Redline & Meta operations

[bio]

ну уровень зеленки и виден)
что ты там навыделял? Фраза unsealed charges в пресс-релизе о чем-нибудь тебе говорит?
Обвинения выдвинуты 03.11.2022, обнародованы публично в связи с операцией в октябре 2024г.

In conjunction with the disruption effort, the Justice Department unsealed charges against Maxim Rudometov, one of the developers and administrators of RedLine Infostealer.

Думали, что догадается в какую-нибудь подконтрольную юрисдикцию слетать отдохнуть либо выдвинуться на ПМЖ, как енот, за эти 2 года. Но Макс умнее, а вот ты бы, я думаю, точно поехал бы на его месте, лол)

 

[bratva]

что изменилось за эти 2 года?

То, что клиенты все слиты (как минимум) с серверов и по ним идет расследование. И что (как минимум) два человека уже арестованы в Бельгии (непонятно местные или "путешественники").

Но ты можешь дальше давать свои комментарии по ситуации, только, плиз, на Зелёнке.

 

[kosok11]

С таким опсеком я честно не понимаю, чего вы делаете в этом бизнесе

Подключаться к главному серваку и логиниться в свой айклауд с одним айпишником - это походу диагноз админов "топ MaaS стилаков". У Енота же 1в1 ситуция была.

Это получается Apple все подряд сливает?

Нет, это получается что они сами себя сливают, а эпл просто обрабатывает запросы службистов

 

[dunkel]

Подключаться к главному серваку и логиниться в свой айклауд с одним айпишником - это походу диагноз админов "топ MaaS стилаков". У Енота же 1в1 ситуция была.

Нет, это получается что они сами себя сливают, а эпл просто обрабатывает запросы службистов

На самом деле с впном очень легко обосраться, бывает отваливается и утекает айпи магическим образом даже при включенном килл свич /threads/119958/ . Так что надо делать просто тор зеркала для своей безопасности и клиентов

 

[bratva]

посмотрим что ты потом скажешь, когда пройдёт время)

Да пиздец, бро. Конечно переобуюсь в воздухе и скажу, что это все был пиар. Докс ненастоящий, все .гав домены были взломаны, все это хитрый план автора стилера Редлайна. Он решил публично обосраться, потому что он так пиарится. Все так.

У вас там уже были два хостера, которых выебал СпамХаус с ментами и в хвост, и в гриву, а они тоже вам лечили о пиаре.

 

[Shaurmist25]

линейдж ос

Graphene OS попробуй

 

[kosok11]

На самом деле с впном очень легко обосраться, бывает отваливается и утекает айпи магическим образом даже при включенном килл свич /threads/119958/ . Так что надо делать просто тор зеркала для своей безопасности и клиентов

Даже если руки на столько кривые, что есть вероятность десяток раз за год "случайно" спалить свой ip при падениях ВПНов - можно, как минимум, пользоваться разными "входными" интернетами для работы и для "личной жизни". Хочешь два разных провайдера, хочешь интернет с симки для работы, а провод в роутере для всего остального, мы уже не в 2010 и уровень сложности такой настройки: "справится даже ребенок 5 лет, либо имбецил". Как минимум прямого совпадения ip уже никак не случится.

 

[celty]

Да пиздец, бро. Конечно переобуюсь в воздухе и скажу, что это все был пиар. Докс ненастоящий, все .гав домены были взломаны, все это хитрый план автора стилера Редлайна. Он решил публично обосраться, потому что он так пиарится. Все так.

У вас там уже были два хостера, которых выебал СпамХаус с ментами и в хвост, и в гриву, а они тоже вам лечили о пиаре.

Я больше не понимаю, любой хостинг могут прикрыть, просто нужно разработать схему при которой не смогут во первых данные просто так расшифровать если и получили доступ, второе придумать план удобного развертывания и постоянного перемещения без потери клиентов.
Я даже не знаю как можно придумать устойчивый безотказный сервис. Если бы у них хотя бы веракриптом было шифровано на сервере, данные не были бы слиты, но кому это нужно? Никого не ебет чьи данные слили, ибо он даже о своих не позаботился, че там о клиентах то?

