В мире киберпреступности редко случаются моменты, когда конкуренты сталкиваются лбами на ваших глазах. Но именно это произошло, когда операторы ботнета Kimwolf — деструктивной сети, поразившей более двух миллионов устройств, — решили похвастаться своим «трофеем». Они опубликовали скриншот, утверждая, что получили доступ к панели управления Badbox 2.0 — колоссального ботнета, встроенного в прошивки миллионов дешёвых Android TV-приставок. Это хвастовство стало золотой жилой.

На представленном скриншоте — список авторизованных пользователей админ-панели Badbox 2.0. Среди семи учётных записей выделяется одна — под именем «ABCD». По данным инсайдера, это аккаунт Дорта (Dort), одного из ботмастеров Kimwolf, которому каким-то образом удалось инфильтроваться в систему конкурентов и добавить свой email как легитимного пользователя.

Но главная ценность была не в этом. Ценность была в остальных шести «родных» учётных записях, каждая со своим email на qq.com. Это была отправная точка для классической OSINT-разведки.

Возьмём, к примеру, пользователя «Chen» с адресом 34557257@qq.com. Публичные поиски показывают, что этот email фигурирует как контактный для нескольких пекинских технологических компаний, включая Beijing Hong Dake Wang Science & Technology Co Ltd.

Обратимся к сервису Constella Intelligence, специализирующемуся на анализе утечек. Выяснилось, что для этого адреса когда-то использовался пароль cdh76111. Этот же пароль встречался лишь у двух других аккаунтов: daihaic@gmail.com и cathead@gmail.com.

Здесь начинается самое интересное. Constella обнаружила, что cathead@gmail.com в 2021 году зарегистрировал аккаунт на JD.com (китайский Amazon) на имя 陈代海 (Чэнь Дайхай). Анализ исторических DNS-записей через DomainTools показал, что это же имя и email cathead@astrolink.cn фигурировали в 2008 году при регистрации домена moyix.com.

Найденная в архиве Интернета копия сайта astrolink.cn раскрыла, что это сайт компании Beijing Astrolink Wireless Digital Technology Co. Ltd. — разработчика мобильных приложений. На странице «Контакты» значился сотрудник техотдела — Чэнь Дайхай. Рядом с ним был указан ещё один человек — Чжу Чжиюй (Zhu Zhiyu) с email xavier@astrolink.cn.

И снова совпадение: в панели Badbox 2.0 есть пользователь Mr.Zhu с адресом xavierzhu@qq.com. Constella подтвердила, что на этот адрес зарегистрирован аккаунт JD.com на имя Zhu Zhiyu, использующий уникальный пароль, который также применяется и для xavierzhu@gmail.com. DomainTools, в свою очередь, установил, что xavierzhu@gmail.com был первоначальным регистрантом домена astrolink.cn.

Мы имеем чёткую связь между учётными записями в панели управления ботнетом и конкретными физическими лицами, связанными с технологическим бизнесом.

Самая первая учётная запись в панели — «admin», созданная в ноябре 2020 года, — была привязана к 189308024@qq.com. DomainTools выявил, что этот email использовался при регистрации домена guilincloud[.]cn в 2022 году на имя Huang Guilin (Хуан Гуйлинь).

Constella связала этот email с китайским номером 18681627767. OSINT-платформы (osint.industries, Spycloud) позволили проследить этот номер дальше: он использовался для профиля Microsoft (2014) на имя Guilin Huang и аккаунта в Weibo (2017) с именем пользователя h_guilin.

Трое остальных пользователей из списка также были связаны с реальными людьми в Китае, однако, в отличие от Чэня и Чжу, у них (как и у Хуана) не обнаружилось явной связи с корпоративными структурами Astrolink или других компаний.

Это расследование наглядно демонстрирует силу OSINT-методов и опасность цифровой небрежности. Хвастовство одних преступников подарило нам карту для расследования других. Мы видим, что за колоссальным ботнетом Badbox 2.0, поражающим устройства на аппаратном уровне, могут стоять не абстрактные «хакеры в подвале», а лица, так или иначе связанные с легитимным (на первый взгляд) технологическим бизнесом.

Подпишись на @irozysk