Hırvat uyruklu bir kişi operasyon yaptığı iddiasıyla tutuklandı Net Tel, 2012’den beri siber suç forumlarında virüslü sistemleri gözetlemek ve şifreleri ele geçirmek için gizli bir yol olarak pazarlanan bir Uzaktan Erişim Truva Atı (RAT). Tutuklama, NetWire satış sitesine bir kişinin el koymasıyla aynı zamana denk geldi. ABD Federal Soruşturma Bürosu (FBI). Bu davadaki sanığın adı henüz kamuoyuna duyurulmamış olsa da, NetWire web sitesi son 11 yıldır sahibinin olası gerçek kimliği ve yeri hakkında bilgi sızdırıyor.
Tipik olarak bubi tuzaklı Microsoft Office belgeleri tarafından yüklenir ve e-posta yoluyla dağıtılır, Net Tel hedefleme yeteneğine sahip çok platformlu bir tehdittir. Microsoft Windows makineler ama aynı zamanda Android, linux Ve Mac sistemler.
NetWire’ın güvenilirliği ve nispeten düşük maliyeti (özelliklerine bağlı olarak 80-140$), onu yıllardır siber suç forumlarında son derece popüler bir RAT haline getirdi ve NetWire enfeksiyonları sürekli olarak kullanılan en aktif 10 RAT arasında yer alıyor.
NetWire, 2012’den beri aynı web sitesinde açık bir şekilde satılmaktadır: dünya kablolu laboratuvarları[.]iletişim. Bu web sitesinde artık bir el koyma bildirimi bulunmaktadır. ABD Adalet Bakanlığıalan adının “NetWire Uzaktan Erişim Truva Atı’na karşı yürütülen koordineli bir yasa uygulama eyleminin” parçası olarak alındığını söylüyor.
Yapılan açıklamada, “Bu haftaki kolluk kuvvetlerinin bir parçası olarak, Hırvatistan’daki yetkililer Salı günü web sitesinin yöneticisi olduğu iddia edilen bir Hırvat uyrukluyu tutukladılar” denildi. ABD Adalet Bakanlığı Bugün. “Bu sanık, Hırvat makamları tarafından yargılanacak. Ek olarak, Salı günü İsviçre’deki kolluk kuvvetleri, NetWire RAT altyapısını barındıran bilgisayar sunucusuna el koydu.”
Hırvat makamları tarafından operasyonla ilgili olarak ne DOJ’un yaptığı açıklamada ne de yayınlanan bir basın açıklamasında sanığın isminden bahsedilmedi. Ancak, RAT’ın yazarının gerçek hayattaki kimliğini gizlemek için çok az şey yaptığı düşünülürse, Amerika Birleşik Devletleri’ndeki ve başka yerlerdeki yetkililerin NetWire’a ve sözde sahibine karşı harekete geçmesinin bu kadar uzun sürmesi oldukça dikkat çekici.
WorldWiredLabs web sitesi ilk olarak Şubat 2012’de başka alan adı olmayan özel bir ana bilgisayar kullanılarak çevrimiçi hale geldi. Sitenin gerçek WHOIS kayıt kayıtları her zaman gizlilik koruma hizmetleri tarafından gizlenmiştir, ancak WorldWiredLabs’in geçmiş Etki Alanı Adı Sistemi (DNS) kayıtlarında aynı yönü gösteren pek çok ipucu vardır.
Ekim 2012’de WorldWiredLabs alanı, yalnızca bir başka etki alanına ev sahipliği yapan 198.91.90.7 İnternet adresindeki başka bir özel sunucuya taşındı: baskı okulu medyası[.]orgayrıca 2012 yılında tescil edilmiştir.
DomainTools.com’a göre, printschoolmedia[.]org kayıtlıydı Mario Zanko Zapresic, Hırvatistan’da ve e-posta adresine [email protected]. DomainTools ayrıca, bu e-posta adresinin 2012’de başka bir alan adını kaydetmek için kullanıldığını gösteriyor: wwlabshosting[.]iletişimayrıca Hırvatistan’dan Mario Zanko adına kayıtlı.