 

[celty]

Graphene OS попробуй

Спасибо не хочу, слишком уже подозрительная, обычно где претендуют на саммую анонимную ОС, там людей и ловят, просто специальная коробка. Я выбрал что-то средненькое

 

[bratva]

Я больше не понимаю, любой хостинг могут прикрыть, просто нужно разработать схему при которой не смогут во первых данные просто так расшифровать если и получили доступ, второе придумать план удобного развертывания и постоянного перемещения без потери клиентов.
Я даже не знаю как можно придумать устойчивый безотказный сервис. Если бы у них хотя бы веракриптом было шифровано на сервере, данные не были бы слиты, но кому это нужно? Никого не ебет чьи данные слили, ибо он даже о своих не позаботился, че там о клиентах то?

Смотри, сама модель - MaaS - она обречена на провал (рано или поздно любой сервис въебут - извне или изнутри), но рынок пришел к этому, потому что "эффективные менеджеры", а также их клиенты - выдавили из темы олдскул кодеров (либо олдскул кодеры сами решили не предоставлять больше никаких сервисов). Дальше у тебя вилка: либо ты начинаешь чего-то требовать от сервиса, и он к тебе прислушивается, но основа ваших взаимоотношений - это все равно доверие, либо ты идешь и начинаешь скучную разработку своих собственных стилеров (на это нужны деньги и время, умноженные на коэффицент, который умножен на число пи и который зависит от твоего опыта).

Кажется, что все очень грустно, но на самом деле нет. Все равно все твои схемы начинаются с твоего обственного ОпСека и с твоей оценки ОпСека твоих потенциальных партнеров. Я бы честно к Рудометову за 100 километров никогда не подошел Человек, который ебашит с домашних айпи и который в личном блоге предлагал писать стилеры на заказ - это клиент трехбуквенных структур. А значит он будет сливать своих клиентов или еще как-то взаимодействовать с структурами, отсвечивая тем самым тебя и твой бизнес.

 

[xChimera]

ну уровень зеленки и виден)
что ты там навыделял? Фраза unsealed charges в пресс-релизе о чем-нибудь тебе говорит?
Обвинения выдвинуты 03.11.2022, обнародованы публично в связи с операцией в октябре 2024г.

Думали, что догадается в какую-нибудь подконтрольную юрисдикцию слетать отдохнуть либо выдвинуться на ПМЖ, как енот, за эти 2 года. Но Макс умнее, а вот ты бы, я думаю, точно поехал бы на его месте, лол)

Макс видимо решил забить х#й на все, со словами: "похуй, я в России живу", и не стал заботиться ни о себе, ни о клиентах

Смотри, сама модель - MaaS - она обречена на провал (рано или поздно любой сервис въебут - извне или изнутри), но рынок пришел к этому, потому что "эффективные менеджеры", а также их клиенты - выдавили из темы олдскул кодеров (либо олдскул кодеры сами решили не предоставлять больше никаких сервисов). Дальше у тебя вилка: либо ты начинаешь чего-то требовать от сервиса, и он к тебе прислушивается, но основа ваших взаимоотношений - это все равно доверие, либо ты идешь и начинаешь скучную разработку своих собственных стилеров (на это нужны деньги и время, умноженные на коэффицент, который умножен на число пи и который зависит от твоего опыта).

Кажется, что все очень грустно, но на самом деле нет. Все равно все твои схемы начинаются с твоего обственного ОпСека и с твоей оценки ОпСека твоих потенциальных партнеров. Я бы честно к Рудометову за 100 километров никогда не подошел Человек, который ебашит с домашних айпи и который в личном блоге предлагал писать стилеры на заказ - это клиент трехбуквенных структур. А значит он будет сливать своих клиентов или еще как-то взаимодействовать с структурами, отсвечивая тем самым тебя и твой бизнес.

Я когда посмотрел схему, то ахуел не выхуел

Бинанс, яндекс, скайп, айклауд

Еще и со своего айпи

Это пиздец полный

 

[Fooll Zero]

посмотрим что ты потом скажешь, когда пройдёт время)

А что он может тебе сказать? Тебе и Братва и Био сказали на понятном языке. Если ты не може переварить инфу то уровень твоего мышления как раз лолки. Как по мне, то здесь все понятно.

 

[BULLYMAN]

Вряд ли, он же украинец. Точно такая же ситуация с «Раккуном» была, там тоже разраб или кто там с Украины свалил, и его встретили в ЕС с объятиями.

