菜单

暗影追踪:谁是LeakedSource.com的幕后运营者?

2017年2月25日 - 信息安全

hacker-1952027_1280.jpg

在LeakedSource突然关停之际,安全专家Brian Krebs利用蛛丝马迹的线索,通过层层抽丝剥茧,顺藤摸瓜,最终确定了LeakedSource幕后运营者的大致身份。抛开LeakedSource的合法性不谈,该文对特定网络身份轮廓的剖绘值得参考研究。

LeakedSource突然下线

作为一个神秘和强大的社工库网站,上个月底,LeakedSource在没有发布任何消息的情况下,就突然下线无法访问了。据多家媒体消息,原因是美国相关执法部门对LeakedSource网站和相关运营者开展了调查,并没收了其服务器。而在黑客论坛OGF中,有用户发贴声称:“LeakedSource将不复存在,虽然目前网站相关运营者还没有被逮捕,但是他们的服务器和数据都被联邦政府没收了。”

Leakedsource-offline.jpg

据传比较讽刺的是,LeakedSource网站幕后运营者的真实身份,竟是被其自己兜售的数据库暴露了。而在LeakedSource成立初期,其网站服务器物理位置和运营者身份都非常隐秘,无迹可寻。

LeakedSource运营模式

自2015年10月,LeakedSource就开始成立网站,出售一些严重数据泄露事件中涉及的账户密码信息,在其网站搜索栏输入任何一个电子邮箱地址之后,都会提示是否有该邮箱对应的密码泄露信息。当然,用户得付费查看具体的密码信息。

LeakedSource是一个可以满足很多人好奇心的网站,尤其是对那些调查数据泄漏事件的新闻记者。其它数据泄露服务网站,如BreachAlarm和HavelBeenPwned.com,如果用户查出某个账户或邮箱存在密码泄露,在查看这些密码信息之前,会强制要求用户对相关账户的合法身份进行验证,而LeakedSource对此却不需要任何形式的身份验证。因此,很多人指责LeakedSource运营者完全出于利益目的,而不对账户泄露者的隐私和安全考虑。

调查LeakedSource幕后运营者

初现端倪“Xerx3s”

出于对LeakedSource的神秘和探究冲动,我对其一直比较感兴趣。之前我从多方渠道获悉,LeakedSource的其中一名管理员,也是在线论坛abusewith[.]us管理员。abusewith成立于2013年9月,专门提供邮箱和在线游戏账号破解业务,论坛成立初期以教学虚拟角色扮演游戏Runescape的账号破解而出名。

runescape-580x328.png

据abusewith[.]us论坛显示,其管理员昵称为”Xerx3s”,从其头像信息可知,昵称”Xerx3s”取自波斯国王薛西斯大帝(Xerxes the Great)。Xerx3s似乎比较擅长破解论坛和Runescape等在线游戏账号,同时,他还是游戏Runescape的主要金币卖家之一,经常以大折扣向其它玩家出售Runescape游戏金币,而这些金币很可能是通过窃取其他游戏账号得来的。

abusewithus-current.png

初步试探leakedsourceonline@gmail.com

2016年7月,我打算对LeakedSource网站的幕后运营者进行调查。一开始我尝试与其网站提供的邮箱leakedsourceonline@gmail.com进行联系,提出采访要求,之后,我就很意外地收到了来自邮箱leakedsource@chatme.im的匿名Jabber(一种linux实时聊天器)聊天邀请。(后续相关的聊天记录点此查看

我想通过这些片面的采访,了解LeakedSource幕后运营者是如何看待他们所做的这一切。另外,也想进一步确定abusewith[.]us管理员Xerx3s是否和LeakedSource有关。

带着这些目的和种种问题,最终,在与leakedsource@chatme.im账户的交流中,他提到:“2015年,在发生了多起严重数据泄漏事件后, 我们注意到了当时的公众需求趋势,即大家都想知道自己的账户是否受到影响,而当时又没有可供查询的特殊渠道。所以,LeakedSource就因这样的需求应运而生了,而非出于其它目的。抱歉,由于你的采访带有一些隐晦的政治意味,所以,我们打算终止采访。”,由此可见,LeakedSource幕后运营者对于网站的运营目的相当谨慎,对于提供数据泄露服务之外的话题几乎避而不谈。

