Tag Archives: Cyclosa

2013 ????????????????????Cyclosa ????????

昨年、セキュリティニュースのレポーター、ブライアン・クレブス(Brian Krebs)氏は、ある攻撃者グループが複数の企業に侵入して重要な顧客情報を盗み出し、オンラインの個人情報売買サイト SSNDOB で販売していることを発見しました。この攻撃者グループが侵入したのは、一般消費者や企業のデータの大手アグリゲータやソフトウェア開発企業など何社ものネットワークです。クレブス氏が明らかにしたところによると、このグループは盗み出したデータを SSNDOB に公開し、米国と英国の一般ユーザーに関する個人情報を販売していました。

シマンテックは、このグループが SSNDOB の背後で行っていた攻撃を調査し、このグループを「Cyclosa(ゴミグモ)」と命名しました。調査を進めるうちに、オンラインフォーラムでこのグループの中心的メンバーと目されている人物として、アブハジア在住の Armand Arturovich Ayakimyan という 24 歳の青年を特定しました。この事案をさらに調べると、この青年は大掛かりな個人情報窃盗の実行方法について情報を探っていたことをきっかけに、サイバー犯罪フォーラムに出入りするようになったことが判明しました。それだけでなく、Cyclosa グループが多数の企業や組織に侵入しており、なかにはグルジアの政府機関や信用組合、銀行なども含まれていることも突き止めています。

Armand の正体
Armand は 1989 年 8 月 27 日アブハジアで生まれました。ロシアとグルジアの国境付近、コーカサス地方の紛争地域です。アブハジアと周辺の諸地域は 1991 年から 1993 年にかけて紛争状態に突入します。そのひとつ、1992 年から翌 93 年のアブハジア戦争では、アブハジアとグルジアが同地域の独立をめぐって衝突しました。シマンテックの調査によると、Armand は 2010 年初めにアブハジアの首都スフミから、ほど近いロシアの町ソチに転居しています。これは SSNDOB 開設の直前のことです。

ソーシャルメディアでの自身のプロフィール(現在は削除されています)によると、Armand は Web 開発と IT に高いスキルを持っているとしています。また、オンラインロールプレイングゲーム『イブオンライン(EVE Online)』のファンでもあるようです。

成人後の Armand は、写真スタジオ勤務や化粧品会社の営業マネージャーなど職を転々とします。その一方、自分の技術スキルを正規の仕事に活かすことも考え、オンラインの出会い系サイトや、アブハジアの物件を扱う不動産業の Web サイトなども計画しましたが、どちらも実現までには至りませんでした。2013 年の時点で、Armand はロシアの教会で働いていたようです。

Armand の初期のサイバー犯罪歴
2007 年以前に、Armand はすでに詐欺行為に関与していたらしく、これはオーストラリアのユーザーの銀行口座情報を狙ったものでした。このとき Armand はサイバー犯罪を手掛ける技術を持っていたようですが、さらに大掛かりな金融詐欺を仕掛けるには、まだスキルが不足していました。

2007 年、Armand はサイバー犯罪フォーラムのアカウントを取得し、セキュリティで保護されていない Wi-Fi 接続を通じて個人情報を盗み出す方法を他のユーザーに尋ねています。フォーラムでは、Armand の未熟さをほのめかしつつ、その手の情報ならインターネット上を検索してもっと勉強すべきだという回答がありました。

その年の終わり頃、Armand はこのフォーラム上で「新鮮な情報」を謳い文句に、盗み出した個人情報を 2.5 米ドルで売り始めます。その間も、チャットアカウントを乗っ取る方法など、さまざまな攻撃手法についてアドバイスを求める投稿を続けていました。

2008 年になると、リモートアクセス型のトロイの木馬を使って、侵入したコンピュータから情報の収集を始めます。当時流行していたトロイの木馬 Pinch とその協力者に暗号化サービスを依頼し、マルウェアを秘匿して他のプログラムに紛れ込ませようとしました。Armand が、さらに儲けをあげるべく米国と英国のユーザーを標的にし始めたのも、同じ年のことです。

