Στον cyber-υπόκοσμο, όμως, ο “Τζακ” είναι διαβόητος αλλά και μυστηριώδης

Του Thomas Brewster

Βλέποντας τις φωτογραφίες στο διαδίκτυο από τις επισκέψεις του στο περίφημο Στάδιο San Siro στο Μιλάνο, ή ποζάροντας δίπλα σε ένα κλασικό αυτοκίνητο στο Μεξικό, ή αγκαλιάζοντας την καλοντυμένη σύζυγό του με φόντο τη Γέφυρα του Πύργου του Λονδίνου, ο Τζακ δεν αποπνέει κάτι το αξιοπερίεργο. Μέτριου αναστήματος και βάρους, λευκός, με καστανόξανθα μαλλιά, μοιάζει με οποιονδήποτε άλλον στο διαδίκτυο που βγάζει selfies σε ένα τουριστικό θέρετρο.

Στον cyber-υπόκοσμο, όμως, ο “Τζακ” είναι διαβόητος αλλά και μυστηριώδης. Και αυτό επειδή είναι ο προμηθευτής ενός κακόβουλου λογισμικού με την ονομασία “Golden Chickens”, το οποίο χρησιμοποιούν μερικές από τις πιο επικίνδυνες ρωσικές συμμορίες κυβερνο-εγκλήματος στον κόσμο. Αυτές οι ομάδες φέρονται να έχουν προκαλέσει ζημιές ύψους άνω του 1 δισ. δολαρίων χακάροντας μεγάλες εταιρείες στις ΗΠΑ και την Ευρώπη, σύμφωνα με τους “ντετέκτιβ” του κυβερνοχώρου που παρακολουθούν τη δραστηριότητά τους.

Και ενώ η ζωή του Τζακ μοιάζει με ενός influencer, στην ουσία είναι γεμάτη κινδύνους. Το εν λόγω άτομο έχει επικηρυχθεί με 200.000 δολάρια για όποιον δώσει πληροφορίες σχετικά με την πραγματική ταυτότητά του – η επικήρυξη έγινε από ένα θύμα που υποστηρίζει ότι  ο Τζακ τού έκλεψε 1 εκατ. δολάρια. Σήμερα, οι ψηφιακοί ερευνητές Joe Stewart και Keegan Keplinger από την εταιρεία κυβερνοασφάλειας eSentire ισχυρίζονται ότι αποκάλυψαν το πραγματικό όνομα του Τζακ και τον τόπο διαμονής του: το Βουκουρέστι. Αρνήθηκαν να γνωστοποιήσουν την πραγματική ταυτότητα του Jack στο Forbes, αλλά λένε ότι την κατέθεσαν στις αμερικανικές διωκτικές αρχές και εκτιμούν ότι η ταυτοποίηση του 30χρονου θα φέρει πανικό στους πελάτες του.

“Θα θέλαμε να σπάσουμε την αλυσίδα εφοδιασμού malware προς τους δράστες που απειλούν και εκβιάζουν”, δήλωσε ο Stewart. “Θα πρέπει να ξεκινήσουν από την αρχή, να βρουν έναν νέο προμηθευτή… και, ποιος ξέρει, αυτό το άτομο μπορεί επίσης να αποδεχθεί κάποιος που μπορούμε να προσεγγίσουμε και να απομονώσουμε”.

Η υπόθεση δείχνει πώς ακόμη και αυτοί που έχουν προσπαθήσει να κρατήσουν κρυφή την ταυτότητά τους επί χρόνια στους κύκλους των κυβερνοεγκληματιών μπορούν να αποκαλυφθούν από επίμονους ερευνητές που έχουν πρόσβαση σε πλήθος δεδομένων, χάρη –ειρωνεία της τύχης– σε βάσεις δεδομένων που διέρρευσαν από ένα φόρουμ χάκερ.

Οι δύο ερευνητές βρήκαν μια ανάρτηση στο φόρουμ από έναν Καναδό συνεργό, ο οποίος είχε αναγνωριστεί ως “ο Τσακ από το Μόντρεαλ”, ο οποίος είχε και έναν λογαριασμό στο Jabber, μια υπηρεσία κρυπτογραφημένη συνομιλίας. Αυτό ήταν ένα νέο νήμα για τους ερευνητές, με τον Τσακ να έχει αναφερθεί προηγουμένως σε έναν μυστηριώδη συνεργάτη. Ο ίδιος λογαριασμός στο Jabber, διαπίστωσαν οι ερευνητές, είχε χρησιμοποιηθεί για την πώληση εργαλείων ηλεκτρονικού εγκλήματος σε πολλούς ιστότοπους. “Πέσαμε πάνω σε πληθώρα νέων λογαριασμών, και εκεί αρχίσαμε να βλέπουμε περισσότερα κωδικοποιημένα μηνύματα, περισσότερες πωλήσεις κακόβουλου λογισμικού”, δήλωσε ο Keplinger.

