美国司法部指控"Scattered Spider"二人组勒索1.15亿美元
美国检察官上周对19岁英国公民Thalha Jubair提起刑事黑客指控,指控他是Scattered Spider核心成员,该多产网络犯罪组织被指控从受害者处勒索至少1.15亿美元赎金。这些指控提出时,Jubair和一名涉嫌同谋正在伦敦法庭面临入侵并勒索多家英国大型零售商、伦敦交通系统和美国医疗机构的指控。
在上周的法庭听证会上,英国检察官对Jubair和18岁的Owen Flowers提出一系列指控,指控这两名青少年参与了2024年8月导致大伦敦地区公共交通网络瘫痪的网络攻击。
早期活动(2021-2022年)
Jubair被指控是LAPSUS$网络犯罪集团的核心成员,该集团从2021年底开始入侵数十家科技公司,从微软、英伟达、Okta、Rockstar Games、三星、T-Mobile和优步等科技巨头窃取源代码和其他内部数据。
根据现已解散的LAPSUS$前领导人的说法,2022年4月,KrebsOnSecurity发布了从LAPSUS$使用的服务器获取的内部聊天记录,这些聊天记录表明Jubair使用Amtrak和Asyntax昵称与该组织合作。
EARTHTOSTAR
新泽西州检察官上周指控Jubair是Scattered Spider(也称为0ktapus和UNC3944)威胁组织的成员,他使用EarthtoStar、Brad、Austin和Austistic等昵称。
从2022年开始,EarthtoStar共同运营一个名为Star Chat的热门Telegram频道,这是一个多产的SIM卡交换组织的大本营,该组织不断使用基于语音和短信的网络钓鱼攻击窃取美国和英国主要无线运营商员工的凭证。
该组织然后利用这种访问权限出售SIM卡交换服务,可以将目标的电话号码重定向到攻击者控制的设备,允许他们拦截受害者的电话呼叫和短信(包括一次性代码)。Star Chat成员针对多家无线运营商进行SIM卡交换攻击,但主要专注于钓鱼T-Mobile员工。
2023年2月,KrebsOnSecurity审查了Star Chat上超过七个月的SIM卡交换招揽信息,这些信息几乎每天在公共频道上发布"Tmo up!“和"Tmo down!“通知,表明该组织声称可以主动访问T-Mobile网络的时段。
数据显示,Star Chat与另外两个同时运营的SIM卡交换组织在2022年最后七个月内共同入侵T-Mobile超过一百次。然而,Star Chat是这三个组织中最多的,负责至少70起事件。
对EarthtoStar在Star Chat上消息的审查显示,此人还出售"AT&T电子邮件重置"和AT&T呼叫转移服务,每条线路最高1200美元。
新泽西州检察官还指控Jubair参与了2022年夏季的大规模短信网络钓鱼活动,从数百家公司员工那里窃取单点登录凭证。这些短信要求用户点击链接并在模仿其雇主Okta认证页面的钓鱼页面登录,说收件人需要审查待处理的工作日程变更。
这些钓鱼网站使用Telegram即时消息机器人实时转发任何提交的凭证,允许攻击者使用被钓鱼的用户名、密码和一次性代码以该员工身份登录真实的雇主网站。
这次持续数周的短信网络钓鱼活动导致130多个组织遭到入侵和数据盗窃,包括LastPass、DoorDash、Mailchimp、Plex和Signal。
DA, COMRADE
EarthtoStar的Star Chat组织专门通过钓鱼方式进入业务流程外包(BPO)公司,这些公司为一系列跨国公司提供客户支持,包括许多世界最大的电信提供商。
大约在2022年夏季的同一时间,至少两个与Star Chat相关的账户——“RocketAce"和"Lopiu”——向俄语网络犯罪论坛Exploit的用户介绍了该组织的服务,包括:
- 针对Verizon和T-Mobile客户的SIM卡交换服务
- 针对Okta等单点登录提供商客户的动态钓鱼页面
- 恶意软件开发服务
- 扩展验证(EV)代码签名证书的销售
2022年11月15日,EarthtoStar在他们的Star Sanctuary Telegram频道发布消息,招聘至少有三年经验的恶意软件开发人员,能够开发rootkit、后门和恶意软件加载器。
2023年至今
据称Flowers和Jubair策划和执行勒索攻击的Telegram和Discord聊天频道是一个松散网络的一部分,称为Com,这是一个英语网络犯罪社区,主要由居住在美国、英国、加拿大和澳大利亚的个人组成。
这些Com聊天服务器中许多各有数百到数千名成员,这些社区中一些更有趣的招揽是现场任务和工作机会。
这些"暴力即服务"招揽通常涉及"砖击”,即有人被雇佣在指定地址扔砖头砸窗。其他雇佣的现场工作包括刺破轮胎、投掷燃烧瓶、驾车射击甚至入室盗窃。
