همونطور که در خبرهای قبلی منتشر کرده بودیم، مجریان قانون از 11 کشور مختلف ، طی یک عملیات مشترک بنام Operation Cronos ، موجب اختلال در زیرساخت های گروه باج افزاری لاک بیت شدن و در ادامه دو نفر رو در لهستان و اوکراین دستگیر، سه حکم بازداشت بین المللی و 5 کیفرخواست علیه سایر عوامل این باند باج افزاری صادر کردن و همچنین یه رمزگشا هم توسعه دادن. در ادامه هم که ترندمیکرو یه نسخه در حال توسعه از باج افزار لاک بیت رو آنالیز و منتشر کرد.
اما با همه ی این کارها ، لاک بیت خودش جمع و جور کرده و دوباره برگشته و یه بیانیه نسبت به اتفاقات اخیر منتشر کرده که در این پست بررسیش میکنیم.
در 19 فوریه، دو تا از سرورهای لاک بیت مورد نفوذ قرار گرفته (لاک بیت این حمله رو بعنوان تست نفوذ معرفی کرده) و در ساعت 6:39 ، با خطای 502 Bad Gateway مواجه شده. اومده Nginx ریستارت کرده اما جواب نگرفته. mysql ریستارت کرده و دوباره تاثیری نداشته. در ادامه اومده PHP رو ریستارت کرده و سایت بالا اومده. لاک بیت میگه خیلی توجه به این قضیه نکردم چون 5 سال شنا تو پول خیلی تنبلم کرده بود و به تفریح و حال کردن روی قایق ادامه دادم.
ساعت 20:47 دقیقه یک خطای جدید گرفته، Not Found nginx 404 و برای حل خواسته با SSH وارد سرور بشه که نتونسته چون پسورد درست نبوده. که البته بعدا مشخص شده که همه چیز روی سرور پاک شده.
بدلیل سهل انگاری و بی مسئولیتی ، PHP رو بموقع آپدیت نکرده و چون روی سرورها PHP 8.1.2 نصب بوده، از طریق CVE-2023-3824 نفوذ انجام شده و مجریان قانون تونستن به دو سرور که این نسخه از PHP روش نصب بوده، نفوذ کنن.
لاک بیت میگه که احتمالا این CVE نبوده و برای نفوذ از یه 0Day در PHP استفاده شده و در ادامه هم گفته که این رو هم نمیتونه 100 بگه چون روی سرورهاش یه نسخه آسیب پذیر از PHP نصب شده و احتمال رو روی همین آسیب پذیری گذاشته. بنابراین نفوذ به سرورهای پنل مدیریت، چت قربانیان و سرور وبلاگ از این طریق انجام شده. سرور جدید روی نسخه ی PHP 8.3.3 در حال کار هستش. لاک بیت گفته اگه کسی یک CVE روی این نسخه می شناسه به من اطلاع بده و جایزه اش رو بگیره.
لاک بیت گفته که این قضیه فقط اونو تحت تاثیر قرار نداده. هر کسی که از PHP آسیب پذیر استفاده میکنه تحت تاثیر این CVE هستش. در ادامه هم گفته که خیلی از رقبا ممکنه از این طریق هک شده باشن و من مطمئن هستم که اونا هنوز متوجه این قضیه هم نشدن. همچنین یسری فروم هم از این طریق هک شدن ، این به این دلیل نمیگم که من هک شدم، بلکه براساس یسری اطلاعاتی که بدست آوردم.
لاک بیت گفته که تصادفی متوجه مشکل PHP شده و تنها کسی هستش که زیرساخت غیر متمرکز با سرورهای مختلف داره، بنابراین به سرعت متوجه چگونگی حمله شده. اگه سرورهای پشتیبانی که PHP روشون نبود، نبودن ، احتمالا متوجه این حمله نمی شده.
لاک بیت گفته، FBI فقط به یک دلیل مارو هک کرده و اون جلوگیری از افشای اطلاعات fultoncountyga.gov هستش که شامل اسناد دزدیده شده حاوی چیزهای جالب و پرونده های قضایی ترامپ هستش که میتونه روی انتخابات آینده آمریکا تاثیر بزاره. من شخصا به ترامپ رای میدم چون وضعیت در مرز مکزیک به نوعی کابوس هستش و بایدن باید بازنشسته بشه چون مثله یه عروسک خیمه شب بازی هستش.