就在这次谈话过后两周,一个经常关注网络犯罪地下组织的消息线人告诉我,他最近与Xerx3s聊过,Xerx3s在聊天中向他透露了我之前与leakedsource@chatme.im账户的对话内容,我的消息线人还告诉我,Xerx3s使用的聊天账户xerx3s@chatme.im,是在创立LeakedSource之前就一直在用的。

而这也说明,Xerx3s可能就是那个与我聊天的LeakedSource联系人(leakedsource@chatme.im),或者是那个LeakedSource联系人将我们之间的对话内容透露给了Xerx3s。

深挖线索

虽然他在论坛abusewith[.]us的使用昵称为Xerx3s,而且很多跟他在论坛上比较熟络的成员都称他化名”Wade”或”Jeremy Wade”。

xer-wade.png

化名”Jeremy Wade”的身份所使用的其中一个邮件地址为imjeremywade@gmail.com,根据WHOIS查询记录显示,这个邮箱与注册于2015年的两个域名有关联:abusing[.]rs和cyberpay[.]info,而且在这两个域名注册记录中都出现了“Secure Gaming LLC”公司名称。

xerownsit-580x252.png

“Jeremy Wade”的相关信息曾在多个数据曝光网站公布的被黑数据库中出现过,甚至连abusewith[.]us和LeakedSource自己还发布过这些被黑数据库。例如在DDoS攻击服务网站panic-stresser[dot]xyz的泄露数据中,其中一个PayPal账户(eadeh_andrew@yahoo.com)利用名字jeremywade在该网站进行过5美金的交易,而泄漏的数据库也表明,与Jeremywade账号绑定的邮箱为2012年7月创建的xdavros@gmail.com,该账号首次登录使用的IP为美国密歇根州的动态地址68.41.238.208。

IP.jpg

我根据大量的论坛发帖信息发现,邮箱xdavros@gmail.com的所有者还创建了其它很多邮箱地址,包括alexdavros@gmail.com、davrosalex3@yahoo.com、davrosalex4@yahoo.com和themarketsales@gmail.com等。

xdavros@gmail.com曾在2011年注册了至少四个域名,其中两个为daily-streaming.com和tiny-chats.com,这两个域名的注册信息显示,域名拥有者名称为Nick Davros,地址为密歇根州Muskegon市Dunes大道3757号;而另外两个域名的拥有者为Alex Davros,地址同样为Muskegon市,而且这四个域名使用的注册电话都是231-343-0295。另外两个注册域名为m-forum.us和tinychat.com.co。

我利用IP 68.41.238.208和邮箱xdavros@gmail.com进行网络关联查询,又在另外一个网站sinister[dot]ly泄露数据库中发现了其身影,在该泄露数据中显示,名为”Jwade”的账户通过邮箱trpkisaiah@gmail.com注册,并以同样的IP 68.41.238.208执行了首次登录。

之后,我通过一家提供IP和域名追踪的安全公司Farsight Security发现,在2012至2014年之前,IP 68.41.238.208地址隶属著名动态域名服务商no-ip.biz所有。使用者利用no-ip.biz和其它动态IP服务,能方便地部署网站并修改域名。另据Farsight Security提供的报告显示,IP 68.41.238.208曾托管过3个域名,包括“jwade69.no-ip.biz” “wadewon.no-ip.biz”和“jrat6969.zapto.org”。其中第一个域名jwade69.no-ip.biz曾出现在FBI对”黑影(Blackshades)”黑客组织的通缉域名中。

意外发现:XERX3S被黑了吗?

