Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Egy hacker mind fölött III.

2009.01.06. 08:05 | buherator | 2 komment

Iceman történetének harmadik, befejező része.

A CardersMarket azonnal sikert aratott. Butler Iceman név alatt futtatta az oldalt, és a szövetségiek szerint kreált még két felhasználót - Digits-t és Darkest-et - akiken keresztül az eladásait bonyolította. Közben átváltott a bankokról a kártyatranzakciókat feldolgozó cégekre, kisebb éttermekre és kiskereskedőkre, akiknél a terminál-lehallgatók telepítésének mesterévé vált. Árlistákat terjesztett potenciális vásárlóinak: 12$ egy Visa Classic-ért, 19.95$ egy Visa Goldért, 16.50$ egy MasterCardért, 36$ egy American Expressért. Nagy tétel esetén kedvezmény. Egy év alatt a CardersMarket 1500 vevőt, eladót, és lelkes érdeklődőt regisztrált, annyit, amennyit a rivális oldalak összesen. 

Butler többet akart. Egy fiatal, oroszul folyékonyan beszélő mongol bevándorló, Tsengeltsetseg Tsetsendelger lett bevonva, hogy segítsen az orosz és ukrán fórumok felhasználóinak átcsábításában. Ahogy a művelet kezdett kiteljesedni, Aragon aggódni kezdett, hogy Butler szem elől téveszti a végső célt, a nagy dobást, ami mindkettőjüket elrepítené a bűn világától. De ahogy Aragon igyekezett legitim vállalkozóként visszatérni az életbe, Buttler egyre inkább teret engedett aggresszivitásának. Már nem akart kitörni a bűn világából. Irányítani akarta azt. 
 
Butler hónapokat töltött négy riválisa meghódításának megtervezésével, az akció pedig a túlfűtött tenderloini búvóhelyen tartott két napos hackmaratonon tetőzött be. Az oldalak hirtelen megszűntek létezni, ezernyi fórumhozzászólásuk később a CardersMarketen jelent meg újra. Icemannek most már több mint 6000 felhasználója volt az oldalán, ami ezzel messze a legnagyobb szájttá vált az Interneten.
 
Hogy megbírkózzon az elkerülhetetlen ellenreakciókkal és a megnövekedett munkamennyiséggel, Butler egy újabb admint nevezett ki, Th3C0rrupted0ne-t, aki egy elismert hacker volt, és néhány Butler által legyőzött oldal irányításában is segédkezett. De nem mindenkit lehetett ilyen egyszerűen megnyerni. A CardersMarket kitiltotta David "El Mariachi" Thiomast, aki régebben az FBI-nak dolgozott. A kiközösítés felhergelte Thomast. Nyilvános fórumokon vádolta meg Icemant azzal, hogy az igazságszolgáltatásnak dolgozik, és "Officer Ice"-nak valamint "egy darab cipőmre ragadt szarnak" nevezte, és vérdíjat tűzött ki Iceman-re.
 
Az összetűzés kihozta Butlerből azt, amit Idaho óta senki sem látott: "Jobb ha elkezdesz imádkozni, nehogy összefussunk," - válaszolta - "mert az hagyján, hogy még a mostaninál is rondábbá varázsolom a képed, de nem fog lelkiismeretfurdalást okozni az sem, hogy kitekerjem a csinos kis nyakadat!"  
 
De nem Thomas volt az egyetlen aki Iceman fejére pályázott. 2006 októberében az USA Today riportere felvette a kapcsolatot Butlerrel, hogy megírja a CardersMarket hatalomátvételének, és annak a félelemnek a történetét, melyet az egyesülés által gerjesztett új kiberbűnözési hullám keltett. Iceman azt mondta, hogy a CardersMarket csak egy online arany oldalakhoz hasonló szolgáltatás volt, amit felajánlott a közösségnek. "Nem vagyok érdekelt semmilyen üzletben" - nyilatkozta.
 
Butler kommentárjai nem kerültek bele a cikkbe, de Aragont a guta ütötte meg, mikor először hallot róluk. Látta, ahogy Butler órákat vesztegetett az underground kritikáival történő civakodásra, és olyan haszontalan, önzetlen hackekre, mint egy gyerekpornó oldal lerombolása. Most még interjúkat ad? "Elment a kibaszott eszed" - mondta neki.
 