Το σημαντικότερο είναι ότι, σύμφωνα με τις βάσεις δεδομένων που διέρρευσαν, για τα φόρουμ όπου ο εν λόγω χρήστης του Jabber ήταν ενεργός, υπήρχαν σχετικά e-mail που χρησιμοποιήθηκαν κατά την εγγραφή. Μια διεύθυνση είχε χρησιμοποιηθεί για την εγγραφή στο Gravatar, την υπηρεσία δημιουργίας διαδικτυακών avatars που ανήκει στην Automattic. Η απλή αναζήτηση της διεύθυνσης ηλεκτρονικού ταχυδρομείου στο Gravatar αποκάλυψε ότι επρόκειτο για πραγματικό όνομα. Όταν οι ερευνητές έψαξαν στο Google το πραγματικό όνομα μαζί με τα ψευδώνυμά του, βρήκαν μια δημοσίευση σε ένα ιστολόγιο από τα μέσα της δεκαετίας του 2010 που ισχυριζόταν ότι αυτή ήταν η πραγματική ταυτότητα του προγραμματιστή. “Θα επρόκειτο για εκπληκτική σύμπτωση αν δεν ήταν αυτός ο άνθρωπός μας”, πρόσθεσε ο Stewart.

Γνωρίζοντας την ταυτότητά του και τα διαδικτυακά του ψευδώνυμα, οι ερευνητές εντόπισαν τη ζωή του Τζακ έως πίσω στα εφηβικά του χρόνια στα τέλη της δεκαετίας του 2000, όπου ήδη είχε δημιουργήσει ένα spyware για να υποκλέπτει άμεσα μηνύματα από τη Yahoo. Εντόπισαν επίσης μεταγενέστερες δραστηριότητες, όπως την ανάπτυξη ενός λογισμικού που δημιουργούσε έγγραφα του Microsoft Word με malware.

Κατά την περίοδο 2017-2019 απέκτησε δύο μεγάλους Ρώσους πελάτες, οι οποίοι τον “βοήθησαν” να πληρώνει για τα ρούχα του –όλα σχεδιαστών– και τα ταξίδια του ανά τον κόσμο. Ο πρώτος ήταν η Cobalt Group, η οποία φέρεται να έχει παραβιάσει 100 χρηματοπιστωτικά ιδρύματα σε περισσότερες από 40 χώρες, με μεμονωμένες ληστείες που απέφεραν έως και 11 εκατ. δολάρια, σύμφωνα με έκθεση της eSentire που δόθηκε στο Forbes. Η δεύτερη ήταν η Fin6, γνωστή για τις παραβιάσεις των συστημάτων πληρωμών της British Airways και της Ticketmaster.

Σήμερα, το κακόβουλο λογισμικό Golden Chickens αποτελεί ένα από τα εργαλεία των εγκληματιών του κυβερνοχώρου. Η eSentire ανέφερε ότι το εν λόγω malware έχει χρησιμοποιηθεί εναντίον 11 εταιρειών από τις αρχές του 2022.

Παρά την επιτυχία του, η ελευθερία του Τζακ, και ενδεχομένως η ζωή του, ίσως απειλούνται. Το 2018, ένας χάκερ που χρησιμοποιούσε το όνομα “babay” δήλωσε ότι του έκλεψαν 1 εκατ. δολάρια και πρόσφερε 200.000 δολάρια σε όποιο μέλος του φόρουμ για το κυβερνο-έγκλημα Exploit.in μπορούσε να αποκαλύψει την ταυτότητα του Τζακ. “Ο άνθρωπος αυτός με εξαπάτησε, δεν ολοκλήρωσε τη δουλειά του, λέει ανοησίες, δεν μπορώ να επικοινωνήσω μαζί του και αρνείται να επιστρέψει τα χρήματα”, έγραψε ο χρήστης. Δεν είναι σαφές τι ήθελε να κάνει ο χάκερ με τον Τζακ μαθαίνοντας την ταυτότητά του, ούτε εάν η αμοιβή που πρόσφερε συνέχισε να ισχύει. 

Αν και οι Stewart και Keplinger παρείχαν στοιχεία ταυτοποίησης στις καναδικές αστυνομικές αρχές για το ψευδώνυμο Chuck, ακόμη δεν έχουν απαγγελθεί κατηγορίες και οι δύο ερευνητές δεν γνωρίζουν εάν οι αρχές συνεχίζουν να διερευνούν την υπόθεση με βάση τις πληροφορίες που αυτοί έδωσαν. Ωστόσο, παραμένουν αισιόδοξοι ότι οι διωκτικές αρχές θα ενεργήσουν βάσει των πληροφοριών τους για τον Τζακ, δεδομένων των στενών δεσμών του με το ρωσικό έγκλημα στον κυβερνοχώρο.

“Ο εντοπισμός των κυβερνο-εγκληματιών είναι η μισή μάχη”, λέει ο Adam Meyers, ανώτερος αντιπρόεδρος της υπηρεσίας πληροφοριών της εταιρείας κυβερνοασφάλειας CrowdStrike, η οποία αποκαλεί τον Jack ως Venom Spider. Επιπλέον, ο ίδιος συνδέει τον χάκερ με διάφορα είδη κακόβουλου λογισμικού, συμπεριλαμβανομένων μονάδων για ransomware και εργαλείων αναγνώρισης και προσθέτει: “Οι διωκτικές αρχές θα πρέπει να επιδιώξουν τη σύλληψή του προκειμένου να αποδιοργανώσουν αυτόν τον αντίπαλο και να θέσουν τέρμα στις εγκληματικές του δραστηριότητες”.

Πηγή: Forbes