Pular para o conteúdo principal

Um caso OSINT real: desvendando um grupo de hackers


As investigações OSINT são como intrigantes quebra-cabeças que exigem pesquisas meticulosas, assemelhando-se ao percurso de um labirintos. O verdadeiro tesouro  de uma investigação real é o seu resultado. Criamos estudos de caso que ajudam os especialistas a aprender com situações reais, desenvolvendo novas ideias para resolver os casos mais complexos.

Neste artigo, seguiremos uma  jornada detalhada de uma investigação conduzida pelo “Social Links Center of Excellence” sobre um grupo de hackers que rouba e vende informações pessoais de pessoas comuns. Ao percorrendo as etapas de um investigador identificaremos os atores mal-intencionados e seguiremos uma pegada digital com o SL Professional. Portanto, prepare-se para ver de perto o processo de investigação de um caso real.



VAMOS AVALIAR:

  • O desafio
  • Os atores da investigação
  • O andamento da Investigação OSINT
  • Os próximos passos


O DESAFIO:

Grupos criminosos mais pequenos preferem muitas vezes visar pessoas comuns em vez de empresas. Esses atores maliciosos usam essas táticas para ocultar suas operações do público. As organizações de corretagem de dados destacam-se como uma ameaça particularmente ameaçadora entre estas entidades criminosas. Eles são especializados no ato ilícito de roubo de informações pessoais, que eventualmente chegam aos mercados obscuros da Dark Web, alimentando o ciclo contínuo do crime cibernético.Com esse entendimento em mente, vamos focar uma investigação centrada em um grupo criminoso que busca manter o anonimato para dar andamento as suas atividades ilegais. Eles são adeptos de evitar identificadores facilmente rastreáveis. Contudo, mesmo nas situações mais sombrias, o pensamento criativo pode superar desafios; este estudo de caso é um exemplo convincente.A principal razão para tais investigações é que, de forma generalizada, dados de clientes e violação de informações são uma mercadoria muito cobiçadas por hackers. Existem mercados dedicados da Dark Web para vender esses dados e os preços flutuam amplamente. Agentes mal-intencionados chegam a pagar até US$ 1 mil por documentos completos contendo identidades, números de previdência social etc.e usam dados pessoais roubados para documentos falsos e golpes. Na verdade, relatórios recentes sugerem que impressionantes 3,4 bilhões de e-mails de phishing são enviados todos os dias.



Informações de clientes e funcionários são os dados mais cobiçados e comuns de comprometimento e comercialização
Informações de clientes e funcionários são os dados mais cobiçados e comuns de comprometimento e comercialização


Os participantes da investigação


Devido à vulnerabilidade do caso, atribuímos pseudônimos a todos os indivíduos envolvidos por motivos de privacidade e conformidade legal. Então, conheça cada participantes:

  • Orion. Investigador Social Links
  • Apollo54. O principal hacker e proprietário do serviço Illegal Data Brokering.
  • NyxData. O braço direito da Apollo54. Hacker secundário e administrador do Telegram.
  • InfoNest. O nome do grupo de hackers

O Curso da Investigação OSINT

Cibercriminosos e os investigadores estão presos num constante jogo de gato e rato, onde os agentes das ameaças quebram as regras e os especialistas em investigação elevam a segurança dos sistemas . A investigação apresentada aqui é um excelente exemplo de como pequenas decisões podem se transformar em uma investigação criminal completa.


