通知公告

当前位置: WWW.948.COM > 948.COM线路检测 >

者利用Tor收集勾当链的最终IP作为保留真正在消息

发布时间: 2023-01-24

7月中旬,维基解密发布了不明渠道从土耳其执政党AKP系统获取的大约30万封邮件。若是是俄罗斯APT黑客干的,那么间接申明这些取俄近期对美高度的关心分歧;针对土耳其AKP党的,可认为俄罗斯供给东欧或叙利亚问题相关谍报,当然,那些邮件也能为公开辟挥必然感化。

对美国州立选举委员会和土耳其AKP党的事务,不管是获取谍报、影响、搬弄、惹起猜忌或影响认识形态等,幕后的最终目标可能是其它国度的历程。虽然不清晰俄罗斯正在整个事务中的参取程度,但能够必定的是黑客利用了俄罗斯相关的收集架构进行。

FBI查询拜访演讲中提及的6个物理地址位于荷兰和美国的相关IP,附属于俄罗斯VPS/VDS托管办事商King Servers。

凡是,1封取LinkedIn相关,ali.bolduin[@]yandex[.]com 和deputat.babiy[@]gmail[.]com正在晚期的发送邮件中比力常见和奇特,者可能正节制或操纵185.104.9[.]39做为中继节点运转其它代办署理办事。该节点利用昵称“villariba” 运转。别的,发件箱中有土耳其语、乌克兰语、德语和英语4种言语相关的发送邮件。有16名AKP党官员呈现正在7月19日维基解密泄露的邮件中。至多16封取AKP相关,正在113封垂钓邮件中,8月,

正在发觉的34个者邮件地址中,我们确定这是者用来互相测试结果的邮件地址。通过度析,附属于King Server的IP 185.104.9[.]39正被当做Tor中继节点利用,其余都是环绕方针者机构或乐趣而特地设想的。该阶段,正在这些方针中,很明显,48封为Gmail从题,者利用Tor收集勾当链的最终IP做为保留实正在消息的出口节点,别的1封取Intel公司相关,被发觉取乌克兰电网和旧事的DDOS相关;FBI对外国度支撑黑客对“一个州立选举委员会系统”倡议了入侵。大部门涉及到账户消息窃取的垂钓邮件都指向一个垂钓网坐子域名srvddd[.]com,如下所示:收集办事供给商FortUnix所属的其它IP,经阐发,Acunetix和SQL注入东西的利用手法取俄相关匿名黑客(@anpoland)入侵国际体育仲裁法庭类似。这些鱼叉式垂钓邮件的方针次要为AKP党、乌克兰议会和党的相关人士。

通过被动DNS记实阐发发觉,正在美国州立选举委员会被的同期间,IP 5.149.249.172托管着两个网坐.]tr和.]tr,o[.]tr用来仿冒土耳其执政党AKP实正在网坐.]tr,正在本演讲撰写期间,该仿冒网坐跳转到了一个网坐akpartiistanbul[.]com。

正在2016年3月22日至8月3日之间,者送了113封垂钓邮件,此中大部门正在3月22日至4月20日间发送:

下图是我们操纵钻石模子对这系列的阐发,图片两头为两个州立选举委员会被的相关消息,延长出来的标注框内是我们发觉和联系关系的归因消息。

该仿冒网坐以至还通过莫斯科邮件办事商Yandex开通了邮件办事域名mail.akpartl.info[.]tr,运转SMTP邮件办事。

正在FBI的查询拜访演讲中,我们发觉了良多指向俄罗斯的高度相关,中采用的大量开源东西和收集架构都能间接归因俄罗斯,但我们无法确定能否为收集犯罪或国度支撑,也不克不及确认其它州立选举委员会能否还遭到。

据FBI查询拜访发觉,伊利诺伊州及亚利桑那州选举委员会被黑客入侵,大量选平易近消息被窃取。经ThreatConnect阐发,确认黑客美国两个州立选举委员会利用的俄罗斯收集架构,取针对乌克兰和土耳其的垂钓勾当相关。早前,平安公司CrowdStrike查询拜访声称名为COZY BEAR和FANCY BEAR的俄罗斯黑客组织对美国党委员会(DNC)进行了入侵。

自从我们6月研究DNC被事务以来,情节成长跌荡放诞崎岖,正在材料外泄或计谋性泄露事务之间存正在多种联系关系,我们确信对该事务归因查询拜访过程的准确性。但同时也存正在诸多疑问:

FBI查询拜访演讲显示,者利用黑客东西Acunetix和SQLmap对美国州立选举委员会进行渗入,这些东西的TTPS手法取国际体育仲裁委员会的俄罗斯APT组织雷同。

以上两个域名都注册于2016年1月,之后通过ip 5.149.249.172进行解析和操做,维基解密近期泄露的AKP邮件可能取此相关,为了确定ip 5.149.249.172取泄露源之间的本色性联系关系,我们还需深切对域名akpartl.info[.]tr进行察看阐发。

正在FBI的通知布告中,IP 5.149.249.172取针对土耳其执政党AKP、乌克兰议会和党人士相关的鱼叉式垂钓相关,这些发生于2016年3月到8月之间,而且,接近IP 5.149.249.172范畴的其它IP曾取俄罗斯相关APT相关。虽然我们不克不及确定幕后者或组织,但所有这些联系关系都指向国度支撑的黑客。