2023年1月13日,EarthtoStar使用的Star Sanctuary账户招揽对一名现任纽约联邦检察官的入室盗窃。该帖子包括从司法部网站获取的检察官照片,以及消息:
“需要现场人员,入室劫持人质,不要胆小鬼,不要拿着瘦小手枪的100磅重的人”
在整个2022年底和2023年初,EarthtoStar的别名"Brad"经常宣传Star Chat的恶意软件开发服务,包括设计用于隐藏攻击者在受害机器上存在的定制恶意软件:
“我们可以开发内核恶意软件,将实现长期持久性,绕过防火墙并具有反向shell访问权限。这玩意儿对电脑来说就像第四期癌症!!!内核意味着机器上的最高权限级别。这可以从简单的shell到Bootkit。绕过所有主要EDR(SentinelOne、CrowdStrike等)。修补EDR的扫描功能,使其无用!一旦植入,极难移除(基本上甚至不可能找到)。拥有多年开发经验并在多个APT组织中。领先一步。价格从5000美元起。私信@brad_banned获取报价”
2023年9月,米高梅度假村和凯撒娱乐都遭受了名为ALPHV和BlackCat的俄罗斯勒索软件附属计划的勒索软件攻击。据报道,凯撒在该事件中支付了1500万美元赎金。
在米高梅公开承认2023年入侵后几小时内,Scattered Spider成员声称负责并告诉记者,他们通过社会工程第三方IT供应商入侵。在伦敦上周的听证会上,英国检察官告诉法庭,在Jubair处发现了超过5000万美元的不义之加密货币,包括与拉斯维加斯赌场黑客攻击相关的资金。
Star Chat频道最终于2025年3月9日被Telegram封禁。但美国检察官表示,Jubair和Scattered Spider同伙继续他们的黑客、钓鱼和勒索活动,直到2025年9月。
起诉细节
新泽西州的起诉书指控Jubair和其他Scattered Spider成员在2022年5月至2025年9月期间,在涉及47个美国实体的至少120起计算机网络入侵中犯有计算机欺诈、电信欺诈和洗钱罪。起诉书指控该组织的受害者支付了至少1.15亿美元的赎金。
美国当局表示,他们追踪到Scattered Spider的部分付款到了Jubair控制的互联网服务器。起诉书称,在该服务器上发现的加密货币钱包被用于购买多张礼品卡,其中一张在食品配送公司用于向他的公寓送餐。从同一服务器用加密货币购买的另一张礼品卡据称用于以Jubair名义资助在线游戏账户。美国检察官表示,当他们扣押该服务器时,还扣押了3600万美元的加密货币。
起诉书还指控Jubair参与了2025年1月针对美国法院系统的黑客事件,该事件针对监督相关Scattered Spider调查的美国地方法官。
法律挑战
Allison Nixon是纽约安全公司Unit 221B的首席研究官,也是世界上领先的基于Com的网络犯罪活动专家之一。Nixon表示,从法律上起诉来自Com的知名网络罪犯的核心问题传统上是,顶级犯罪者往往未满18岁,因此很难根据联邦黑客法规起诉。
在美国,检察官通常等到未成年网络犯罪嫌疑人成年后再起诉他们。但她说,在那一天到来之前,Com行为者常常觉得有胆量继续实施——并且经常吹嘘——严重的网络犯罪罪行。
“我们这里有一类特殊的Com犯罪者,实际上享有法律豁免权,“Nixon告诉KrebsOnSecurity。“大多数人在年龄较大时被招募到Com组织,但在那些非常年轻时加入的人中,比如12或13岁,他们似乎是最危险的,因为在这个年龄他们没有现实基础,在退出法律豁免权之前有很长的寿命。”
Nixon表示,英国当局在短暂拘留和搜查未成年Com嫌疑人住宅时面临同样的挑战:即青少年嫌疑人只要被释放,就会立即回到Com中各自的小团体,并开始抢劫和伤害人们。
事实上,英国法庭上周听取了检察官的陈述,两名Scattered Spider嫌疑人多次被当地执法部门拘留和/或搜查,但每次释放后不到24小时就返回Com。
《泰晤士报》报道,Flowers面临《计算机滥用法》下的三项指控:两项是共谋实施与计算机相关的未经授权行为,导致/造成对人类福利/国家安全的严重损害风险,一项是试图实施相同行为。这些罪行的最高刑期可从14年到终身监禁,取决于犯罪的影响。
Jubair据称在英国面临两项指控:一项是共谋实施与计算机相关的未经授权行为,导致/造成对人类福利/国家安全的严重损害风险,一项是未能遵守第49条通知披露受保护信息的密钥。
在美国,Jubair被指控犯有计算机欺诈共谋、两项计算机欺诈罪、电信欺诈共谋、两项电信欺诈罪和洗钱共谋。如果被引渡到美国,审判并定罪所有指控,他面临最高95年监禁。
2025年7月,英国禁止黑客受害者向网络犯罪集团支付赎金,除非得到官员批准。据报道,被视为关键基础设施部分的英国组织将面临完全禁令,整个公共部门也将如此。英国的黑客受害者现在需要通知官员,以便更好地告知政策制定者英国勒索软件问题的规模。