2006 szeptember 29-én a Capital One közel 500 alkalmazottja kapott e-mailt Gordon Reily-től, a Leading News riportertől, melyben a férfi intejút kért "a Capital One ügyféladatainak legutóbbi kiszivárgásával kapcsolatban". Az e-mailben Reily az állította, hogy a neveket egy, a Financial Edge-ben megjelent riportban találta, és egy linket is mellékelt az eredeti cikkhez. Ha a címzettek rákattintottak a linkre - mint ahogy azt 125-en meg is tették - egy üres oldalra jutottak. Ahogy az üres felületen időztek, egy rejtett tartalom töltődött le a Capital One tűzfalán keresztül a számítógépükre. Valójában nem volt adatszivárgás az USA ötödik legnagyobb hitelkártya-kibocsátójánál, de Reily - vagy legalábbis valaki, aki ezt a nevet használta - már dolgozott az ügyön.
 
Amikor a Capital one biztonsági tisztviselői értesültek az átverésről, hívták az FBI-t, akik a National Cyber-Forensics and Training Alliance-nek továbbították az ügyet. A 2002-ben alapított, non-profit NCFTA egyfajta Igazság Ligájaként működik a hackelés területén, összefogva az FBI specialistáit, valamint bankok és technológiai cégek biztonsági embereit, hogy megoszthassák egymással tudásukat és tapasztalataikat. Az FBI ügynökök nem voltak meglepve, amikor rájöttek, hogy a financialedgenews.com-ot álnévként regisztrálták. De ahogy tovább tanulmányozták a bejegyzés részleteit azt találták, hogy a domaint ugyanahhoz a fiókhoz kötötték, mint ami egy más megfigyelés alatt álló oldalhoz, a CardersMarket.com-hoz tartozik.
 
A szövetségieknek már rendelkeztek némi információval Icemannel, a CardersMarket titokzatos alapítójával kapcsolatban. Egyik ügynöküknek még 2006-ban, több hónapos munka után sikerült admin jogot szerezni a DarkMarketen Master Splynter néven. A kormány nagy csapásra készült az oldalon keresztül - a legnagyobbra a Tűzfal hadművelet óta - mikor Iceman a semmiből előtűnve leállította a fórumot, a felhasználókat pedig átvitte a CardersMarketre. Ráadásul lekövette Splynter IP címét az NCFTA irodájáig, és mindenkinek kiteregette az alvilágban a csapdakezdeményt. Most, a Capital One támadással világossá vált, hogy Iceman nem csak egy kibeertolvajoknak szánt oldalt üzemeltet, de ő maga is a tolvajok közül való, ráadásul az ügyesebbik fajtából.
 
Butler úgy viselkedett, mintha tudná, hogy a szövetségiek a nyomában vannak. 2006 novemberében nyugdíjazta Icemant, és a CardersMarket Felügyeletét Th3C0rrupted0ne-nak adta, maga pedig felszívódott. Később egy másik nickel, Aphexként tért vissza. Fejlesztett fizikai védelmén, váltva a búvóhelyeket, hogy mozgó célponttá váljon.
 
De a szövetségiek egy titkos nyomon dolgoztak: Johnathan "Zebra" Giannone-n, az ígéretes fiatal hackeren, aki a CardersMarket egyik első adminja volt. zebra végzetes hibát vétett 2005 júniusában, amikor 600$-ért eladott 21 Bank of America Platinum kártyaszámot Gollumfunnak. Zebra nem tudta, hogy Gollumfun - valódi nevén Brett Shannon Johnson - nem sokkal azelőtt lebukott, miközben hamis csekkeket próbált beváltani Chalrestonban, és alkut kötött, mely alapján beépített informátorként kellett dolgoznia a titkosszolgálat columbiai irodájának. Butler hamar kiszúrta és kitiltotta a besúgót, de Zebrat már nem tudta megmenteni. 2007 március 8-án a srácot bűnösnek találták csalás és személyes adatokkal történő visszaélés bűntettében.
 
Három héttel a per lezárulta után Zebrát kihívták dél-karolinai börtönének cellájából. Azonnal felismerte a titkosszolgálat ügynökeit: Bobby Kirby és Brad Smith Gollumfun felügyelői voltak. 
 
"Tudni akarjuk, hogy ki ez az Iceman" - kezdett bele egyikük
 
Az ügynökök felhívták Zebra ügyvédjét, aki beleegyezett egy interjúba annak reményében, hogy ügyfele enyhítést kap. A következő három hét meghallgatásai során Zebra elmondott nekik mindent amit tudott: Iceman San Franciscoban él és élnék üzleti tevékenységet folytat hitelkártya dumpokkal, néha Digits néven ad el, és ami a legfontosabb, van egy partnere, akit Christopher Aragonnak hívnak.
 