Her iki baskı okulu ortamı için DNS kayıtlarının gözden geçirilmesi[.]org ve wwlabshosting[.]com, bu etki alanları çevrimiçiyken her ikisinin de DNS ad sunucusunu kullandığını gösterir. ns1.worldwiredlabs[.]iletişim. Aynı ad sunucusu kullanılarak başka hiçbir alan kaydedilmedi.
WorldWiredLabs web sitesi, 2013. Kaynak: Archive.org.
worldwiredlabs için DNS kayıtları[.]com ayrıca sitenin gelen e-postayı adrese yönlendirdiğini gösterir. [email protected]. Kamuya açık veri tabanı sızıntılarının açığa çıkardığı bilgileri indeksleyen bir hizmet olan Constella Intelligence, bu e-posta adresinin giyim perakendecisi romwe.com’da “şifresini kullanarak bir hesap açmak için kullanıldığını gösteriyor.123456xx”
Constella Intelligence’ta bu parola üzerinde ters arama yapmak, bu kimlik bilgilerini kullandığı bilinen 450’den fazla e-posta adresi olduğunu gösterir ve bunlardan ikisi [email protected] Ve [email protected].
[email protected]’da bir arama Skype “Netwire” hesap adı ve “” kullanıcı adı dahil olmak üzere üç sonuç döndürür.Dugidoks,” ve bir Mario Zanko için (kullanıcı adı zanko.mario).
Dugidox, yıllar boyunca birden çok siber suç forumunda NetWire satış ve destek tartışma dizileriyle en sık ilişkilendirilen bilgisayar korsanı tanıtıcısına karşılık gelir.
Constella, [email protected]’u, BlackHatWorld ve HackForums üzerindeki Dugidox tanıtıcısı dahil olmak üzere bir dizi web sitesi kaydına ve her ikisi için de Hırvatistan’daki IP adreslerine bağlar. Constella ayrıca [email protected] e-posta adresinin “dugidox2407” parolasını kullandığını gösterir.
2010 yılında [email protected] e-posta adresini kullanan biri alan adını kaydettirdi. uzun zaman önce[.]iletişim. Söz konusu etki alanı için WHOIS kayıt kayıtlarında, tescil ettiren olarak bir “Senela Eanko” listeleniyor, ancak kullanılan adres, baskı okulu medyası için WHOIS kayıtlarında görünen Zapresiç’teki sokak adresiyle aynıydı.[.]Bay Zanco’nun adına kayıtlı org.
Vefatından önce Google+[email protected] e-posta adresi ” takma adıyla bir hesapla eşlendiAğ kablosu savaşı” dugidox e-postası da bir Facebook hesabına bağlıydı (mario.zanko3), Hırvatistan’ın çeşitli yerlerinden check-in ve fotoğrafların yer aldığı.
Bu Facebook profili artık aktif değil, ancak Ocak 2017’de WorldWiredLabs yöneticisi, hizmetine belirli Android mobil işlevlerini eklemeyi düşündüğünü bildirdi. Bundan üç gün sonra, Mario.Zank3 profili, bir Android eğitim kursu için seçildiğini söyleyen bir fotoğraf yayınladı – doğal olarak fotoğrafta dugidox e-postası vardı.
İngiltere’deki Şirketler Evi’nden alınan kuruluş kayıtları, Bay Zanko’nun 2017 yılında adlı bir şirkette memur olduğunu gösteriyor. Godbex Çözümleri LTD.. Bu şirket adına atıfta bulunan bir Youtube videosu, Godbex’i altın ve kripto para birimleri alışverişi için “yeni nesil bir platform” olarak tanımlıyor.
Birleşik Krallık Şirketler Evi kayıtları, Godbex’in 2020’de feshedildiğini gösteriyor. Ayrıca Bay Zanko’nun Temmuz 1983’te doğduğunu ve mesleğini “elektrik mühendisi” olarak listelediğini söylüyor.
Bay Zanko, birden fazla yorum talebine yanıt vermedi.