Mark Sokolovsky 被指控是 Raccoon Infostealer 惡意軟件程序的關鍵人物,該程序與全球數百萬登錄憑據被盜有關。
司法部
2 月底,在俄羅斯開始向烏克蘭投擲炸彈三週後,一位名叫馬克·索科洛夫斯基 (Mark Sokolovsky) 的才華橫溢的年輕計算機程序員和他的女朋友爬上了一輛保時捷卡宴,以逃離戰火。
兩人先是穿過波蘭,然後是德國,然後在他們認為安全的荷蘭停留。 他們殊不知,美國聯邦調查局和歐洲的調查人員一直在監視著他們。
26 歲的 Sokolovsky 去年年底在得克薩斯州聯邦法院的一份密封刑事起訴書中被點名,指控他是一種名為 Raccoon Infostealer 的普遍惡意軟件背後的關鍵人物,檢察官稱這種惡意軟件已經感染了全球數百萬台計算機,竊取來自無數受害者的財務登錄憑據和金錢。
索科洛夫斯基入境幾天后,荷蘭警方在阿姆斯特丹以計算機欺詐、電匯欺詐、洗錢和身份盜竊等罪名逮捕了他。 如果被定罪,他將面臨 20 多年的監禁,並在荷蘭繼續被拘留,同時與將他送往美國的引渡程序作鬥爭
在引渡程序中代表索科洛夫斯基的荷蘭律師尼爾斯·範沙伊克 (Niels Van Schaik) 留下的信息沒有立即返回。
直到上週,當局才宣布逮捕索科洛夫斯基,作為追查可能受害人努力的一部分,此案的存在一直處於保密狀態。 調查人員表示,在他被捕後,他們設法破解了一個巨大的被盜數據緩存,其中包含數百萬個電子郵件地址和登錄信息。
作為公告的一部分,檢察官和聯邦調查局宣布創建一個網站,懷疑自己可能是受害者的人可以在該網站上查看他們的個人信息是否包含在調查人員恢復的數據中。
“這是一個非常、非常大的全球案件,”案件立案地得克薩斯州西區的美國檢察官阿什利霍夫說。
“我們偷,你做”
Raccoon Infostealer 是一類越來越流行的程序,稱為惡意軟件即服務或 MaaS。 開發 Maas 程序的程序員通常不會自己竊取人們的信息,而是將軟件許可給其他使用它來敲詐人們的網絡犯罪分子。 Raccoon 的操作員還保存了所有被盜信息的副本。
網絡犯罪專家表示,與任何一種合法軟件一樣,Raccoon Infostealer 提供 24 小時客戶支持並經常發布程序更新。 費用是每週 75 美元或每月 200 美元。
Raccoon Infostealer 於 2019 年初首次出現,最初在受網絡犯罪分子歡迎的俄語平台上出售,後來也在英語平台上出售。 它以“我們竊取,你交易”的口號標榜自己,大受歡迎,並迅速引起了網絡安全專家的注意。
Group-IB 的 Oleg Skulkin 說:“由於它作為 MaaS 或惡意軟件即服務進行分發,它不僅被一個威脅行為者或團體使用,而且被多個網絡犯罪分子使用,因此它非常普遍”公司總部設在新加坡。 “對於大多數網絡罪犯來說,購買或租用惡意軟件要容易得多。 它只是更便宜。”
3 月,在 Sokolovsky 被捕後不久,Raccoon 的運營商向客戶發出消息稱他們需要關閉,因為俄羅斯在烏克蘭的戰爭中斷了運營。
“不幸的是,由於‘特別行動’,我們將不得不關閉浣熊偷竊者項目,”該組織表示。 “我們負責產品關鍵組件的團隊成員不再與我們在一起。 感謝這段經歷和時間,感謝每一天,不幸的一切,世界末日遲早會降臨到每個人身上。”
在俄羅斯——尤其是在入侵烏克蘭的初期——弗拉基米爾·普京總統強迫人們使用“特別行動”一詞來描述這次入侵。 那些稱其為戰爭或入侵的人冒著被判入獄的風險。
雖然網絡安全領域的許多人將 Raccoon 關閉消息解釋為關鍵程序員在戰鬥初期被殺,但它可能是指索科洛夫斯基被捕。
Raccoon 的運營商沒有立即回复徵求意見的消息。 他們在上週索科洛夫斯基被捕的消息傳出後發表聲明稱,他們並不認識他本人,而且當他 3 月份失踪時,“我們當然做了最壞的打算。”
專家表示,幾個月後,該軟件的新版本重新啟動,對其程序進行了一些重要調整。
在運行
索科洛夫斯基來自烏克蘭東部的哈爾科夫市,並在那裡上過大學。 戰爭初期,這座城市遭到俄羅斯軍隊的猛烈轟炸。
9 月,烏克蘭軍隊在該國哈爾科夫地區的大片地區取得進展,奪回了俄羅斯控制的城鎮。 照片:Juan Barreto/AFP/Getty Images
根據受人尊敬的網絡安全記者和分析師布賴恩·克雷布斯 (Brian Krebs) 在博客上的一個帳戶,當局能夠通過他的 iCloud AAPL + 0.38% 帳戶將 Sokolovsky 與 Raccoon 聯繫起來,該帳戶曾用於設置與惡意軟件相關的某些帳戶程序。
據克雷布斯報導,這使當局能夠追踪索科洛夫斯基的行動。 它還讓他們找到了一張索科洛夫斯基的照片,照片中他的臉旁拿著一大疊錢。
幾個月來,調查人員一直看著索科洛夫斯基在哈爾科夫和烏克蘭首都基輔之間來回穿梭。 然後,在 3 月下旬,他出現在靠近德國邊境的波蘭。 一張索科洛夫斯基駕駛保時捷卡宴進入德國的照片被拍到,他的女朋友坐在副駕駛座上。
當時,60 歲以下的烏克蘭男子不得離開烏克蘭,因為他們被徵召去與俄羅斯侵略者作戰。 據克雷布斯報導,調查人員認為索科洛夫斯基可能通過賄賂離開了這個國家。
據克雷布斯報導,幾天后,在他的女友在 Instagram 上發布了他們在一起的照片後,當局得以在阿姆斯特丹對索科洛夫斯基進行歸零。
9 月,一家荷蘭法院批准了美國將索科洛夫斯基引渡到德克薩斯州接受指控的請願書,但他已對該裁決提出上訴。
觸及全球
檢察官說,雖然索科洛夫斯基在開發浣熊計劃中發揮了關鍵作用,但他有幾個同謀。 檢察官說,意大利和荷蘭當局協助調查。
檢察官說,在 FBI 恢復的數據中,有大約 5000 萬個唯一憑證,包括電子郵件地址、銀行賬戶登錄、加密貨幣地址和信用卡號碼。 他們說他們不相信他們已經找到了通過 Raccoon Infostealer 竊取的所有數據,並且正在繼續調查。
根據法庭文件,恢復的一些數據包括幾家美國公司的登錄信息和可以訪問武裝部隊系統的軍人的登錄信息。
