В этом отчете, подтверждающем концепцию, Identity Intelligence компании Recorded Future проанализировала данные вредоносного ПО infostealer, чтобы идентифицировать потребителей материалов о сексуальном насилии над детьми (CSAM). Было обнаружено около 3300 уникальных пользователей с учетными записями в известных источниках CSAM. Заметные 4,2% имели учетные данные из нескольких источников, что свидетельствует о более высокой вероятности преступного поведения. Исследование показывает, как журналы infostealer могут помочь следователям в отслеживании действий CSAM в темной сети. Данные были переданы в правоохранительные органы для дальнейших действий.
Предыстория
Вредоносная программа Infostealer крадет конфиденциальную информацию пользователя, такую как учетные данные для входа, криптовалютные кошельки, данные платежных карт, информацию об операционной системе, файлы cookie браузера, скриншоты и данные автозаполнения. Распространенные методы распространения включают фишинг, спам-кампании, поддельные веб-сайты с обновлениями, SEO-отравление и вредоносную рекламу. Популярным переносчиком инфекции является “взломанное” программное обеспечение, продаваемое пользователям, стремящимся получить лицензионное программное обеспечение незаконным путем. Украденные данные, известные как “журналы infostealer”, часто попадают в темные веб-источники, где киберпреступники могут приобрести их, потенциально получая доступ к сетям или системам.
Анонимность, обеспечиваемая веб-сайтами на базе Tor с доменами.onion, способствует производству и потреблению CSAM. Исследования показывают, что, хотя лишь небольшой процент веб-сайтов .onion используют CSAM, большая часть активности при просмотре темных веб-страниц нацелена на эти сайты.
Методология
В этом отчете, подтверждающем концепцию, Identity Intelligence от Recorded Future использовала данные вредоносного ПО infostealer для идентификации потребителей материалов о сексуальном насилии над детьми (CSAM), поиска дополнительных источников и выявления географических и поведенческих тенденций. Наши оценки с высокой степенью достоверности основаны на характере данных журнала infostealer и последующих исследованиях.
Выборочные расследования трех человек с учетными записями в нескольких источниках CSAM позволяют предположить, что наличие нескольких учетных записей CSAM может указывать на более высокую вероятность совершения преступлений против детей. Это исследование демонстрирует, что журналы infostealer могут помочь правоохранительным органам отслеживать эксплуатацию детей в темной Сети, что является сложной областью для отслеживания. Обо всех соответствующих результатах было сообщено властям.
Наше исследование включало в себя создание списка известных высокоточных доменов CSAM и запрос зарегистрированных данных Future Identity Intelligence для идентификации пользователей с учетными данными для этих доменов. Сотрудничая с некоммерческими организациями, такими как Всемирный фонд защиты детства и Инициатива по разведке в области борьбы с торговлей людьми (ATII), Insikt Group расширила этот список, запросив Recorded Future Intelligence Cloud. Этот итеративный процесс помог выявить дополнительные источники CSAM.
Затем Insikt Group запросила у Recorded Future Identity Intelligence, которая предлагает доступ в режиме реального времени к информации журнала infostealer, записи аутентификации, связанные с известными источниками CSAM с февраля 2021 по февраль 2024 года. Удаление дублирования было выполнено путем сравнения имен пользователей ОС и ПК.
Выводы
Insikt Group идентифицировала 3324 уникальных учетных данных, используемых для доступа к известным веб-сайтам CSAM. Эти данные позволили нам собрать статистику по отдельным источникам и пользователям, включая их имена пользователей, IP-адреса и системную информацию. Эти подробные данные помогают правоохранительным органам понять инфраструктуру веб-сайтов CSAM, раскрыть методы, используемые потребителями CSAM для маскировки своей личности, и идентифицировать потенциальных потребителей и производителей CSAM.
В трех тематических исследованиях Insikt Group использовала данные, содержащиеся в журналах infostealer, и аналитические данные с открытым исходным кодом (OSINT) для идентификации двух человек и обнаружила дополнительные цифровые артефакты, включая адреса криптовалют, принадлежащие третьему лицу.
Исследование PoC демонстрирует, что журналы infostealer можно использовать для выявления потребителей CSAM, а также новых источников и тенденций в сообществах CSAM.
Поскольку спрос киберпреступников на журналы infostealer и экосистемы “вредоносное ПО как услуга” (MaaS) продолжает расти, Insikt Group ожидает, что наборы данных журналов infostealer будут продолжать предоставлять текущую и развивающуюся информацию о потребителях CSAM.