Специалисты Recorded Future Insikt Group обнаружили тысячи педофилов, которые скачивают и распространяют материалы, связанные с сексуальным насилием над детьми (CSAM). Информацию об этих людях исследователи нашли благодаря логам инфостилеров, опубликованным в даркнете.
В своем отчете исследователи рассказывают, что выявили в логах инфостилеров 3324 уникальных аккаунта, владельцы которых посещали нелегальные порталы, известные распространением CSAM.
Используя прочие данные, украденные у этих пользователей, аналитики сумели отследить аккаунты до username'ов на различных платформах, узнать их IP-адреса и даже получить системную информацию. В итоге все собранные данные были переданы правоохранительным органам.
Логи стилеров представляют собой наборы данных, украденных у конкретного человека малварью, нацеленной на кражу данных (к примеру, Redline, Raccoon и Vidar).
Проникнув на машину жертвы, инфостилеры похищают системные и учетные данные, историю браузеров, файлы cookie, данные автозаполнения, информацию о криптовалютных кошельках, делают скриншоты и так далее. Затем вся собранная информация упаковывается в архив, который и называют логом, и передается на сервер злоумышленников.
Специалисты Insikt Group продемонстрировали новый подход к изучению таких наборов данных. Ведь жертвами инфостилеров становятся самые разные люди, включая преступников. В итоге хакеры получают все учетные данные от их банковских счетов, электронной почты и других аккаунтов, а в данном случае — еще и учетные данные для доступа к закрытым сайтам с детской порнографией.
Для своего исследования аналитики изучили логи стилеров за период с февраля 2021 по февраль 2024 года и идентифицировали потребителей CSAM-контента, сопоставляя похищенные учетные данные с двадцатью известными CSAM-доменами.
После этого исследователи удалили дубликаты, чтобы сузить полученный результат до 3324 уникальных пар имя пользователя/пароль.
Так как стилеры крадут все учетные данные, сохраненные в браузере, не составило труда связать обнаруженных педофилов с их прочими аккаунтами в интернете, включая электронную почту, банкинг, интернет-магазины, мобильных операторов и социальные сети.
Перед тем как передать информацию правоохранителям, исследователи прибегли к OSINT и постарались собрать как можно больше данных об этих пользователях, включая:
- адреса криптовалютных кошельков и истории транзакций;
- аккаунты, не связанные с детской порнографией, а также истории просмотров;
- физические адреса, полные имена, номера телефонов и адреса электронной почты, извлеченные из автозаполнения браузеров;
- связи с различными онлайн-сервисами, в том числе с аккаунтами в социальных сетях, государственными сайтами и порталами по поиску работы.
В своем отчете Recorded Future приводит три примера идентификации конкретных лиц и полученные в итоге профили:
- d**** — житель Кливленда, штат Огайо, ранее осужденный за эксплуатацию детей и зарегистрированный как сексуальный преступник. Имеет аккаунты как минимум на четырех CSAM сайтах.
- docto — житель Иллинойса, который работает волонтером в детских больницах и имеет судимость за мелкие кражи. Зарегистрирован на девяти CSAM сайтах.
- Bertty — вероятно, студент из Венесуэлы, имеющий аккаунты как минимум на пяти CSAM-сайтах. История криптовалютных транзакций указывает на то, что пользователь мог покупать и распространять контент для педофилов.
Проведенный анализ демонстрирует, что даже логи инфостилеров могут использоваться во благо и помочь правоохранительным органам в отслеживании и расследовании случаев жестокого обращения с детьми.
«Этот отчет настоящая жемчужина, однако это лишь верхушка айсберга. Поскольку данных так много, и существуют разные виды преступников. Кто-то продает наркотики, кто-то оружие, кто-то занимается кражей личных данных или торговлей людьми. И все они скомпрометированы. Мы обладаем уникальным набором данных, который позволяет нашим партнерам из правоохранительных органов успешно выполнять свою миссию», — заключает специалист Recorded Future Дмитрий Смилянец.