共犯者
2009 年の初頭、Armand はサイバー犯罪フォーラムでそれぞれ「Tojava」、「JoTalbot」、「DarkMessiah」と名乗る 3 人の人物と共犯関係にあるという証拠が見つかりました。この組織にはほかにも関与していた人物がいるかもしれませんが、このグループの中心は明らかにこの 4 人です。4 人はマルウェアベースの検索エンジン最適化、ペイパークリック攻撃など、膨大なサイバー犯罪行為を実行したほか、乗っ取ったチャットアカウント、ボットネットトラフィック、個人情報や銀行口座情報なども売買していました。Armand と Tojava の関係が、SSNDOB の成立に大きく関わっています。Tojava は、Armand をサイバー犯罪とカード詐欺の世界に引きずり込んだ張本人と目されています。検索エンジンや社会保障番号のクエリースクリプトなど、SSNDOB の技術機能の多くは Tojava が作ったものとシマンテックは考えています。

この前後に、Armand は「大規模な FTP サイト」へのアクセス方法を「発見」し、何社かの旅行代理店の Web サイトに出入りできるようになったと述べています。そうしたアクセス権を最大限に活用する方法についても、Armand はフォーラムでアドバイスを求めていました。2 カ月後、Armand は 75,000 件から 85,000 件ものロシアの期限切れパスポートのデータベースを、FTP サイトまたはアカウントと、侵入したサーバーへの「アクセス権」とともに販売するという広告を掲載しています。Cyclosa グループが大々的に企業に侵入した最初のきっかけが、このデータベースだったようです。

SSNDOB の誕生
旅行代理店に侵入した直後、Armand と Tojava はオンラインの個人情報売買サイトを開設する意図を示し、カード決済をチェックして処理するツールも検討し始めました。それと同時に、2 人は Cyclosa グループの攻撃機能についても強化を続け、警察でさえ検知できないほど徹底的にハードディスクの内容をワイプ(消去)するマルウェアを開発したり、米国と英国で大量のボットネットトラフィックを取得したりといった活動に取り組んでいます。

この年の終わり頃、Armand は SSNDOB の最初のドメインを取得しますが、その登録に本名(フルネーム)と実際の電話番号を使っていたのは、不思議としか言いようがありません。2010 年に入って、SSNDOB は正式に業務を開始します。0.5 ~ 2.5 米ドルで個人情報を販売したほか、クレジットカード情報や身元調査情報も 5 ~ 15 米ドルで提供していました。

データ侵害
SSNDOB の在庫を維持するために、Cyclosa グループは企業を攻撃して個人情報のデータベースを盗み出し続ける必要がありました。クレブス氏のレポートに記載されている大々的なデータ侵害のほかにも、シマンテックは Cyclosa グループが多くの企業に侵入したことを確認しています。2012 年 5 月には、Cyclosa グループは米国に拠点を置く信用組合に侵入し、その数カ月後には、米国カリフォルニア州の銀行と、グルジアの政府機関にも侵入しています。グルジアの政府機関に米国や英国のユーザーに関する情報がそれほど多く記録されているとは思えませんが、Armand の経歴からすると、この攻撃には Cyclosa グループの個人的な意図があったとも考えられます。

正体を現した SSNDOB
2013 年 3 月、SSNDOB はついに失策を犯しました。それを最初に伝えたのが、情報売買サイトに関するクレブス氏の調査報告です。クレブス氏がこれを報じた 3 日後、Armand はヨーロッパのソーシャルネットワークサイト VK からプロフィールを削除しています。

にもかかわらず、Cyclosa グループがその活動を停止することはありませんでした。SSNDOB のために新しいドメイン名を取得し続け、英国に拠点を持つナイジェリアの金融機関の従業員のコンピュータにも侵入しています。2013 年を通じて、Cyclosa グループは主要なデータブローカーやソフトウェア開発企業からデータを盗み出し続けました。2013 年にも活動がエスカレートし続けたことを考えると、Cyclosa グループの息の根が止まったとは言えないのかもしれません。

単独犯の時代から、組織化されたサイバー犯罪グループに至るまで、Armand が辿ってきた経歴を以下の図にまとめました。

cyclosa_infographic_past_to_present_v2.png

シマンテックの保護対策
シマンテックは、今回お伝えした攻撃から保護するために、以下の保護対策を提供しています。

ウイルス対策

侵入防止システム

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Cyclosa, el Grupo Detrás de los Mayores Robos de Datos en 2013

El año pasado, el reportero en temas de seguridad Brian Krebs, descubrió que un grupo de criminales logró comprometer a varias compañías, robar información sensible de sus clientes y vender los datos a través de una tienda clandestina de identidades en línea, conocida como SSNDOB. Los atacantes irrumpieron en las redes de importantes negocios que agregan y usan datos de clientes y empresas, así como a una compañía desarrolladora de software. Krebs dio a conocer que los ladrones pusieron a la venta la información robada en SSNDOB, permitiendo así que sus clientes pudieran adquirir datos confidenciales de diversos ciudadanos de los Estados Unidos y el Reino Unido.

