本來(lái)不會(huì)被發(fā)現(xiàn)的,但Websense來(lái)了……
美國(guó)監(jiān)獄的5名囚犯用零部件湊出了2臺(tái)個(gè)人電腦,藏在盥洗室屋頂?shù)娜习搴竺妫缓筮B上了俄亥俄州恢復(fù)與矯正部(ODRC)的網(wǎng)絡(luò),搞了很多網(wǎng)絡(luò)欺詐活動(dòng)。老實(shí)說(shuō),這個(gè)消息很是令人震驚。
4月11日,俄亥俄州監(jiān)察長(zhǎng)辦公室發(fā)布了50頁(yè)的事件報(bào)告,并展開(kāi)了漫長(zhǎng)的調(diào)查。
ODRC的IT團(tuán)隊(duì)將馬里恩矯正所從微軟代理服務(wù)器遷移到Websense后,監(jiān)察長(zhǎng)才收到了關(guān)于此事的警報(bào)。此后不久,2015年7月3日,Websense郵件警報(bào)發(fā)到了ODRC運(yùn)營(yíng)支持中心(OSC)案頭,稱網(wǎng)絡(luò)中有一臺(tái)計(jì)算機(jī)的行為超出了日常互聯(lián)網(wǎng)使用閾值。進(jìn)一步的警報(bào)中,有7封是關(guān)于“黑客行為”的,59封關(guān)于“代理規(guī)避”,稱該用戶是在搞網(wǎng)絡(luò)惡作劇。
自此,搜查搗蛋鬼的行動(dòng)開(kāi)始了。一旦發(fā)現(xiàn)登錄憑證違法,ODRC的IT雇員就會(huì)通過(guò)定位其連接的網(wǎng)絡(luò)交換機(jī),來(lái)找出未授權(quán)的計(jì)算機(jī)。
事件報(bào)告便是在此搜查發(fā)現(xiàn)的基礎(chǔ)上產(chǎn)生的,包含在了監(jiān)察長(zhǎng)報(bào)告中,里面記敘道:
上述日子里我都在跟進(jìn)來(lái)自 OCS IT 部門的信息。我被告知,我們的網(wǎng)絡(luò)中有一臺(tái)PC被用于嘗試破解代理服務(wù)器。他們將搜索范圍縮小至P3交換機(jī),且該P(yáng)C是通過(guò)16端口與之連接的。沿著纜線,我順著交換機(jī)一路摸到了一件小訓(xùn)練室的盥洗室。拿開(kāi)天花板棚板,頂棚兩塊三合板上赫然藏著2臺(tái)PC。
這兩臺(tái)PC是囚犯用馬里恩矯正所RET3項(xiàng)目中收集來(lái)的零部件組裝的。RET3項(xiàng)目旨在通過(guò)讓囚犯拆卸回收老舊PC部件,來(lái)幫助囚犯恢復(fù)正常生活。
俄亥俄監(jiān)察長(zhǎng)完成的計(jì)算機(jī)取證分析揭示,該P(yáng)C用戶利用了他們對(duì)ODRC系統(tǒng)的權(quán)限,向囚犯頒發(fā)所內(nèi)多個(gè)區(qū)域的通信許可。他們還利用部門罪犯追蹤系統(tǒng)來(lái)盜取另一囚犯的個(gè)人信息,并以此成功申請(qǐng)了5張信用卡。
技術(shù)團(tuán)隊(duì)的鑒證分析則報(bào)告稱,發(fā)現(xiàn)了大型黑客工具包,內(nèi)含各種惡意攻擊工具。這些惡意工具包括:口令破解工具、VPN工具、網(wǎng)絡(luò)枚舉工具、自制軟件、大量代理工具,以及其他用于各類惡意活動(dòng)的軟件。
除此之外,鑒證團(tuán)隊(duì)還發(fā)現(xiàn)了自簽名證書、Pidgin聊天賬戶、Tor網(wǎng)站、Tor地理出口節(jié)點(diǎn)、以太軟件、虛擬電話、淫穢作品、視頻、VideoLan和其他各種各樣的軟件,愈加證明惡意活動(dòng)是在ODRC犯人網(wǎng)絡(luò)中展開(kāi)的。
他們報(bào)告稱:“犯人似乎利用了連接到部門網(wǎng)絡(luò)的代理機(jī)器來(lái)發(fā)起對(duì)ODRC網(wǎng)絡(luò)的攻擊。部門罪犯追蹤系統(tǒng)門戶遭到攻擊,犯人通信證被創(chuàng)建。比特幣錢包、Stripe賬戶、銀行賬戶、信用卡賬戶等等的發(fā)現(xiàn),也指向了身份欺詐等網(wǎng)絡(luò)犯罪活動(dòng)的可能性。
最終,有5名犯人被發(fā)現(xiàn)與那2臺(tái)藏到天花板上的計(jì)算機(jī)有關(guān),被隔離并遣送到其他矯正機(jī)構(gòu)了。有關(guān)該起事件的更多信息及其他涉事人員信息,均可在監(jiān)察長(zhǎng)的報(bào)告中找到。這簡(jiǎn)直是奇談。
作為回應(yīng),ODRC稱其感謝監(jiān)察長(zhǎng)辦公室花時(shí)間進(jìn)行這些調(diào)查,他們已經(jīng)采取措施解決一些重點(diǎn)領(lǐng)域,并將深入審查各種報(bào)告,采取必要的額外措施以防止此類事件重演。
對(duì)技術(shù)的使用進(jìn)行必要的防護(hù),同時(shí)也為犯人參與有意義的矯正項(xiàng)目提供機(jī)會(huì),是非常重要的。
京公網(wǎng)安備 11010502049343號(hào)