在暗網上發現出售個人身份信息(PII)、登錄憑證、財務信息和醫療記錄等敏感數據並不罕見。然而,犯罪黑客竊取並試圖在公開市場上出售軍事文件的情況極為罕見。
張貼在暗網上的原始廣告
在首次廣告發布後的幾周內,Insikt Group分析人員與黑客建立並維持直接聯繫,了解到黑客利用Netgear路由器中之前披露的FTP漏洞來獲取訪問權限。利用Shodan流行的搜尋引擎,攻擊者們掃描大部分網際網路,尋找使用標準埠21的配置錯誤的路由器,從受感染的機器上劫持所有有價值的文件。
利用上述方法,黑客首先滲透到位於內華達州克裡奇空軍基地的432d飛機維修中隊AMU OIC的機長計算機上,並偷走了敏感文件的緩存,包括收割者維護課程書籍和分配了Reaper AMU的飛行員名單。雖然這些課程本身並不屬於機密軍事材料,但是如果在對手手中,它們可以為對手提供評估這一最先進飛機的技術能力和弱點的能力。
遭到入侵的機長最近完成了Cyber Awareness Challenge,應該已經了解了防止未經授權訪問所需採取的行動。在這種情況下,請設置FTP密碼。
Cyber Awareness Challenge完成證書
在為收割者無人機文件做廣告後,攻擊者又將另一套軍用文件出售。不幸的是,這次來源並未透露給Recorded Future。然而,從內容來看,它們似乎是從五角大樓或美國陸軍官員那裡偷來的。十多種各種培訓手冊描述了簡易爆炸裝置失敗戰術,M1 ABRAMS坦克操作手冊,船員訓練和生存手冊以及坦克排戰術。與之前的文件一樣,沒有一個機密材料,大多數文件只能分發給美國政府機構及其承包商。
IED手冊中描述的車隊風險緩解程序
在Insikt Group分析人員與攻擊者聯繫期間,攻擊者聲稱在沒有找到下一個受害者的期間,他會通過觀看來自邊境監控攝像機和飛機的敏感現場鏡頭來娛樂自己。這位攻擊者甚至吹噓要從墨西哥灣Choctawhatchee灣上空飛行的MQ-1「捕食者」中獲取鏡頭。
黑客展示的飛機視頻片段的屏幕截圖