Symantec investigó los ataques que llevó a cabo la banda responsable de SSNDOB, a quienes denominamos como grupo Cyclosa. Durante las investigaciones, localizamos a uno de los dueños de este servicio, quien en varios foros en línea se identifica como Armand Arturovich Ayakimyan, un hombre de 24 años, originario de la República de Abjasia. Al adentrarnos en el caso, aprendimos cómo este individuo comenzó a visitar un foro de crimen cibernético buscando información para poder llevar a cabo una operación masiva de ataques para el robo de identidades. Además, Symantec encontró que el grupo Cyclosa también accedió a varias firmas, incluyendo una agencia del gobierno de Georgia, una institución de crédito y un banco.

¿Quién es Armand?

Armand nació el 27 de agosto de 1989 en la República de Abjasia, un territorio ubicado en la vertiente suroccidental de la cordillera del Cáucaso que colinda con Rusia y Georgia. Abjasia y otras regiones sufrieron distintos conflictos de 1991 a 1993. Uno de ellos fue la disputa territorial con Georgia, buscando su independencia, conocido como la Guerra de Abjasia, (de 1992 a 1993). De acuerdo con nuestra investigación, se mudó de Sujumi, capital de Abjasia, a la ciudad de Sochi en Rusia, justo antes de lanzar la tienda SSNDOB.

Uno de los perfiles de Armand en las redes sociales, mismo que ha sido eliminado, menciona que tiene conocimientos en desarrollo Web y TI. También se declara fanático del juego de roles en línea llamado EVE Online.

Pareciera que Armand tuvo pocos movimientos durante su carrera profesional. Colaboró en un estudio fotográfico y fue gerente de ventas para una compañía de cosméticos. Además consideró utilizar sus conocimientos técnicos para trabajos legítimos, ya que escribió sobre la posible creación de un sitio de citas en línea y una página web de bienes raíces para comercializar propiedades en Abjasia. Sin embargo, ninguno de estos proyectos se hizo realidad. En 2013 parecía que Armand trabajaba para una iglesia en Rusia.

Los inicios de Armand en el cibercrimen

Antes de 2007, Armand pudo haber estado involucrado en un fraude enfocado en el robo de datos financieros de ciudadanos australianos. Comenzaba a mostrar sus habilidades en el cibercrimen, pero todavía tenía mucho que aprender para ejecutar fraudes de mayor dimensión.

En 2007 se registró en un foro de cibercrimen y solicitó consejo a otros usuarios sobre el robo de datos de personas a través de conexiones inseguras WiFi. Otro usuario le comentó que utilizara un buscador para investigar más sobre el tema, sugiriendo que Armand todavía tenía mucho que aprender.

Hacia finales de ese año, ya había comenzado a vender información robada, ofreciendo en dichos foros “reportes actualizados” a un precio de $2.50 dólares. Continuó solicitando consejos sobre varios métodos de ataque, así como posibles maneras de secuestrar cuentas de chats.

En 2008 comenzó a experimentar el uso de Troyanos de acceso remoto para obtener información de las computadoras afectadas. Además solicitó servicios de encriptación de datos para el famoso Troyano Pinch mediante un archivo adjunto que permitía ocultar el malware y ligarlo con otros programas. Durante ese año, Armand comenzó a atacar ciudadanos de los Estados Unidos y el Reino Unido, esperando obtener más dinero durante el proceso.

Sus cómplices

A principios de 2009, se encontró evidencia de la asociación de Armand con otras tres personas que utilizaban los pseudónimos “Tojava”, “JoTalbot” y “DarkMessiah” en los foros de cibercrimen. Es posible que hubiera más actores involucrados con la organización, pero estos cuatro individuos fueron identificados como los principales responsables del grupo. Los cuatro llevaron a cabo diversos actos de cibercrimen, como la optimización de motores de búsqueda basada en malware y esquemas de pago-por-click. Además adquirieron y vendieron cuentas de chat secuestradas, robots informáticos, así como información personal y financiera. La relación de Armand con Tojava fue clave para la creación de SSNDOB. Tojava fue el responsable de introducir a Armand al mundo del cibercrimen y los fraudes con tarjetas. Creemos que Tojava desarrolló muchas de las características técnicas de SSNDOB, como su motor de búsqueda y scripts que recopilaban números de seguridad social.