اگه حمله ی FBI نبود، این اسناد قرار بود همون روز منتشر بشه، چون مذاکره متوقف شده بود و افلیت این رو در وبلاگ اعلام کرده بود، اما FBI دوست نداشت مردم دلیل واقعی خرابی همه ی سیستم های این شهر بدونن. اگه وضعیت انتخابات نبود، FBI روی سرورهای من مینشست و منتظر سرنخی بود تا بتونه من و همکارامو دستگیر کنه، اما تنها کاری که باید انجام بدید تا گرفتار نشید، فقط شستن ارزهای دیجیتال با کیفیت بالا هستش. FBI میتونه روی منابع شما بشینه و اطلاعات مفید برای خودش رو جمع آوری کنه اما به دنیا هم نشون نده که شما هک شدید.
لاک بیت گفته از این وضعیت چه نتیجه ای میشه گرفت؟ خیلی ساده، اینکه من باید بیشتر و بیشتر به دامنه های gov حمله کنم ، بعد چنین حملاتی هستش که FBI مجبوره نقاط آسیب پذیر من رو به من نشون بده و من رو قوی تر کنه. با حمله به gov میتونیم دقیقا بدونیم که آیا FBI میتونه به ما حمله کنه یا نه؟
حتی اگه بعد از خوندن این مطلب ، نسخه ی PHP رو بروز کنید، کافی نیست چون باید همه ی پسوردهای هاست، سرور، کاربر دیتابیس رو تغییر بدید، سورس کدهاتون رو بررسی کنید . هیچ تضمینی وجود نداره که سرورتون امن شده باشه. هیچ تضمینی وجود نداره که FBI برای سرورهایی که الان اطلاعات بیشتری در خصوصشون میدونه، 0Day نداشته باشه، بنابراین تعویض کامل همه چیز میتونه کمک کنه.
در نتیجه هک سرورها، FBI تونسته به یک دیتابیس، سورس کد پنل وب، locker stubها که البته اونطور که ادعا کردن، سورس کد نبوده، همچنین بخش کوچکی از رمزگشاها که محافظت نشده بودن ، دسترسی پیدا کرده. البته ادعا کردن که این رمزگشاها 1000 مورد بوده، اما تقریبا 20هزار رمزگشا روی سرور وجود داشته که اکثرشون محافظت شده بودن و در نتیجه FBI نتونسته به اونا دسترسی داشته باشه. همچنین لاک بیت گفته اسامی افلیت هایی هم که پیدا کردن، ربطی به نام مستعار اونا در فرومها و حتی پیامرسانها نداره. چت هایی هم که با شرکتهای قربانی پیدا کردن و توشون آدرس کیف پول وجود داشته ، بررسی میشن و اگه کسی در پولشویی مرتبط با این کیف پولها شناسایی بشه، اونارو رو همکار ما معرفی میکنن که اینطور نیست. هیچ کدوم از این اطلاعات ارزشی رو ندارن چون بعد از هر معامله ، از طریق نمایندگان یا مذاکره کنندگان، بدون هک پنل به FBI ، هم داده میشه. (قربانی ها اگه باج رو پرداخت کنن باید FBI رو در جریان بزارن)
تنها چیزی که میتونه یه تهدید بالقوه باشه، سورس کد پنل هستش ، چون اگه به همه اجازه ورود بدیم، احتمال هک شدنش زیاد میشه، اما اکنون پنل به سرورهای زیادی توزیع شده، برای شرکای تایید شده و افراد تصادفی، یک پنل برای یک شریک در یک سرور جداگانه، قبلا برای همه فقط یک پنل وجود داشت. با توجه به جدا بودن پنل و غیرمتمرکز بودنش، عدم وجود رمزگشاهای تستی، حفاظت حداکثری از رمزگشاها برای هر شرکت، احتمال هک شدن به میزان قابل توجهی کاهش پیدا میکنه. هموطنور که لو رفتن کد منبع پنل تاثیری روی فعالیت رقبا نداشته، بنابراین من رو هم متوقف نمیکنه.