A titkosszolgálat nem sokat tudott Aragonról, de az FBI-nak volt róla egy aktája. Még 2005-ben Jeff Normington ismét egy csalási ügyletbe keveredett a Narancsvidéken. A letartóztatása alatt kézségesen elmondott mindent Aragonról és a társáról Max Butlerről. A nyomozók soha nem mozdultak az információra. Most már csak annyi volt a szövetségiek dolga, hogy elég bizonyítékot gyűjtsenek Aragonról egy házkutatási parancshoz.
 
Egy hónappal később valaki más tette meg nekik ezt a szívességet. Május 12-én vasárnap Aragont lekapcsolta a helyi rendőrség egy Bloomingdale áruházban, 20 mérföldre capistrano beach-i házától, amint egy társával táskákat vásároltak a hamisított kártyáik segítségével. A nyomozók megkapták az engedélyt a lakáshoz és egy közeli raktárhoz, ahol több száz kártyát, egy számítógépet, hamisításhoz használható eszközökeet, valamint tetemes mennyiségű kokaint, ecstasyt és füvet találtak. Aragon aprólékos üzleti feljegyzéseit felhasználva felkutatták tettestársait, akik közül hetet letartóztattak, köztük Aragon feleségét, Clarat is, akinek a feladata a táskák eBay-en történő értékesítése volt. Clara anyja vette gondozásba két fiukat, akik most 6 illetve 9 évesek.
 
Aragon lertartóztatása megrémítette Butlert. Törölte Aragon hozzáférését a CardersMarketről, a csatornába dobta a telefonját és szerzett még egy menedékházat, az Oakwood Geary Udvart, egy vállalati lakótömbben San Francisco Tenderloin kerületében. Június 7-én bérelt egy vörös Mustangot, és egy számítógéppel és egy táskányi holmival az Oakwoodhoz utazott. Nem vette észre a titkosszolgálat utcán figyelő ügynökeit.
 
Egy hónappal később hirtelen felriadt az ágyában és dühösen meredt a szoba sötétjébe. A barátnője, Charity Majors igyekezett bemászni mellé az ágyba próbálva nem felébreszteni őt.  Butler napról napra idegesebb volt. Abbahagyta az edzést és egészsége is egyre romlott. "Édesem, nem csinálhatod ezt tovább" - dorombolta Majors - "Már nem vagy képes odafigyelni sem magadra sem arra amit csinálsz".
 
"Igazad van," - mondta Butles - " végeztem."
 
Ideje volt kiszállni. Butler próbaideje lejárt, és sokkal könnyeb volt munkát szerezni análkül, hogy a felügyelő tiszt ott lihegett volna a nyakában. De nem tudta rávenni magát, hogy befejezze a CardersMarketet, és egyik adminban sem bízott meg eléggé ahhoz, hogy a kezükbe adja a gyeplőt. Még Th3C0rrupted0ne, aki napi 14 órát töltött az oldalon is gyanúsan viselkedett néha.
 
Butler nem tudta, de kezdett kifutni az időből. Júliusban és augusztusban a titkosszolgálat kihallgatta Tsetsendelgert, régi orosz tolmácsát, miután elkapták, miközben Aragon hamis ajándékutalványival próbált vásárolni egy Apple üzletben, Kaliforniában. Közben az FBI engedélyt kapott hogy folyamatosan figyelje a CardersMarketre kapcsolódó IP címek forgalmát. Ez a rendszámtáblák megfigyelésének modern megfelelője volt, és a szövetségiek tudták, hogy több visszakövetett szélessávú előfizető az Oakwood egy háztömbös környezetében lakik. Butler valószínűleg a szomszédok Wi-Fi-jét használta.
 
Szeptember 5-én, szerdán Butler kitette Majorst a postánál, majd visszahajtatott a sofőrrel az Oakwoodhoz. Felment a negyedikre, kinyitotta az ajtót és ledőlt az ágyra egy keserves pihenőre. Délután 2 környékén kinyílt a bejárati ajtó, és féltucat ügynök lepte el a szobát a titkosszolgálattól, fegyverrel a kézben. Megbilincselték és a közeli szövetségi épületbe szállították Butlert kihallgatásra. Két ügynök Majors lakására ment. Elmondták neki mi történt, és elvitték, hogy elbúcsúzhasson Butlertől. "Bocsáss meg!" - mondta Butler mikor a nő belépett - "Igazad volt."
 