Durante esta etapa, Armand mencionó que había encontrado el ingreso a un “gran sitio FTP”, que le brindó un punto de acceso a los sitios web de varias agencias de viaje. Consultó a otros miembros del foro para saber cómo aprovechar al máximo este acceso. Dos meses después puso a la venta una base de datos de 75,000 a 85,000 pasaportes rusos vencidos, así como el acceso FTP, las cuentas y los “derechos” para ingresar a un servidor. Ésta pudo haber sido la primera brecha de seguridad de gran dimensión que logró Cyclosa.

La creación de SSNDOB

Poco tiempo después de haber comprometido a las agencias de viaje, Armand y Tojava mostraron interés en abrir una tienda en línea para vender identidades robadas y buscar más herramientas para revisar y procesar pagos con tarjetas de crédito. Junto con esto, ambos continuaron afinando la capacidad de ataque de Cyclosa, buscando malware que pudiera borrar a fondo los discos duros para no dejar evidencia alguna a las autoridades, así como alcanzar mayor volumen de tráfico a través de botnets en los Estados Unidos y el Reino Unido.

A finales de ese año, Armand registró el primer dominio de SSNDOB utilizando únicamente su nombre real, apellido y número telefónico. A principios de 2010 SSNDOB fue oficialmente abierta al público. La tienda vendió archivos con información personal con un precio que iba de $0.50 a $2.50 dólares y ofrecía datos crediticios y revisión de antecedentes a un costo de $5.00 a $15.00 dólares.

Las brechas de seguridad

Para mantener el inventario de la tienda, el grupo Cyclosa siguió atacando a compañías en busca de bases de datos con información personal. Además de las brechas que mencionó el reporte de Kreb, Symantec encontró que este grupo comprometió a diversas empresas. En mayo de 2012, Cyclosa atacó una unión crediticia con base en los Estados Unidos. Pocos meses después comprometieron a un banco con sede en California y a una agencia del gobierno de Georgia. Aunque esta agencia no contaba con información acerca de ciudadanos americanos y del Reino Unido, es posible que dicho ataque fuera de interés personal para Cyclosa, tomando en cuenta los antecedentes de Armand.

Revelan a SSNDOB

En marzo de 2013, SSNDOB tuvo su primer traspié cuando Kreb expuso a la tienda en un reporte de investigación. Tres días después de que Kreb presentó el artículo, Armand borró su perfil de la red social europea llamada VK.

Sin embargo, el grupo no dio marcha atrás. Registraron un nuevo domino para SSNDOB y comprometieron la computadora de un empleado de una institución financiera nigeriana con presencia en el Reino Unido. A lo largo de 2013 la banda robó información de varios agentes de datos así como de una compañía desarrolladora de software. Tomando en cuenta cómo estos criminales continuaron incrementado sus actividades en 2013, es muy posible que esta no sea la última vez que escuchemos acerca de Cyclosa.

La siguiente infografía muestra el camino de Armand, desde que inició operaciones de manera individual hasta que formó una banda organizada especializada en el cibercrimen.

cyclosa_infographic_past_to_present_v2[2].png

Protección de Symantec

Symantec cuenta con protección para los ataques mencionados en este documento:

AV

IPS

Meet Cyclosa, the Gang Behind 2013’s Biggest Data Thefts

Last year, security reporter Brian Krebs discovered that a group of attackers managed to compromise multiple companies, steal sensitive customer data and sell the details through an online identity theft store known as SSNDOB. The attackers broke into the networks of a number of major consumer and business data aggregators as well as a software development firm. Krebs revealed that the attackers then put the stolen data for sale on SSNDOB, allowing their customers to buy personal details belonging to US and UK citizens.

Symantec looked into the attacks conducted by the group behind SSNDOB, who we call the Cyclosa gang. During our investigations, we managed to identify one of the owners of the service who claims in online forums to be Armand Arturovich Ayakimyan, a 24-year-old man from Abkhazia. As we looked further into this case, we learned how he started as a visitor to a cybercrime forum looking for information on how to conduct attacks to operating a major identity theft operation. Not only that, but Symantec also found that the Cyclosa gang breached a number of other firms, including a Georgian government agency, a credit union and a bank.

Who is Armand?
Armand was born on August 27, 1989 in Abkhazia, a disputed territory in the Caucasus that borders Russia and Georgia. Both Abkhazia and a number of other regions nearby were beset with conflicts between 1991 and 1993. One conflict was the War in Abkhazia from 1992 to 1993, a dispute involving Abkhazia and Georgia over the region’s independence. According to our research, Armand moved from the capital of Abkhazia, Sukhumi, to the nearby Russian city of Sochi in early 2010 just before launching SSNDOB.