FBI گفته که 1000 رمزگشا بدست آورده ، رقم خوبیه اما واقعی نیست. اونا رمزگشاهایی رو بدست آوردن که موقع ساخت locker ، تیک چک باکس maximum decryptor protection زده نشده باشه و مربوطه به 30 روز گذشته هستش. مشخص نیست FBI چه روزی به سرورها دسترسی داشته، اما با توجه به تاریخ انتشار CVE و تاریخی که خطای PHP رو دریافت کردم، میدونیم که قبل از 19 فوریه بوده. قبل از فوریه شرکتهایی که بهشون حمله کردیم، بطور مرتب باج رو پرداخت میکردن حتی برای رمزگشاهای محافظت نشده، بنابراین میشه نتیجه گرفت که FBI فقط یک روز روی سرورهای ما بوده. اگه FBI همه ی رمزگشاهارو در اختیار عموم قرار میداد خوب بود و میشد به اونا اعتماد کرد و اونا رو مالک همه ی رمزگشاها دونست نه اینکه بلوف بزنن و از خودشون برای تست نفوذ یه CVE عمومی تعریف کنن.
توجه داشته باشید که اغلب رمزگشاهای محافظت نشده از افلیت هایی هستن که از طریق بروت فورس و اسپم رمزگذاری میکنن و 2000 دلار باج میگیرن، یعنی اگه حتی FBI واقعا به 1000 رمزگشا هم دسترسی داشته باشه که چنین نیست، تاثیر زیادی نداشته. نکته اصلی اینه که اونا همه ی رمزگشاها رو برای 5 سال فعالیت که حدود 40هزار تا بوده، دریافت نکردن . FBI فقط به 2.5 درصد همه ی رمزگشاها دسترسی داشته، این بده اما کشنده نیست.
لاک بیت گفته این کار FBI باعث شده من تنبلی رو بزارم کنار و کاری کنم که همه ی بیلدها از این پس دارای رمزگشای محافظت شده باشن و در حمله ی بعدی احتمالی ، FBI نتونه رمزگشاهارو بصورت رایگان دریافت کنه.
لاک بیت به تغییر ظاهر بلاگشون هم اشاره کرده و گفته FBI خیلی خوب این تغییر انجام داده ، تا الان به هیشکی چنین افتخاری داده نشده بود و این افتخار فقط مستحق یه نفر در دنیا بوده که با یه CVE عمومی به سایت ما نفوذ کرده و من نمیدونم چقدر دستمزد گرفته اما اگه کمتر از یک میلیون دلار بوده پس بیاد با من کار کنه، چون با من بیشتر از اینها میتونه درآمد داشته باشه. مثله همیشه ما یه برنامه باگ بانتی فعال داریم. FBI قدردان زحمات شما نیست ولی من میدونم شما چه کارهایی میتونید انجام بدید و سخاوتمند هستم.
من در تعجم که چرا صفحات Alpha ،Revil و Hive به این زیبایی طراحی نشده بوذن. چرا اسامی روسای اونا منتشر نشد در صورتیکه FBI هویت اونارو میدونست. عجیبه ؟نه؟ چون با این روشهای احمقانه ، FBI میخواد من بترسونه و من مجبور کنه تا فعالیتهام رو متوقف کنم. طراح FBI باید برا من کار کنه، شما سلیقه خوبی داری، من مخصوصا از Preloader جدید خیلی خوشم اومد، در نسخه جدید باید یه همچین چیزی بسازم، آمریکا، انگلستان و اروپا دور لوگوی من میچرخن. ایده خوبی بود به من حس بسیار خوبی داد.ممنونم.
چند نفر از شرکای ما دستگیر شدن، من فکر میکنم اونا افراد مرتبط با پولشویی بودن. FBI با دستگیری افراد تصادفی میخواد شایستگی خودش رو نشون بده، اینکه الکی پول نمیگیرن، مالیات رو حیف و میل نمیکنن و افراد تصادفی رو زندانی میکنن و خلافکارهای اصلی بی سروصدا به کارشون ادامه میدن. Bassterlord دستگیر نشده، من نام واقعی Bassterlord رو میدونم و اون مرد بیچاره ای که دستگیر کردن، Bassterlord نیست.