Parte 1. Descobrindo os Hackers

“Uma única faísca pode acender um grande inferno…” - Orion


Embora a maioria das investigações comece com uma vítima aparente, esta ocorreu por acaso. Um dia, Orion, investigador da Social Links, decidiu examinar uma antiga caixa de entrada de e-mail que ele não verificava há algum tempo. Curioso sobre o conteúdo de sua pasta de spam, ele decidiu dar uma olhada. Em meio à enxurrada habitual de ofertas fraudulentas como "Ganhe uma viagem ao Paraíso!" e "Pílulas mágicas para todos os seus problemas!" algo diferente chamou sua atenção: um e-mail de phishing. Armado com o Phishtool, um software que analisa e-mails usando metadados e inteligência sobre ameaças, Orion investigou mais a fundo e descobriu que o e-mail parecia ser de um vendedor de cachorro-quente no Brasil. Orion decidiu visitar o site da empresa, apenas para ser saudado por uma mensagem ousada dizendo: “Você foi enganado”. Claramente, o site foi hackeado e controlado. Numa atitude atrevida, os hackers deixaram seus pseudônimos (Apollo54 e NyxData) e o nome de seu grupo (InfoNest) na primeira página do domínio comprometido. Intrigado, nosso investigador conduziu uma busca simples no Google e encontrou mais sites invadidos, associados ao mesmo grupo. Todos os sites tinham a mesma mensagem, juntamente com os mesmos nomes de hackers. Orion decidiu se aprofundar nas atividades dos intrusos para entender melhor a extensão de suas ações.


A partir de um único e-mail, o investigador do Social Links encontrou todo um grupo de cibercriminosos


Parte 2. Detectando dados ilegais para venda


“Um momento de inspiração revela uma investigação complexa…” - Orion


Com a investigação oficialmente em andamento, Orion decidiu verificar se os hackers estavam usando algum mensageiro para se comunicarem entre si. Acontece que eles eram um grupo do Telegram. Para levar sua investigação para o próximo nível, nosso investigador contou com a ajuda do Telegram Pack do SL Professional (Observação: a extensão está atualmente disponível apenas para agências governamentais). Armado com a ferramenta certa, Orion procurou os pseudônimos do Telegram, revelando que Apollo54 era o proprietário, administrador e hacker principal do grupo de hackers. NyxData, por outro lado, foi identificado como seu segundo em comando. Surpreendentemente, o grupo contava com quase 200 membros. As conversas revelaram que este grupo era um grupo de hackers que funcionava como coletor de dados. Seu modus operandi envolvia hackers e phishing para coletar quantidades significativas de dados pessoais. O grupo então armazenou essas informações obtidas de forma ilícita em uma interface de programação de aplicativos (API), que eles colocaram à venda. Essa API permitiu que os compradores realizassem pesquisas específicas, incluindo placas de veículos, números de identidade nacionais, datas de nascimento e muito mais. As descobertas da Orion indicaram que o grupo atualizava regularmente sua interface API, tornando-a fácil de usar para os clientes pagantes dos hackers. Os insights das conversas dos atores mal-intencionados revelaram que os membros principais se orgulhavam de seus confrontos anteriores com agências de crimes cibernéticos. Surpreendentemente, os actores da ameaça usaram mesmo as insígnias oficiais das LEAs como Logotipo do grupo, tornando o seu envolvimento em atividades criminosas claramente visível.


 


Com o Telegram Pack do SL Professional, a Orion conseguiu determinar quem controlava o serviço ilegal de corretagem de dados e obter leads em sua base mais ampla de membros


Parte 3. Construindo Conexões Web


“Um detalhe aparentemente insignificante às vezes pode revelar a verdade…” - Orion


Armado com pseudônimos e outros identificadores distintos, Orion voltou sua atenção para as redes sociais para ampliar sua investigação. Tornou-se evidente que os agentes da ameaça empregaram os mesmos pseudônimos em seus perfis de mídia social e sequestraram contas de outros usuários para promover seu serviço ilícito de corretagem de dados de API. Utilizando as poderosas transformações do SL Professional, Orion descobriu uma tendência notável: os principais membros do grupo de hackers estavam interconectados por meio de listas de seguidores mútuos e interações (menções, postagens, histórias etc.) no Instagram. Apesar da abordagem cautelosa dos hackers para ocultar suas identidades, a Orion cruzou engenhosamente os dados disponíveis usando transformações de mídia social que permitiram obter aliases, seguidores e seguidores, bem como detalhes de perfil e história, para agilizar as associações desses atores maliciosos. contas em diferentes plataformas.Seguindo esse procedimento abrangente, Orion acumulou uma coleção de 31 perfis no Instagram, 2 no TikTok e 3 no Twitter. Sua astuta fusão de dados de mensagens com detalhes de mídia social acessíveis ao público delineou com eficácia a pegada digital do grupo. Por meio de documentação meticulosa de conversas, postagens e conteúdo promocional propagados por meio de histórias (mostrando a API e como os crimes foram cometidos) pelo grupo criminoso, Orion estabeleceu um caso convincente para uma investigação mais aprofundada pelas Agências de Aplicação da Lei (LEAs).