Ну ракуну не повезло с бабой и войной, он же по поддельным докам бежал от мобилизации

 

[Xezis]

На самом деле с впном очень легко обосраться, бывает отваливается и утекает айпи магическим образом даже при включенном килл свич /threads/119958/ . Так что надо делать просто тор зеркала для своей безопасности и клиентов

Интернет стоит 10$ в месяц. Почему бы не использовать для рабочей машины просто отдельный вифи? Ну вот чисто для работы. Ни вешать на него никакие устройства?

 

[manikarmane]

с бабой и войной,

Танку тоже

 

[hvb]

Интернет стоит 10$ в месяц. Почему бы не использовать для рабочей машины просто отдельный вифи? Ну вот чисто для работы. Ни вешать на него никакие устройства?

Потому что все задним умом крепки.
А еще можно, да, купить 4G модем, и раньше на самом деле это была вообще база опсека. А еще можно купить на Алике wi-fi адаптер, который работает в нужном режиме, и логиниться с соседских роутеров. Много чего можно. Проблема в том, что обычно бывает так, что обсираешься в самом начале, например, когда ты не собираешься в целом идти в блэк, а так, заходить на форум чисто посмотреть и используешь там свою почту или свой ник, а потом этот след тянется за тобой, или начинаешь работать с домашнего ip, идут годы, и у тебя вроде бы все нормально, и ты не заморачиваешься.

посмотрим что ты потом скажешь, когда пройдёт время)

Похоже, что детям с лолза очень тяжело поверить и осознать, что их накрыли американские спецслужбы, а там, думаю, далеко не только создатель редлайна с домашних ip логинился, но вот ты серьезно до сих пор отрицаешь случившееся?)

 

[Parabellum_Clan]

Inside the Massive Crime Industry That’s Hacking Billion-Dollar Companies

When you download a piece of pirated software, you might also be getting a piece of infostealer malware, and entering a highly complex hacking ecosystem that’s fueling some of the biggest breaches on the planet.

www.wired.com

Огромная статья про это событие

 

[prostoman]

Inside the Massive Crime Industry That’s Hacking Billion-Dollar Companies

When you download a piece of pirated software, you might also be getting a piece of infostealer malware, and entering a highly complex hacking ecosystem that’s fueling some of the biggest breaches on the planet.

www.wired.com

Огромная статья про это событие

Ждем разбор от братвы

 

[bratva]

Ждем разбор от братвы

Там нечего разбирать - общие слова про ситуацию со стилерами. Очевидное-невероятное, что надо же - в логах встречаются доступы, которые надо же - используют для атак на сетки.

 

[m00r]

Загрузили обвинительный акт на Рудометова: https://www.justice[.]gov/usao-wdtx/media/1375146/dl?inline

Главное (на мой взгляд):

1. "Для того чтобы заставить жертв загрузить RedLine, использовались различные уловки, в том числе связанные с COVID-19."

"Одним из ранних примеров в марте 2020 года — незадолго до начала пандемии COVID-19 — было использование по крайней мере одним аффилэйтом проекта Folding@Home для того, чтобы заманить ничего не подозревающих людей к загрузке и запуску версии RedLine Infostealer. Этот пример был особенно примечателен, поскольку пользователи, которые, вероятно, намеревались пожертвовать вычислительные ресурсы на борьбу с COVID-19, но вместо этого были инфицированы RedLine."

Допускаю, что с этого началось расследование. Вероятно тем, кто работал по ковид-скамам с редлайном стоит напрячь память и позаметать следы.

2. "С момента своего появления в феврале 2020 года RedLine заразил миллионы компьютеров по всему миру. Несколько сотен компьютеров-жертв использовались сотрудниками Министерства обороны США."

"Проведя судебную экспертизу вредоносного ПО в Центре по борьбе с киберпреступностью Министерства обороны, правоохранительные органы установили, что RedLine использовалась для попытки кражи информации у компании A через учетную запись взломанного сотрудника. Компания A является членом американской оборонно-промышленной базы и подрядчиком армии и флота США."

Предполагаю, что это второй эпизод, который тщательно расследовался. Довольно смешно было работать редлайном по оборонке, но бог вам судья Собственно, это объясняет, что делал NCIS (морская полиция, лол) в этом расследовании.

