ผู้ต้องสงสัยชาวโรมาเนีย(ชาย 1, หญิง 1)กล่าวว่าได้ทำการแฮ็คเข้าไปยังกล้องวงจรปิดของตำรวจของ Washington DC เพื่อแพร่กระจาย ransomware

2 ผู้ต้องหาคือ Mihai Alexandru Isvanca และ Eveline Cismaru, ชาวโรมาเนีย, ซึ่งถูกจับโดยเจ้าหน้าที่โรมาเนียเมื่อช่วงอาทิตย์ก่อน โดยทั้ง 2 ถือเป็นหนึ่งในขบวนการ Operation Bakovia ซึ่งสุดท้ายมีผู้ร่วมขบวนการทั้งสิ้น 5 คน โดยถูกตั้งข้อหาเรื่องการแพร่กระจาย email spam ที่มี CTB-Locker และ Cerber ransomware ฝังไปด้วย

ทางผู้ต้องหาได้กล่าวว่าได้ทำการแฮ็คกล้องวงจรปิดของตำรวจ DC จำนวน 123 ตัวจาก 187 ตัว

ทางผู้สอบสวนของ US ได้กล่าวว่า Isvanca และ Cismaru ได้ทำการขยายจากกล้องวงจรปิดไปยัง computer​ ที่เชื่อมต่อกับกล้องวงจรปิดเหล่านั้น ช่องทางที่ใช้คือ RDP แล้วจากนั้นก็ทำการส่ง spam emails ไปหาเหยื่ออีกที

โดยการกระทำดังกล่าวทำเมื่อวันที่ 9 มกราคม ทางตำรวจ Washington DC ได้ค้นพบการเจาะดังกล่าวเมื่อวันที่ 12 มกราคม 2017 และปิดระบบไป 4 วัน จนกระทั่ง 15 มกราคม 2017 เพื่อทำการ clean และ secure ระบบ

เจ้าหน้าที่ US Secret service ได้กล่าวว่าในเครื่อง computer เหล่านั้นมีหลักฐานอยู่คือ browser มีการ signin ไปยัง SendGrid account โดยใช้ชื่อว่า David Andrew (david.andrews2005@gmail.com).

ซึ่ง SendGrid account นั้นถูกใช้เพื่อส่ง spam email ไปยัง 179,616 email addresses อีกที โดยพบว่าในเครื่องที่ถูกยึดนั้นจะมีไฟล์ที่ชื่อว่า USA.txt อยู่ ซึ่งไฟล์นั้นจะเป็น list email address ที่จะให้ส่งอยู่นั่นเอง

นอกเหนือจาก David Andrew email address แล้ว ยังพบอีกว่ามีการเข้าใช้งาน anonimano027@gmail.com. หลังจากเข้า inbox ดังกล่าวด้วยหมายศาลก็พบว่ามี email มากมายที่น่าสนใจและมีประโยชน์ต่อการสืบสวนสอบสวน

email anonimano027@gmail.com พบว่ามี list ของ IP addresses, usernames, และ passwords จาก vand.suflete@gmail.com (“vand suflete” แปลในภาษาโรมาเนียคือ “sell souls”). ซึ่งใน list นั้นมี 94 IP addresses ที่เป็นของ MPDC surveillance systems ที่ถูกแฮ็ค

email จาก email account อื่นๆ ก็ยังมีทั้ง list ของ IP, usernames, และ passwords ของเครื่องที่ติด Cerber ransomware. บาง IPs ถูก mark ไว้ชื่อว่า  “ars,” แปลในภาษาโรมาเนียคือ “เผาใหม้” ในขณะที่บาง IP ก็ถูก mark ไว้เป็นคำว่า “aici,” แปลในภาษาโรมาเนียคือ “ที่นี่” ซึ่งเป็น list ของ IP ของเครื่องที่ถูกยึดได้ ที่ทาง Secret Service กำลังสอบสวน

เมื่อเข้าไปดูใน vand.suflete@gmail.com, พบเจอ link ที่เป็นแผงควบคุม(Control Panel) ของ Cerber ransomware operation. อีกทั้งยังเจอ email 3 ฉบับที่มี PDF filesที่ใช้ในการโจมตีและติดตั้ง Cerber และ Dharma ransomware อยู่. ซึ่งไฟล์เหล่านี้ถูกฝากไว้ใน MPDC systems อีกที

หลักฐานเหล่านี้ทำให้เจ้าหน้าที่สามารถตามกลับไปถึงข้อมูลส่วนตัวของ Isvanca จนได้  นั่นคือ anonimano027@gmail.com นั่นเอง

ตัว anonimano027@gmail.com email ถูกใช้โดย Isvanca ไปทำการ register ใน ifud.ws hacking forum, ซึ่งในนั้นใช้ชื่อว่า “Tommy Tommy” แทน

ทางเจ้าหน้าที่พบว่า Isvanca ใช้ 86.107.57.138 IP address ในการ register และเข้าถึง email accounts, เป็นอันเดียวกับที่ไปแฮ็ค UK healthcare organization’s network. ซึ่งการแฮ็คดังกล่าวก็ถูกนำไปใช้เพื่อแพร่กระจาย ransomware เช่นกัน เมื่อตาม IP ดังกล่าวก็พบว่าเป็นของ Romanian Internet provider located ใน Bucharest.

ทางเจ้าหน้าที่ได้โยง Isvanca ไป Cismaru เพราะว่า email account logs พบว่า Cismaru ใช้ เป็น real-world email address ที่เค้าใช้ประจำ(eveline.cismaru@gmail.com) ส่ง list IP addresses ไปให้กับ Isvanca ที่ vand.suflete@gmail.com account, จากนั้นทาง Isvanca จึงส่งต่อไปยัง anonimano027@gmail.com account อีกที

จาก Log พบว่า Cismaru ได้ทำการส่ง USA.txt file ไปยัง Isvanca’s david.andrews2005@gmail.com account, ซึ่งนั่นก็คือไฟล์ที่ใช้กำหนดเป้าหมายการส่งนั่นเอง

ซึ่งแน่นอนว่าเมื่อ Cismaru นั้นใช้ email ส่วนตัว ทำให้เจ้าหน้าที่ของ US ตามหาตัว Cismaru ได้ไม่ยากเลย อีกทั้งภายในเมล์ของ Cismaru ยังมีข้อมูลที่เป็นประโยชน์ไม่ว่าจะเป็น airline bookings, airline tickets, Airbnb account communications, UK driver’s license application, และอื่นๆ

ทั้ง Isvanca และ Cismaru เป็นชาวโรมาเนียที่พักอยู่ใน London, UK. แต่ตอนจับนั้นเกิดขึ้นที่ Romania ซึ่งจากแหล่งข่าวพบว่าเป็นการจับขณะกำลังออกนอกประเทศ ที่ Bucharest airport

เจ้าหน้าที่โรมาเนียได้ทำการจับทั้งคู่ด้วยข้อหามากมาย แต่มีหลายเคสต้องยกฟ้องเพราะขาดหลักฐานนั่นเอง

Source:: BleepingComputer