Usando o SL Professional, a Orion conseguiu descompactar uma grande quantidade de informações sobre os hackers para elaborar a estrutura do grupo e executar verificações cruzadas para verificar os pontos de dados.\


Parte 4. Resultados


Uma rápida recapitulação de todo o fluxo de investigação:


  • * Orion começou com um e-mail de phishing, que ele rastreou até sites hackeados.
  • * Usando os pseudônimos que os agentes da ameaça deixaram para trás, ele dinamizou as informações e encontrou o chat em grupo do grupo Telegram e o canal de publicidade.
  • * Ele pesquisou os pseudônimos que os hackers usavam nas redes sociais, cruzou as listas de amigos e descobriu que os atores mal-intencionados estavam seguindo e interagindo entre si nas plataformas sociais.
  • * O investigador procedeu à recolha de mais provas e, por enquanto, encerrou a investigação.


Próximos Passos


Então, a partir deste ponto, existem alguns caminhos que a investigação pode seguir.


* Seguindo a Web. Como Orion já tem muitas evidências, ele pode investigar e enriquecer ainda mais seus dados sobre os hackers. Com o SL Professional, ele pode empregar análise de sentimento e mergulhar em registros públicos para extrair mais informações sobre os atores da ameaça. Ao final do processo, ele teria antecedentes criminais, nomes reais, fotos e outros conhecidos. No entanto, esse processo levaria mais tempo e faria com que o caso crescesse ainda mais.

* Reporte às LEAs. Orion também pode encaminhar todas as evidências que reuniu às divisões de crimes cibernéticos apropriadas para que elas continuem de onde parou. Como os hackers estão sob a jurisdição de agências governamentais, esta poderia ser uma estratégia mais eficaz. Além disso, os agentes da ameaça foram muito abertos sobre o seu histórico anterior com as autoridades, o que muito provavelmente significa que têm registos criminais no sistema LEAs. Isso poderia acelerar significativamente o processo.




Orion pode seguir um de dois caminhos para concluir a investigação


Concluindo nosso estudo de caso de investigação OSINT, esperamos que você tenha obtido uma visão mais detalhada da abordagem de nossos especialistas e encontrado alguma inspiração para suas próprias investigações. Lembre-se, com a mentalidade de inteligência de código aberto, até os mais ínfimos detalhes podem revelar redes de informação inteiras.


Se você quiser aprender como conduzir investigações aprofundadas como a Orion fez, você está no lugar certo. Explore como extrair evidências, enriquecer sua pesquisa e encontrar conexões entre suspeitos em uma demonstração privada com especialistas em Social Links. Envie um email e agendaremos uma apresentação conforme sua conveniência.


OBTENHA UMA DEMO GRATUITA


Conteúdo publicado pela Social Links, traduzido em 22 de outubro de 2023, do orignal: 

https://blog.sociallinks.io/a-real-osint-case-uncovering-a-hacker-group/

A AIMART é a única parceira I2 Platinum no BRASIL que também é parceira Social Links, por isso, apresenta AO VIVO, sem intermediários, todas suas as soluções, graças a sua equipe altamente capacitada.

FALE COM QUEM MAIS ENTENDE DE i2 E SOCIAL LINKS NO BRASIL! FALE COM A AIMART!

Mais informações: www.aimart.com.br ou marketing.br@aimart.com.br


Participe do nosso webinar para conhecer mais detalhes!


