黑客攻破华盛顿警方66％的摄像头传播勒索软件

一名罗马尼亚男子和女子被指控入侵美国首都华盛顿警方部署的户外监控系统，传播勒索软件 Cerber。这两名嫌疑人名为 Mihai Alexandru Isvanca 和Eveine Cismaru，都是罗马尼亚公民，上周由罗马尼亚当局在“Bakovia 行动”中逮捕。该行动还逮捕了传播带有 CTB-Locker 和 Cerber 勒索软件的垃圾邮件的其他五名人员。

黑客攻破66%的华盛顿警方 CCTV 摄像头

从美国特勤局提供的口供来看，这两名嫌疑人被指入侵了123个部署在华盛顿哥伦比亚特区警视厅 (MPDC) 闭路 TV 系统的安全摄像头（共187个），该系统供华盛顿警方监视华盛顿市的公共空间情况。

这些安全摄像头都是由“安装在跟摄像头紧挨着的专门计算机”控制的，而且计算机和 MPDC 网络联网。美国调查人员指出， Isvanca 和 Cismaru 将访问权限从安全摄像头提升至紧挨着的计算机。这两名嫌疑人据称通过 RDP 登录并开启多款应用将垃圾邮件发送给受害者。

这两名嫌疑人应该是在1月9日攻破了 MPDC 摄像头和计算机。华盛顿警方在1月12日发现入侵进项并持续四天关闭系统，于1月15日清理并加固警方网络的安全性。警方对华盛顿整个 CCTV 系统的关闭发生在举行美国总统特朗普就职典礼的两周前，引发美国媒体的骚动，因为很多人最开始认为这是外国国家黑客所为。

被黑计算机中包含一些证据

被指派调查此次黑客事件的美国特勤局特工拿走了三台遭攻陷的 MPDC 计算机以供后续分析。

调查人员表示从中发现了一起活跃感染和运行在其中一台计算机上的一些 app。他们从中发现的最重要线索是以 David Andrew (david.andrew2005@gmail.com) 名义注册的一个 SendGrid 账户的一个活跃浏览器会话。这个 SendGrid 账户用于向被攻陷计算机上一个文件名为 “US.txt” 的文件中包含的 179,616 个邮件地址发送垃圾邮件。

邮件账户跟其中一个嫌疑人有关

这个账户中的另外一份邮件还包含受 Cerber 勒索软件感染的计算机的多个 IP 地址、用户名和密码。一些IP地址被标记为 “ars”，在罗马尼亚语中意为“焚烧”，而被标记为 “aici（在罗马尼亚语中是“这里”的意思）” 的那个 IP 地址正是特勤局正在调查的被攻陷机器的 IP 地址。

调查人员查看 vand.suflete@gmail.com 的收件箱后发现了Cerber 勒索软件行动控制面板的一个链接。他们还发现了三封包含用于安装 Cerber 和 Dharma 勒索软件的邮件。这些文件也托管在遭攻陷的 MPDC 系统中。从口供来看，美国当局认为 Isvanca 是这三个邮件账户背后的黑手，而且这三个账户全部用于向受攻陷 WPDC 计算机发送数据。

IP地址跟Isvanca存在关联

另外，调查人员表示，Isvanca 使用 IP 地址 86.107.57.138 注册并访问自己的所有邮箱账户，而且还用这个 IP 入侵了英国一家医疗组织机构的网络。口供声称 Isvanca 使用这个医疗机构的服务器为勒索软件计划服务。

这个IP地址随后追踪到位于罗马尼亚首都布加勒斯特的一个罗马尼亚互联网服务提供商 Teen Telecom 的头上。这家提供商向美国当局提供了 Isvanca 的真实身份信息。

关联两个嫌疑人

美国当局毫不费力地找到了 Cismaru 的真实身份，因为她并未使用化名邮箱，而且她的收件箱中包含所有暴露自己行踪的信息，包括航班预定、机票、Airbnb 账户通信、英国司机的驾照应用等。

英国罗马尼亚也在寻找这两名嫌疑人

Isvanca 和 Cismaru 都是居住在英国伦敦的罗马尼亚人。他们在罗马尼亚被捕。一名消息人士表示，两人在试图离开罗马尼亚的布加勒斯特机场时被捕。罗马尼亚执法部门之前一直在就多项罪名起诉两人，但由于缺少证据而不得不放弃。

美国特勤局看似并未遇到罗马尼亚执法部门早于的问题。在口供中，调查人员将两名嫌疑人追踪到 Facebook 账户、YouTube 资料、护照号码、政府身份证号等。Isvanca 也在英国国家犯罪局的欺诈数据库中，他被“标记为‘可疑人员’，原因是他的订单地址和收货地址不一致。”口供还将 Isvanca 和 Cismanru 跟在线欺诈关联在一起。两人都交换了包含数千份信用卡详情的邮件。