Hónapokkal később Aragon ügyvédje rossz híreket hozott. A titkosszolgálat megfejtette Butler titkosítását, és többet tudtak a hackerről, mint maga Aragon - ez azt jelentette, hogy valószínűleg soha nem fognak arra kényszerülni, hogy alkut kössenek vele. Ami még rosszabb, hogy Butlernek több mint 1 millió kártyaszámot találtak a merevlemezén. Aragon megdöbbent. Évekig hajtottak a nagydobásra, és Butler végig elég dumpon ücsörgött ahhoz hogy új életet kezdhessenek. Butler ezt soha egy szóval sem említette.
 
De Aragon haragja enyhült, mikör rádöbbent a dolog Butlerre gyakorolt hatására. Egy millió dump: büntetésben a egy 500 millió dolláros rablás megfelelője. Butler az USA hacker történelmének első életfogytiglani büntetésével nézett szembe.
 
"Nem fért a fejembe. Mit művelt ez a srác? Miért nem ment el egyszerűen dolgozni? Aztán évekkel később rájöttem: Max egyszerűen szeret hackelni."
 
Christopher Aragon V-nyakú börtönuniformisban tölti az idejét Narancsvidék központi férfibörtönében a földhöz láncolva a californiai Santa Ana napsütötte közepén. A Bhagavad Gita segítségével próbálja megérteni saját életét, Butlerrel kötött barátságát, és a döntéseket, amelyek végül a büntetésvégrehajtás szakadékába hajították.
 
Aragon csapatának hét régi tagja bűnösnek vallotta magát és néhány hónaptól hét évig terjedő büntetéseket kaptak. A felesége mostanában szabadul. Aragon egyedül maradt: Ifjúkori bankrablása és az ehhez kapcsolódó kocsilopás ellene dolgoznak Kalifornia Három Csapás törvényének értelmében. Jelenleg a tárgyalásra vár, és ha bűnösnek találják, 25 évtől életfogytiglani büntetést kaphat. 
 
Az ország túloldalán, egy pittsburghi fegyintézetben Max Butler helyzete még ennél is rosszabb. Egy évet töltött börtönben a tárgyalásra várva. Az egyetlen lehetőség, amit az ügyészség felajánlott, 30 év az életfogytiglan helyett. Az ügyvédje megpróbálta óvadék ellenében szabadlábra helyeztetni, de a bíró megtagadta kérelmet, mivel a szövetségiek szerint Butler hatalmas pénztartalékokkal rendelkezhet, melyeket kapcsolataival együtt felhasználva egy pillanat alatt új nevet szerezhet, és eltűnhet hatóságok elől. Ennek bizonyítására kijátszották az adujukat: a Butler és a CardersMarketbe beépült titkosszolgálati informátor között zajló üzenetváltásokat. Ezekben Butler kifejti, hogy hogyan tüntette el a nyomait Aragon elfogása után - megmutatva, hogy képes hamis személyiségek létrehozására és ezzel az igazságszolgáltatás megkerülésére. A neveket eltüntették, de az üzenetek kevés kétséget hagynak a spicli kilétét illetően. Th3C0rrupted0ne azonosítója úgy látszik, kettős jelentéssel bírt.
 
A barátai szerint Butler megbékélt fogvatartásával, mintha úgy érezné, ráfér, hogy egy ideig rács mögött legyen. Naponta beszél Majors-szel, hosszan és sokkal személyesebben, mint ahogy bármikor, mialatt kettős életét élte. Ezen kívül megismerkedett néhány hasonszőrű társsal is, akikkel együtt kezdtek bele egy Dungeons&Dragons játszmába. De most már nem gondolkodik arról, hogy mi lesz, ha majd kiszabadul. Végre úgy tűnik, Max Butlernek már semmi mást nem kell bizonyítania.

 

Címkék: bukta max butler

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

EQ · http://rycon.hu 2009.01.06. 14:27:16

gyors volt :) btw minek hackelt a wifiről közvetlen?

candy · http://wunderbike.postr.hu 2009.01.09. 08:33:10

Érdekes történet...amúgy a kérdés is jó:
Miért nem használt proxyt vagy egyebet?