфиденциальные данные. По некоторым данным, под удар попали до 165 компаний, включая Ticketmaster, Santander Bank и Neiman Marcus. Взломы вызвали серьёзные последствия для различных отраслей.

Одной из наиболее заметных атак Judische стал взлом систем компании AT&T, когда он вместе с сообщником Джоном Биннсом (John Binns) похитил информацию о миллионах пользователей. В полученных данных можно было проследить историю звонков и сообщений абонентов, что предоставило преступникам богатую картину личной жизни пострадавших. Judische и Биннс познакомились через SIM Swapping, одной из их ранних мошеннических схем, когда преступники захватывали номера телефонов жертв для дальнейшего взлома их онлайн-аккаунтов.

Биннс был арестован в Турции после взлома AT&T, однако Judische продолжил свою деятельность, наращивая количество атак. Judische использовал псевдонимы «zfa», «catgwuirrel», «scarlet», и другие. Сообщения хакера в Telegram отличаются хаотичностью и угрозами в адрес исследователей кибербезопасности. Одной из стратегий является так называемый «detrace» — когда он обвиняет других в своих атаках, чтобы сбить следователей с толку.

Помимо шантажа, Judische активно взаимодействовал с посредниками, которые помогали ему структурировать данные для дальнейшего вымогательства. Одним из таких посредников был Vinny Troia, который предлагал Judische свои услуги по продаже похищенных данных. Troia активно переписывался с компаньонами хакера, предлагая варианты монетизации украденной информации.

Деятельность Judische начала привлекать внимание специалистов по кибербезопасности. Один из экспертов, старший аналитик угроз в компании Mandiant, Остин Ларсен, сосредоточил свои усилия на поиске следов, которые мог оставить хакер. На конференции по кибербезопасности LABScon, Ларсен представит свои выводы о личности и местоположении хакера.

В процессе расследования Ларсен изучил публичные и частные сообщения Judische в Telegram, где тот вел активную деятельность. Постепенно исследователь начал формировать представление о том, кто такой Judische и где он может находиться.

Judische совершил одну критическую ошибку, которая позволила следователям выйти на след хакера. Во время записи одного из видео, где Judische якобы удалял похищенные данные жертвы, в кадре оказался хостнейм компьютера, который помог Ларсену проследить местонахождение сервера хакера. Используя поисковую систему Censys, Ларсен сумел выявить инфраструктуру, поддерживающую деятельность Judische. Сервер был найден в Украине, и вскоре доступ к нему был заблокирован.

Блокировка инфраструктуры замедлила хакера, так как теперь у него не было доступа к части похищенных данных, что задержало дальнейшие попытки шантажа компаний. Judische отреагировал бурей гневных сообщений в Telegram, где он жаловался на вмешательство украинских властей и утверждал, что сервер якобы вернули из-за недоразумения. Однако вскоре после этого Mandiant смогли заблокировать ещё несколько серверов Judische.

Исследование Ларсена и команды Mandiant выявило несколько сотен индикаторов компрометации, связанных с деятельностью Judische. В их число вошли IP-адреса, хостнеймы, и другие технические метки, которые помогали отслеживать действия хакера на различных платформах.

На основе собранных данных Mandiant удалось сформировать более полное представление о личности злоумышленника. Judische — молодой человек в возрасте около 20 лет, предположительно из Канады, увлечённый видеоиграми и «кошкодевочками» (популярный образ в аниме), а также может не спать по несколько дней, когда ведет взломы через Telegram.

На данный момент следователи, как из Mandiant, так и из правоохранительных органов США и других стран, активно продолжают расследование, координируя свои действия для окончательного выявления личности хакера и пресечения его деятельности.

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь