SATORI Botnet - Ki van mögötte?

Nem is kellett ennél több Január elején nekiálltam megkeresni ki lehet mögötte. Sajnos eddig nem írhattam le mert meg kellett várnom hogy eltelik 30 nap az FBI reportolás után.
Szóval mint látható elég sok gépre kihatott a dolog, tele volt vele a news feed, és hát elég sokan meg voltak ijedve. Első napokba azt mondták tuti valami Orosz vagy Koreai csapat csinálja, de szerencsére volt pár cég aki kiírta hogy szerintük csak valami script kidd elehet az mert találtak pár nyomot róla.

“When searching for Nexus Zeta 1337 we found an active threat actor on HackForums carrying the avatar name ‘Nexus Zeta,’ and who has been a HackForums member since August ’15,” the Check Point researchers said in an analysis. “Although he is rarely active in such forums, the few posts he does make disclose a less professional actor, though interestingly his most recent focus was on an initiative to establish a Mirai-like IoT botnet.”

Mit tudunk ehhez hozzá tenni? Természetesen nekünk kell az igazi neve, ki is Ő pontosan, esetleg többen vannak. Az én kiindulási alapom ez a domain volt amit már említettek a cikkben.

Igen ebből a checkpoint resarcherek már dologztak mint azt írták is a cikkben, ők az email címből indultak ki. Ilyenkor bevett szokás hogy reverse lookup hogy mennyi domain van regelve ezzel az email címmel. Ebben az esetben nincs több. De mint a régebbi cikkemben is írtam, sokszor hiába van kitöltve kamu adattal néha lehet exploitálni magát az emberi viselkedést.
Szóval ebben az esetben is hiába van kamu név és kamu adatok engem ez annyira nem érdekel. Akkor is csinálok rá invesrse lookupot. Igenis megnézem hogy van e más domain regisztrálva ezzel a címmel, névvel, telefonszámmal stb.
Egyetlen egy dologra ad vissza több találatot, az pedig a cím része: "20412 32nd Dr SE" . De ez false flag, nem tartoznak az emberhez, megnéztem a domaineket.

Megesik, éves út, mindig rengeteg ilyenbe fut az ember. De akkor jöjjön hogy megnézem hogy tartozik e bármi az eredeti email címhez.
Ez vissza ad egy Google+ profilt és rengeteg google találatot hogy Ő a Satori botnet kreátora. Ezen felül ugye mivel gmail cím kikérjük a jelszó emlékeztetőt és megnézzük miket dob fel.
Samsung Galaxy Note 8 van hozzá kötve, és 66-ra végződik a telefonszám, illetve egy backup email cím maszkolva: ken••••••••••••@gmail.com .
Abban az esetben ha az email cím törzs része elég egyedi akkor általában szoktam keresni külön arra is. Az emberek tipikusan regisztrálnak be email címeket de a név részét nem változtatják. Ez alapján fel is jön egy Jabber account találat.

És mivel a skype cím ID is elég egyedi erre is keres az ember. És akkor megint feljön egy találat:

Rendben akkor ezzel le is zártuk az email címes kiindulás részét, el kell indulni egy másik szálon is. Következő adatom a telefonszám volt. Ez alapján feljön egy facebook account amiről kiderül egy valós account. Viszont köthető ez bármihez is? Ugye azt be kell bizonyítani hogy a whoisbe kamu eredeti vagy kamu adat van megadva.

Hogy tudjuk őt bármihez is hozzá kötni, hogy azt lehessen mondani hogy igen Ő az az ember? Ez az igazán nehéz a dologban. Én első gyanus dolognak a telefonszámot láttam, 66-ra végződik mindenhol, az email reminderben is. Oda pedig nem nagyon tudsz megadni kamu számot mert küld sms-t és ugye a telod hozzá köti a gmail acchoz. Én ebben az esetben magát a googlet használtam azonosítani és megerősíteni hogy ez tényleg az a telefonszám mögötte. Mikor kérte hogy írjam be a telefonszámot ahova küldje a backup kódot beírtam azt a telefonszámot amit találtam. És elfogadta! Ergo a telefonszám hozzá tartozik. (Igen SMS-t viszont elküldte neki sajnos, de nincs jobb út)

Mivel meggyőződtünk és bebizonyítottuk hogy a telefonszám valós ezért van egy "tiszta" adatunk amivel kiindulhatunk. Nézzük meg miket rejt még.

Na, szóval a hivatalos amerikai bejegyzés szerint is él a telefonszám, és ehhez a személyhez tartozik. Mint látható azért ez elég gyanus, de elég valósnak tűnik.