3. "Один из таких примеров, размещенный на форуме, который рекламирует себя как «Best hack forum», на момент подачи этого заявления был просмотрен примерно 115 000 раз."

"Комментарии в ветке «Best Hack Forum» включали сотни явно довольных клиентов, многие из которых прокомментировали пост, чтобы поделиться своими успехами с RedLine. Например, примерно 20 февраля 2022г, партнер «Ch3l0v3k» разместил скриншот страницы статистики, очевидно, из собственной утилиты настройки RedLine. На скриншоте была показана следующая статистика, описывающая файлы и информацию, украденные с помощью RedLine, установленной «Ch3l0v3k»"

Здесь и далее много упоминается BHF, не бросаю никаких намеков, но думаю, что этому есть какое-то объяснение (например, что были сняты логи со стороны форума).

4. "Находясь в Остине, штат Техас, следователи приобрели RedLine и провели анализ вредоносной программы в контролируемой среде. В ходе этого анализа следователи заметили, что RedLine можно настроить на определенные учетные записи, например, связанные с финансовыми услугами, и зашифровать таким образом, что многие антивирусные программы не смогут обнаружить вредоносную программу. В конфигурации по умолчанию RedLine не мог работать на компьютерах с языковыми настройками, указывающими на использование в Содружестве Независимых Государств («СНГ») - области, которая приблизительно описывает территорию бывшего Советского Союза. Это обычная особенность вредоносных программ, созданных в России и русскоязычных странах, и она призвана помешать российским правоохранительным органам вмешиваться в деятельность киберпреступников, нацеленных на жертв в странах, не входящих в СНГ."

Очень смешной абзац, показывает уровень расследователей и расследований. Также показывает то, что они купили Редлайн, а не Мету
Теоретически, можно попробовать вычислить, кто купил лицензию для ФБР по этому скриншоту:
Посмотреть вложение 97767
Но если там на полном серьезе саппорт утверждает, что "все - фейк", то с таким уровнем х#й чего они вычислят.

5. Теперь внимание - самое интересное, а как сдеанонили шахматиста?

Посмотреть вложение 97768

"Изучив открытые источники, правоохранительные органы обнаружили запись в блоге, написанную человеком под псевдонимом, в которой утверждалось, что RedLine была создана двумя лицами, с псевдонимами «Dendimirror» и «Alinchok» соответственно. Частная инфосек компания установила, что этот псевдоним использовался человеком, который стоял за другой схемой вредоносного ПО, известной американским правоохранительным органам."

"Запись в блоге была помещена в архив Internet Archive 11 марта 2020 года или около того. Запись в блоге содержала приблизительный анализ вредоносного ПО для очевидной версии RedLine. Исходя из того, что я изучил эту запись и различные русские хакерские форумы, я считаю, что она была широко распространена. Один из предполагаемых создателей RedLine, «Alinchok», даже прокомментировал запись в блоге. Хотя одного оригинального сообщения недостаточно, чтобы связать RedLine с псевдонимами «Dendimirror» и «Alinchok», последующее расследование, описанное ниже, подтвердило первоначальные утверждения псевдонимного автора."

"Следователи выявили сообщения, сделанные в 2017 году на различных русскоязычных хакерских форумах и других общедоступных сайтах, в которых использовался ник «Dendimirror» в связи с другой вредоносной программой-стилером под названием «MysteryStealer». В период, когда использовался псевдоним Dendimirror, американская частная инфосек компания обнаружила адрес электронной почты, содержащийся в утечке базы данных, используемой на неназванном русскоязычном хакерском форуме, который был использован для регистрации учетной записи, использующей никнейм Dendimirror. Этот адрес электронной почты, известный правоохранительным органам, обслуживался российской коммуникационной компанией «Яндекс» («Адрес электронной почты „Яндекс“»), и последующие следственные действия, описанные ниже, связали адрес электронной почты «Яндекс» с учетными записями, которые использовали псевдонимы, связанные с Dendimirror. К ним относятся «GHackiHG» и «bloodzz.fenix» (подробно рассматриваются ниже), а также сервисы, используемые РУДОМЕТОВЫМ для личных целей, такие как Google и Apple."

"Было обнаружено, что адрес электронной почты Яндекса использовался на русскоязычном хакерском форуме «YouHack» еще в 2015 году человеком под ником «GHackiHG» для продажи «счетов PayPal с балансом и без», согласно автоматическому переводу названия темы. Связь между никнеймами GHackiHG и Dendimirror была подтверждена информацией, которой поделились на нескольких хакерских форумах пользователи, носящие оба никнейма, в том числе несколько человек, указавших в своих контактных данных: имя пользователя Skype, известное правоохранительным органам, адрес электронной почты Yandex и профиль VK, принадлежащий человеку по имени «Максим Рудомётов (Максим Рудометов)». VK - это российская социальная сеть и сервис социальных сетей. Правоохранительные органы изучили общедоступный профиль VK и обнаружили, что человек, изображенный на фотографиях, размещенных аккаунтом, имеет близкое сходство с человеком, изображенным на рекламе, содержащейся в записи блога от 11 марта 2020 года. В рекламе говорилось о том, что этот человек умеет программировать на языке программирования C# и «писать ботнеты и стилеры».”

С таким опсеком я честно не понимаю, чего вы делаете в этом бизнесе

6. Так, чтобы показать еще раз какой пиздец у некоторых людей с организацией работы:
"a. Примерно в 21:21 16 мая 2021 года (часовой пояс неизвестен) пользователь «Heijs», использующий IP-адрес, заканчивающийся на -.180, запросило сборку RedLine с сервера лицензирования. Примерно девять минут спустя тот же IP-адрес был зарегистрирован компанией Apple в использовании учетной записью iCloud, приписываемой Рудометову, которая описана выше. Приблизительная корреляция использования IP-адресов между другими онлайн-учетными записями под контролем РУДОМЕТОВА и Сервер лицензий выявил другие имена пользователей на Сервере лицензий, очевидно, контролируемые РУДОМЕТОВЫМ, включая «Admin12» и «testpanel».

b. Человек, использующий IP-адрес, заканчивающийся на -.96, вошел на Сервер лицензий с помощью компьютерной команды «sign on» 25 раз 12 июля 2021 года, начиная с 00:35:00 и заканчивая примерно в 02:39. Один и тот же IP-адрес использовался примерно 701 раз для доступа или взаимодействия с учетной записью iCloud, приписываемой Рудометову, в течение июля 2021 года

c. Лицо, использующее IP-адрес, оканчивающийся на -.14, подписало вредоносный файл с помощью Сервера лицензирования 2 мая 2021 года.18 Примерно за час до этого тот же IP-адрес использовался для игры в мобильную игру при входе в учетную запись Apple iCloud, принадлежащую Рудометову. Согласно информации о регистрации и местоположении, опубликованной регистратором IP-адреса, ООО «Юг-Линк», IP-адрес был закреплен за интернет-провайдером в городе Краснодар, Россия. Несколько фотографий в аккаунте iCloud РУДОМЕТОВА содержали метаданные, указывающие на то, что они были сделаны в Краснодаре, Россия, всего через четыре дня после -.14 IP-адрес использовался для взаимодействия с аккаунтом iCloud РУДОМЕТОВА и Сервером лицензирования.

d. Следователи также обнаружили аккаунт криптовалютной биржи Binance под номером -8286, зарегистрированный на тот же адрес электронной почты Yandex. Для входа в эту учетную запись или доступа к ней, а также к серверу лицензирования и/или учетной записи RUDOMETOV в iCloud использовались общие IP-адреса. Например, 11 января 2022 года в 21:19:28 UTC для доступа к учетной записи RUDOMETOV в iCloud использовался IP-адрес, заканчивающийся на -.246. Примерно через четыре минуты тот же IP-адрес был использован для взаимодействия со счетом Binance, заканчивающимся на - 8286.

e. В общей сложности 33 случая повторного использования IP-адреса, определяемого как использование одного и того же IP-адреса для доступа или иного взаимодействия с двумя сервисами в течение 48 часов, были отмечены между Сервером лицензирования, учетной записью iCloud РУДОМЕТОВА и/или счетом - 8286 Binance."

И это еще не все!

Посмотреть вложение 97769

"a. Ники GHackiHG и Dendimirror были связаны с общей учетной записью Skype, которую следователи заметили в открытом доступе на различных хакерских форумах. РУДОМЕТОВ взаимодействовал со своей учетной записью iCloud с того же IP-адреса, который использовался пользователем учетной записи Skype. Например, 14 октября 2019 года примерно в 12:52:56 лицо, использующее IP-адрес с кодом -.76, зашло в учетную запись Skype, а затем, примерно через два часа а затем, примерно через два часа, с того же IP-адреса зашел в Apple AppStore с Apple iPhone 7, зарегистрированного на аккаунт iCloud РУДОМЕТОВА.

b. Счет -8286 Binance (зарегистрированный на тот же адрес электронной почты Yandex) провел SMS-верификацию примерно в 13:42:15 13 мая 2021 года с использованием того же IP-адреса -.180, который использовался пользователем «Heijs» (описан выше). Примерно через две минуты этот же IP-адрес был использован для игры в многопользовательскую игру «Tennis Clash» на устройстве, зарегистрированном на аккаунт iCloud Рудометова. Примечательно, что для счета Binance, заканчивающегося на -8286, использовались паспорт и фотографию неизвестной женщины, чтобы удовлетворить требования Binance «Знай своего клиента». Фотография того же паспорта была обнаружена сохраненной в аккаунте iCloud Рудометова.

c. К аккаунту GitHub GHackiHG неоднократно обращались с тех же IP-адресов, которые использовались для взаимодействия с аккаунтом iCloud РУДОМЕТОВА, часто в течение нескольких минут после друг друга. Например, 5 марта 2019 года IP-адрес, заканчивающийся -.110 был использован примерно в 21:44:25 для игры на Apple Watch, зарегистрированных на аккаунт iCloud Рудометова. Примерно через четыре минуты тот же IP-адрес был использован для доступа к репозиторию GitHub, который содержал распространенный эксплойт, используемый против устройств Windows. В другом примере адрес, заканчивающийся -.254, использовался для доступа к репозиторию, содержащему информацию о CVE-2019-541821, критической уязвимости в распространенном фреймворке веб-приложений, при этом войдя в учетную запись GHackiHG. Примерно через 15 минут с того же IP-адреса был получен доступ к мессенджеру Viber с iPhone, зарегистрированного на iCloud-аккаунт RUDOMETOV учетной записи iCloud Рудометова.

d. В марте 2022 года следователи проанализировали недавно выпущенную утилиту конфигурации для RedLine, предоставленную платным пользователям и аффилэйтам RedLine в качестве обновления предыдущих версий утилиты конфигурации. В результате этого анализа и последующего анализа информации, полученной от GitHub в ответ на судебный запрос, правоохранительные органы обнаружили, что пользователь владел репозиторием GitHub, содержащим ключ шифрования, необходимый RedLine для выполнения рутинных функций, был связан с помощью cookies устройства с учетной записью GitHub GHackiHG, пользователем которой, в свою очередь, как описано выше, предположительно является RUDOMETOV. Следователи полагают, что ключ шифрования был критически важен для работы вредоносной программы и был использован в процессе проверки, чтобы позволить аффилэйту получить доступ и скомпилировать RedLine.

7. В заключение немного финансов:
"e. Счет -8286 Binance, описанный выше и связанный с Рудометовым посредством адреса электронной почты Яндекса, получил приблизительно 150 долларов США (+/- 5 долларов США) криптовалютных активов 54 раза в период с апреля 2021 года по август 2021 года. Счет -8286 Binance отправил 70 226,54 долларов США в криптовалютных активах на счет Binance, заканчивающийся на -3821, посредством 39 транзакций в период с мая 2020 года по август 2021 года. С июля 2021 года по октябрь 2021 года на этот счет Binance с кодом -3821 поступило около 150 долларов США (+/- 5 долларов США) криптовалютных активов в 104 транзакциях, и первоначально он был идентифицирован как один из счетов, используемых оператором(ами) RedLine для получения платежей за аренду помещений для использования вредоносного ПО. IP-адрес, заканчивающийся на -.157, использовался для доступа к счету -8286 Binance и счету -3821 Binance в течение примерно семи часов после каждого взаимодействия, оба случая произошли 4 марта 2018 года"

да ахуеть
но как этот хайп получился если все еще стилак на шарпе?

хотя эти красавчики умеют))) надеемся на лояльный суд в еу и возможную помощь от партнеров.
и ждем в ру с новыми крутыми продуктами!
олдовое комьюнити продуктов до редлайна было крутое))