Aproveite para se inscrever gratuitamente no webinar gratuito que fornecerá uma visão 360º das aplicações OSINT nas mais diferentes investigações e pesquisas. Mostraremos casos reais e explicaremos como usar ferramentas modernas para coletar e analisar informações de redes sociais.

DATA: 08 de novembro de 2023 - Quarta-feira - 10h00 - Horário de Brasilia - Duração: 60 min 
Inscreva-se clicando aqui

Marcadores:

Comentários

Postar um comentário

Postagens mais visitadas deste blog

O que há de novo no i2 iBase v10? Mais Recente Lançamento de Produto i2 - i2Group - nov, 2024

Mais Recente Lançamento de Produto O que há de novo no i2 iBase v10 O iBase 10 representa um avanço significativo na análise de dados e na gestão de inteligência. Construído sobre a plataforma nativa de 64 bits, o iBase 10 oferece desempenho aprimorado, segurança melhorada e uma interface modernizada para atender às necessidades em constante evolução dos usuários. Esta versão mais recente otimiza os fluxos de trabalho com importações mais rápidas, exportações estruturadas sem necessidade do Excel e capacidades aprimoradas de relatórios, incluindo geração de PDFs sofisticados e templates refinados do Word. As interfaces GIS aprimoradas agora dão suporte ao Esri ArcGIS Pro 3.2/3.3, enquanto atualizações de segurança, como suporte ao FIPS e TLS 1.3, garantem uma proteção robusta dos dados. Juntamente com o gerenciamento de licenças integrado e novos recursos intuitivos, o iBase 10 permite que os analistas trabalhem de forma mais inteligente e rápida do que nunca – e estamos apenas começan...
Postar um comentário
Leia mais

Eficácia na luta contra o tráfico de drogas - José C. Nordmann - dez, 2024

Tecnologia e profissionais especializados atacando o sustento do tráfico de drogas Uruguai: diferente, mas não imune ao contexto Hoje completa-se uma semana do segundo turno (ballotage) das eleições nacionais no Uruguai, e nos últimos sete dias eu li, vi e ouvi inúmeras reportagens e comentários de jornalistas estrangeiros, especialmente argentinos, surpresos, quase perplexos pelo fato de que o presidente eleito tenha pronunciado suas primeiras palavras poucos minutos depois de sua vitória nas eleições.   em tom de diálogo com a cidadania como um todo , e de respeito e conciliação com aqueles que não votaram nele. O discurso do candidato derrotado também teve aquele caráter republicano ao parabenizar o candidato vencedor e oferecer colaboração ao próximo governo para " pensar com luzes longas ".   No domingo, 24/11/2024, o povo uruguaio e seus principais líderes políticos deram um novo exemplo de nossa singularidade em um contexto regional e global de divisão, mentiras e a...
Postar um comentário
Leia mais

i2: Atualização de Final de Ano (Tradução oficial Aimart) - 19/12/2024

Prezado Cliente, Espero que esta carta o encontre bem, junto aos seus, enquanto nos aproximamos da temporada festiva. Aqui no Reino Unido, as estações mudaram para o inverno, mas o clima frio e a geada não diminuíram nossos esforços em desenvolver nossas soluções e encantar nossos clientes. Parece que foi ontem que nos unimos à N Harris Computer Corporation (em janeiro de 2022), mas, na verdade, quase três anos já se passaram. Durante esse período, reconstruímos nossa empresa com mais força e foco, algo que foi simbolizado pelo lançamento da nossa marca atualizada, i2, em agosto deste ano. Acredito que você já esteja começando a perceber os benefícios de nossa nova gestão, a autonomia e o aumento de investimentos que ela trouxe para a i2. Durante esses três anos, mantivemos o crescimento de nosso negócio em dois dígitos ano após ano, não apenas investindo em nossos produtos, mas também contratando mais de 40 novos colaboradores apenas neste ano, em todos os departamentos ao redor do mu...
Postar um comentário
Leia mais