من هیچ روزنامه نگاری از Sevastopol Colonel Cassad رو نمیشناسم و هرگز به کسی کمک مالی نکردم. FBI این معامله رو منتشر کنه تا بلاکچین رو بررسی کنم ببینم این کمک رو چطوری ادعا کردن. من هیچ تراکنشی با میکسر بلاکچین انجام نمیدم.
اگه من با همون صرافی ارزهای دیجتالی که یه نفر از Evil Corp باهاش کار کرده، تراکنشی داشتم به معنی ارتباط من با Evil Corp نیست. چرا دوباره تراکنشی وجود نداره یا من از کجا بدونم کی با کجا کار میکنه. من با صرافی های مختلف کار میکنم و همه ی پولم رو روی یه صرافی متمرکز نمیکنم. بیایید صدها هزار نفری که از صرافی هایی که Evil Corp استفاده میکنن رو سرزنش کنیم.
شما میتونید بدون اینکه چیزی رو ثابت کنید من رو متهم کنید و من نمیتونم اونرو رد کنم، اما هیچ تراکنش و کیف پول بیت کوینی وجود نداره.
FBI اعلام کرده که درآمد من بیشتر از 100 میلیون دلار هستش و این درسته. من خوشحالم که مذاکراتم با پرداختهای بالا رو حذف کردم و الان باید بیشتر پرداختهای کم رو هم باید حذف کنم. این اعداد نشون میده که من در مسیر درستی هستم و اگه اشتباه هم بکنم باید برگردم و اشتباهم رو درست کنم و به پول درآوردن ادامه بدم. این نشون میده که هک FBI نمیتونه مانع از کسب درآمد من بشه، زیرا چیزی که من نکشه من قویتر میکنه.
همه ی اقدامات FBI ،تخریب برنامه وابسته و تضعیف روحیه من هستش. اونا میخوان من بترسونن ، چون نمیتونن من رو پیدا و حذف کنن. نمیتونن من متوقف کنن ، حتی نمیشه به اینکارها امیدوارم هم بود. من تا وقتی زنده هستم به تست نفوذ پس پرداخت ادامه میدم.
من خیلی خوشحالم که FBI به من روحیه و انگیزه و انرژی داده و باعث شده از سرگرمی و پول خرج کردن دور بشم، نشستن پشت سیستم با صدها میلیون دلاره سخته، تنها چیزی که به من انگیزه میده داشتن رقبای قوی و FBI هستش. با رقبایی که حملات زیادی انجام میدن و پول زیادی به جیب میزنن و FBI که آیا میتونه من پیدا کنه یا نه، که البته با کارهایی که میکنن مشخصه نمیتونن.
Lockbit همچنین، به یسری دروغ در خصوص فعالیتهاش هم اشاره کرده از جمله اینکه، اطلاعاتی که از شرکتها استخراج کردن رو بعد از پرداخت باج ، حذف نمیکنه، یا اینکه با FBI همکاری داره. اینکه کسی باور کنه که یه فردی روزانه شرکتهای آمریکایی رو رمز میکنه و صدها میلیون دلار به جیب میزنه و همه ی این کارهارو با تایید FBI انجام میده، احمقانه هستش.
فکر میکنید برا چی من برای صدها میلیون دلار کار میکنم؟ جوابش اینه که من حوصله ام سر میره، من کارم دوست دارم، کارم برام در زندگی شادی بخشه ، چیزی که ثروت و تجمل نداره. برا همینه که حاضرم جونم برای کارم به خطر بندازم. زندگی باید هوشمند، غنی و خطرناک باشه.
لاک بیت در ادامه گفته، منظورم از FBI همه ی افرادی بودن که در این عملیات حضور داشتن. من شما رو فراموش نکردم ، شما هم در این عملیات خیلی کمک کردید. اما فکر میکنم تنها کسی که شایسته تجلیل و دریافت جایزه هستش، شخصیه که تونسته یه CVE عمومی رو در سرورهای ما پیدا کنه و من فک میکنم اون فردی از Prodaft هستش.
در نهایت لاک بیت دوباره اشاره به ادامه فعالیتهاش کرده و گفته که شرکتهایی که باج ندادن، داده هاشون منتشر میشه .
در آخر هم نوشته که علت اینکه اصلاح 4 روز طول کشیده این بوده که به دلیل ناسازگاری مجبور بوده یسری تغییرات در سورس PHP بده.