去年9月中旬,我曾收到过一条匿名黑客信息,该黑客声称他已经入侵了我前面提及的与Xerx3s相关的邮箱themarketsales@gmail.com,他并没有告诉我对该邮箱的入侵方法,但是通过Xerx3s相关的多个泄漏数据库显示,Xerx3s的多个邮箱账号使用了相同的密码。

Xerx3s名叫Alex Davros

该匿名黑客向我提供了多幅入侵登录邮箱themarketsales@gmail.com的截图,从截图信息可以看出邮箱账户名称为“Alex Davros”,另外,还可以发现,2015年短期内,该邮箱账户在从Leakedsource.com收到了数千美金的Paypal打款。

alexdavrosleakedsource.png

截图信息还透露了邮箱themarketsales@gmail.com绑定的Paypal账户却为Secured Gaming LLC的公司名称所有,该名称出现在前述分析的两个域名abusing[dot]rs和cyberpay[dot]info注册信息中。

themarketsalespage1.png

另外,通过该匿名黑客提供的其它截图,我还发现与themarketsales@gmail.com绑定的Paypal账户会每月定期向DDoS防护服务商Hyperfliter.com打款,而Hyperfliter.com正是abusewith[dot]us的长期网站托管和DDoS安全防护服务提供商。

alexdavros-hyperfilter.png

Alex Davros的配偶Parker女士

除此之外,这位匿名黑客向我透露,他还成功入侵了“Alex Davros”配偶的邮箱desiparker18@gmail.com,该邮箱属于密歇根一位名叫Desi Parker的女士所有,邮箱绑定了Apple iTunes和Instagram账户并通过万事达后四位为7055的信用卡进行日常消费,住址可能为密歇根州马斯基根市海勒大道868号。

Parker女士的Instagram账号中把Alex Davros称为“配偶”,并标记了其电话号码231-343-0295,前述分析中提到,该电话号码是域名daily-streaming.com和tiny-chats.com的注册联系号码,但是该号码目前已经停机。

另外,从Parker女士的Facebook中得知,她正与名为Alexander Marcus Davros的男子热恋,而Alex Davros的Facebook账户信息却非常有限,只在其名字栏下方“关于Alexander”的地方填写内容为“TheKing”。而Parker的Instagram账户信息中则包含了一幅手绘的王冠图像。(Alex Davros的Facebook账户目前已经不能访问)

而且,另外据我发现,两个与Jeremy Wade注册域名相关的邮箱地址matt96sk@yahoo.com和skythekiddy@yahoo.com,在它们所绑定的Facebook账户中,都把Alex Davros标记为朋友关系。

顺藤摸瓜:梳理关系线索

以下就是我根据所有线索列出的一些详细关系图,根据最终推断,Xerx3s应该就是LeakedSource管理员。(点此查看原版大图)

ls-aw-mindmap.png

求证:联系Alex Davros

我想尝试通过Twitter联系Alex Davros进行私聊,在发出信息之后的一分钟,他就关注我了,并要求我删除和他求关注的公开发帖。之后,他礼貌地向我作出回应:”哇,我很惊讶,但是可以真诚地告诉你,我不是LeakedSource的管理员。”,在我向他出示一些关联线索之后,他承认他就是Xerx3s,但与LeakedSource无关。他是这样回复我的:”I am xer yes but LS no”,之后,他就以有事为由拒绝回复我其它问题。

iamxerbutlsno.png

即使真像Davros说的,他并不是LeakedSource管理员,但所有的线索和关联信息足以证明,他和LeakedSource网站的运营有着非常紧密的关系。

LeakedSource的合法性探讨

表面上,LeakedSource网站运营者给出的理由和解释似乎合理:他们仅是把泄露在互联网上或通过其它匿名渠道曝光的数据进行整合,以此为公众提供服务。但就我采访的一些法律专家则认为,如果公诉人有证据证明某人利用LeakedSource出售的密码和其它相关信息来实施犯罪的话,那么LeakedSource运营者将面临刑事指控。

华盛顿大学的网络安全法项目主任Orin Kerr表明,根据计算机欺诈与滥用法(CFAA),贩卖他人密码的行为明显违法。CFAA第6节对密码贩卖行为有着特定说明:故意或蓄意贩卖通过未授权访问电脑获取的密码和相关信息是违法的。

纽约大学法学院法律与安全中心高级研究员Judith Germano则认为,不排除LeakedSource幕后运营者很可能通过这种表面合法的掩饰,而出于其它目的,收集一些特定账号密码信息。

综合法律专家的观点来看,由于LeakedSource利用被窃数据,出于经济利益向公众提供了付费的泄露密码查询服务,这种做法已经触犯法律。

发表评论

电子邮件地址不会被公开。 必填项已用*标注