Akkor nézzük meg truecaller-ban is hátha benne van. Ugye ez az a logika alapján működik hogy tudsz lekérni ha a telefonodat kontaktjait te is felszinkronizálod. Én abból szoktam kiindulni hogy benne vagyok 100 ember telefonkönyvében, akkor csak volt valaki akkora béna hogy szinkronizálta a telefonkönyvét és feltöltötte az adatait. Hátha ennél a srácnál is volt ilyen.
És a lekérdezés után ki is derül hogy igen, valaki már szinkronizálta. (Nyugodtan próbáljátok ki, meglepően sok adat van fent)

Szóval a telefonszám és név az itt is szinkronban van, viszont van ott egy email cím, illetve egy MIRAI botnetes kép. Ugye tudjuk hogy a MIRAI-ból lett kreálva a SATORI botnet. És az email is elég hasznos lehet. Ugyanezt megcsinálom rá hogy full OSINT. Van e ilyen facebook, insta, google, domain reg stb..stb..

Google+ reg. Név egyezik, a kép pedig eléggé hasonlít az elsőnek talált facebook account képére.

Ez feldobja a skype regisztrációt hogy igen, ez az email amivel a skype regelve van. :) Szóval innen már logikus hogy jó embert találtunk meg, körbeért a dolog. De nekem ennél több info kell hátha vannak még érdekességek és bizonyítékok.

És a telefonszám is ezt a skypeot oldja fel:

Most próbálom összegezni az adataim és összefuggéseket keresni közöttük, hátha találok még egymásra utaló jeleket.
Ha emlékeztek az elejére volt egy backup email cím: ken••••••••••••@gmail.com És véletlen pont ide illik be a srác email címe amit utoljára találtunk!

illetve most hogy van már 2 email törzsünk fogom és végig próbálom hogy van e másik account ami ugyanezanév@yahoo.com, ugyanezanév@outlook.com; ugyanezanév@mail.com stb stb.. Amennyit ismerek. ÉS erre is feljön egy adat hogy Ugyanez az email létezik OUTLOOK-al is! Természetesen arra is OSINTet csinálok, és kijön hogy van hozzá tartozó domain regisztráció. Ami domain regisztráció elég gyanusa név alapján, valószínűleg DDOS bérlő domain volt. És nagyon fotnos hogy volt fent neki 3 file ami gyanus. Az egyik az a Mirai forráskódja.

Na de van itt egy kis rész ami nem bizonyító erejű. Attól hogy ugyanaz a neve az email törzsnek, és más szolgáltató az nem azt jelenti hogy ugyanaz a user. Hiába mondjuk azt hogy Ő is Kenny és Ő is csinált rosszat. Szóval mikor kikértem az outlook jelszó emlékeztetőt akkor az azonnal adott is bizonyítékot. Ez is 66ra végződő szám és ha beírom a telefonszámot akkor küld kódót és elfogadja a telefonszámot. Ez azért már bizonyító erejű.

De akkor fogjuk meg és a gmailes címére is kérjünk emlékeztetőt amit találtunk a truecalleren. És ez is azonnal bebizonyítja hogy az az outlook cím hozzá tartozik.

Ezzel most már van bizonyíték hogy ki az az ember, tudjuk hogy amerikai, van képünk róla, megvan a telefonszáma, több email címe, és nem csak a Satori botnetre van bizonyítékunk hanem a MIRAI-ra is.

És még van egy kis csel ami néha működik néha nem. A skype-on ha online vagy akkor lookupolni lehet az IP címed. Én úgy tudtam hogy ez fixálva van, sőt az ismerősöm is. Viszont vannak olyan resolverek amik működnek a mai napig. Van ami pedig nem. Szóval ez alapján még egy kevés adat róla:

_______________________________________________________________________________________
_______________________________________________________________________________________

Most pedig jöjjön a picit extrémebb része amit természetesen NEM én csináltam.
Paypal accountja belogolva:

_______________________________________________________________________________________
_______________________________________________________________________________________

Tanulság:
1. Attól hogy az amerikai intelligence leírja hogy Oroszok, Koreaiak és Irániak támadják a világot nem feltétlenűl igaz. Mint tudjuk nekik ez csak azért van hogy háború legyen a vége, és persze ők soha semmi rosszat nem csinálnak. Lásd DNC hack ami már annyira kamu hogy vicces is egyben.
Ez a "koholt vád" sajnos ugyan úgy vonatkozik sok AV cégre is. Hisz ők se tudják eladni a terméket azzal hogy az Ő hyper extrém emberük talált egy 19 éves gyereket aki végigtörte a gépeket. Nekik úgy kell eladni hogy kormányzati támadások jönnek mennek. Azt olvassák az emberek, és az adja el a terméket. De ugyanez vonatkozik az első Mirai botnetre is, azt modnták Oroszok és Románok. A végére kiderült egy amerikai volt mögötte.
Reference article: https://krebsonsecurity.com/2017/01/who-is-anna-senpai-the-mirai-worm-a…

2. Itt is kiderült hogy akár egy ember is elég nagy kárt tud tenni, és nem kell feltétlen zseninek lennie.
3. Igen, hibázott Ő is mint mindenki más.
4. Hiába nem látod az adatot, attól még meg lehet mondani hogy ott van. Ebben az esetben a kulcs a Google azonosítója volt. Nélküle nem nagyon sikerült volna mert az elején elakadtunk volna mint a Checkpoint Resarcherek.