On one of Armand’s social media profiles, which has since been deleted, he says he is skilled in Web development and IT. He also appears to be a fan of the online role player game EVE Online.

Armand appears to have made a few career moves throughout his adult life, including working in a photo studio and becoming a sales manager for a cosmetics firm. He also considered using his technical skills for legitimate work, as he discussed creating an online dating service and a real estate website for properties in Abkhazia. However, neither of these services became a reality. In 2013, Armand appeared to be working at a church in Russia.

Armand’s early cybercrime life
Before 2007, Armand may have been involved in fraud, targeting Australian citizens’ financial details. While Armand appeared to have some abilities to conduct cybercrime, he still needed to learn more to run bigger financial scams.  

In 2007, he registered an account on a cybercrime forum and asked other users for advice on how to steal people’s data through their unsecured WiFi connection. Another user told him to use a search engine to do more research on the matter, suggesting that Armand still had a lot to learn.

Towards the end of that year, Armand had started to sell stolen information, offering “fresh reports” on these forums for US$2.50. He continued to seek advice on a number of attack methods, such as how to hijack chat accounts.

In 2008, he began to explore the use of remote access Trojans to obtain information from compromised computers. He requested encryption services for the popular Pinch Trojan along with a joiner, which would allow him to hide the malware and bundle it with other programs. During this year, Armand began to target US and UK citizens, hoping to make more money in the process.

Partners in crime
At the start of 2009, evidence emerged of Armand’s partnership with three other people who used the handles “Tojava”, “JoTalbot” and “DarkMessiah” on cybercrime forums. There may be other players involved with this organization but these four individuals appear to be the main actors in this group. The four of them carried out numerous acts of cybercrime, such as conducting malware-based search engine optimization and pay-per-click schemes. They also bought and sold hijacked chat accounts, botnet traffic, and personal and financial information. Armand’s relationship with Tojava was vital for the formation of SSNDOB. Tojava was allegedly responsible for introducing Armand to the world of cybercrime and carding. We believe that Tojava created many of SSNDOB’s technical features, such as its search engine and its social security number query scripts.

Around this time, Armand said that he “found” access to a “large FTP site,” giving him a point of entry to several travel agencies’ websites. He asked other forum members for advice on how to make the most of this access. Two months later, Armand advertised the sale of a database of 75,000 to 85,000 expired Russian passports, along with FTP space or accounts and the “rights” to a compromised server. This may have been the Cyclosa gang’s first major breach of a company.

Establishing SSNDOB
Soon after the breach of the travel agencies, Armand and Tojava were seen expressing interest in opening an online identity theft store and seeking tools to check and process card payments. Along with this, the pair continued to update the Cyclosa gang’s attack capabilities, seeking malware that could wipe hard drives thoroughly enough to avoid police detection and looking into getting high volumes of US and UK botnet traffic.

By the end of the year, Armand registered SSNDOB’s first domain using, oddly enough, his real first and last name and his phone number. At the start of 2010, SSNDOB was officially open for business. It sold personal data records from US$0.50 to US$2.50 and offered credit and background checks from US$5 to US$15.

The breaches
To keep their store stocked, the Cyclosa gang had to continue to attack companies for their databases of personal data. Along with the major breaches covered in Krebs’ report, Symantec found that the Cyclosa gang compromised a number of other firms. In May 2012, the Cyclosa gang breached a US-based credit union. A few months later, they compromised a bank based in California, USA, and a Georgian government agency. While the Georgian agency may not have a lot of information pertaining to US and UK citizens, it’s possible that this attack was of personal interest to the Cyclosa gang, considering Armand’s background.

SSNDOB revealed
In March 2013, SSNDOB had a setback, as Krebs first exposed the store in an investigative report. Three days after Krebs released the article, Armand deleted his profile on European social network VK.

However, despite this, the Cyclosa gang did not stop their activities. They went on to register a new domain name for SSNDOB and compromised an employee’s computer at a Nigerian financial institution with a presence in the UK. Throughout 2013, the Cyclosa gang stole data from major data brokers, along with a software development company. Considering how the attackers’ continued to escalate their activities in 2013, this may not be the last we hear of the Cyclosa gang.

The following infographic charts the path Armand made, taking him from a one man operation to an organized cybercrime gang.

cyclosa_infographic_past_to_present_v2.png

Symantec protection
Symantec has the following protections in place for the attacks mentioned in this blog:

AV

IPS