Lỗi opsec dẫn đến nhà phát triển đístributor của phần mềm đánh cắp mật khẩu Redline
Viện sư phạm Mỹ đã buộc tội công dân Nga Maxim Rudometov về việc liên quan tới việc phát triển và phân phối phần mềm đánh cắp mật khẩu nổi tiếng Redline.
Các tội ác đã được công bố như là một phần của “Operation Magnus”, được tiết lộ đầu tiên bởi Cảnh sát Quốc gia Hà Lan vào thứ Hai. Hoạt động kéo dài nhiều năm này đã giúp các cơ quan thực thi phá hủy cơ sở hạ tầng của Redline và Meta, hai dòng phần mềm độc hại mà đã được sử dụng để đánh cắp thông tin nhạy cảm của hàng triệu người.
Một bản cáo cáo được công khai vào thứ Ba tiết lộ rằng một loạt lỗi về an ninh hoạt động – hay “opsec” – đã dẫn đến các cơ quan thực thi xác định Rudometov. Theo cáo trạng, Rudometov đã sử dụng một tài khoản email Yandex được cảnh sát biết đến để đăng ký tài khoản trên các diễn đàn hack bằng tiếng Nga, nơi ông đã sử dụng một số biệt danh được tái sử dụng trên các nền tảng khác bao gồm Skype và iCloud.
Các cơ quan thực thi Mỹ cho biết họ đã có thể thu thập các tập tin từ tài khoản iCloud của Rudometov, bao gồm “rất nhiều tập tin được xác định bởi các động cơ chống virus là mã độc hại, bao gồm ít nhất một tập tin…được xác định là Redline”.
Cùng tài khoản email Yandex, Rudometov cũng đã sử dụng để tạo hồ sơ công khai trên dịch vụ mạng xã hội VK của Nga, theo cáo cáo.
Cảnh sát phát hiện rằng Rudometov “giống một cách rõ ràng” với một cá nhân xuất hiện trong một quảng cáo được tìm thấy trong một bài đăng trước đây về Redline.
Rudemetov cũng được cho là đã sử dụng một trong các biệt danh hack của mình – “ghacking” – trên trang web hẹn hò VK, theo cáo trạng.
Sau khi nhận được một gợi ý từ một công ty bảo mật không tên vào tháng 8 năm 2021, cơ quan thẩm quyền Mỹ đã có được lệnh tìm kiếm để phân tích dữ liệu được tìm thấy trong một trong các máy chủ được sử dụng bởi Redline, cung cấp thông tin bổ sung – bao gồm địa chỉ IP và một địa chỉ Binance được đăng ký dưới tài khoản Yandex cùng – liên kết Rudometov với việc phát triển và triển khai của phần mềm đánh cắp thông tin nổi tiếng.
“Nghệ sĩ Redometov thường xuyên truy cập và quản lý cơ sở hạ tầng của đístribuster thông tin đánh cắp, liên kết với các tài khoản tiền điện tử khác nhau được sử dụng để nhận và rửa tiền, và sở hữu mã độc hại Redline”, DOJ cho biết vào thứ Ba.
Vụ việc tiết lộ rằng Redline đã được sử dụng để xâm nhập vào hàng triệu máy tính trên toàn thế giới từ tháng 2 năm 2020, bao gồm “vài trăm” máy tính được sử dụng bởi Bộ Quốc phòng Hoa Kỳ.
Chưa biết liệu Rudometov đã bị bắt giữ chưa. Nếu bị kết án, ông sẽ phải đối mặt với tù chung thân khoảng 35 năm.
Europol và cảnh sát Hà Lan cũng tiết lộ thêm thông tin về Operation Magnus vào thứ Ba, tiết lộ rằng ba máy chủ đã bị tắt ở Hà Lan và hai domain được sử dụng cho các hoạt động điều khiển bởi Redline và Meta đã bị tịch thu.
Các cơ quan thực thi cũng đã đóng nhiều tài khoản Telegram liên quan đến phần mềm độc hại, khiến việc “bán stealers” bị ngưng. Và hai cá nhân khác – bao gồm một khách hàng của phần mềm độc hại – đã bị bắt giữ tại Bỉ.
#RedlineMalware #OperationMagnus #MaximRudometov #OpsecFailures #Cybersecurity #HackerArrested #MalwareDistributor #DataBreach #Infostealer #DOJProsecution
U.S. prosecutors have charged Russian national Maxim Rudometov over his alleged involvement in developing and distributing the notorious Redline password-stealing malware.
The charges were announced as part of “Operation Magnus,” first unveiled by the Dutch National Police on Monday. This years-in-the-making operation saw international law enforcement agencies dismantle the infrastructure of Redline and Meta, two prolific malware strains that have been used to steal sensitive information from millions of people.
A complaint unsealed on Tuesday revealed how a series of operational security — or “opsec” — errors led to the authorities identifying Rudometov. According to the indictment, Rudometov used a Yandex email account known to law enforcement to register accounts on Russian-language hacking forums, where he used a handful of monikers that were re-used across other platforms including Skype and iCloud.
U.S. authorities say they were able to retrieve files from Rudometov’s iCloud account, including “numerous files that were identified by antivirus engines as malware, including at least one that was… determined to be Redline.”
The same Yandex email address was also used by Rudometov to create a publicly viewable profile on the Russian social networking service VK, according to the complaint. Law enforcement found that Rudometov “bore a close resemblance” to an individual depicted in an advertisement found in an earlier blog post about Redline. The advertisement promoted the individual’s skills in “writing botnets and stealers”.
Rudemetov allegedly also used one of his hacking monikers — “ghacking” — on VK’s dating website, according to the complaint.
After receiving a tip from an unnamed security firm in August 2021, U.S. authorities obtained a search warrant to analyze the data found in one of the servers used by Redline, which provided additional information — including IP addresses and a Binance address registered to the same Yandex account — linking Rudometov to the development and deployment of the notorious infostealer.
“Rudometov regularly accessed and managed the infrastructure of Redline infostealer, was associated with various cryptocurrency accounts used to receive and launder payments, and was in possession of Redline malware,” the DOJ said on Tuesday. The complaint revealed that Redline had been used to infect millions of computers around the world since February 2020, including “several hundred” machines used by the U.S. Department of Defense.
It’s not yet known if Rudometov has been arrested. If convicted, he faces up to 35 years in prison.
Europol and the Dutch police also revealed further information about Operation Magnus on Tuesday, revealing that three servers were taken offline in the Netherlands and two domains used for command and control operations by Redline and Meta were seized.
Authorities also took down multiple Telegram accounts associated with the malware, which has “caused the sale of the stealers… to be halted”, and two additional individuals — including a customer of the malware — were arrested in Belgium.
