HackerNews 编译,转载请注明出处:
因参与2021年7月针对IT服务商卡西亚(Kaseya)供应链攻击而入狱的黑客雅罗斯拉夫·瓦辛斯基(Yaroslav Vasinskyi)声称自己曾遭俄罗斯政府胁迫。这位化名“Rabotnik”的REvil勒索组织前成员,目前正在美国康涅狄格州丹伯里联邦监狱(FCI Danbury)服刑超过13年。
瓦辛斯基在为期六个月的对话中向安全研究员乔恩·迪马吉奥(Jon DiMaggio)透露,他曾多次因“道德”原因试图退出REvil,但在离开前遭胁迫策划了卡西亚攻击。迪马吉奥是安全公司Analyst1的首席安全策略师,也是调查勒索软件生态的《勒索软件日记》系列作者。
瓦辛斯基声称REvil与俄罗斯政府存在关联,胁迫他持续进行网络攻击的人很可能来自克里姆林宫关联的政府机构。迪马吉奥于8月9日在拉斯维加斯DEFCON 33大会上与Trellix威胁情报主管约翰·福克(John Fokker)共同公布了这一发现,其完整调查报告于同日发表在《勒索软件日记第七卷》。
REvil招募、道德危机与退出尝试
瓦辛斯基于2019年初被REvil成员“Lalartu”招募入伙,起因是他发现ConnectWise服务器漏洞并关联约1000台受控电脑。他在波兰活动,期间数次前往乌克兰。瓦辛斯基告诉迪马吉奥,他曾在2020年3月尝试退出REvil,因其女友父亲和祖母的离世被他视为从事网络犯罪的报应。此外,REvil涉嫌攻击一所浸信会教堂和一家医院(后者据称导致患者死亡)的行为也引发了他的道德负疚感。
瓦辛斯基向REvil首脑“UNKN”质询医院死亡事件时,对方表示虽非本意但“是绝佳宣传”。迪马吉奥后续调查表明该致命攻击更可能由Ryuk组织所为,但“将死亡轻描淡写为广告效应”的态度令瓦辛斯基深感厌恶。他最终因“悲伤、疲惫与愤怒”退出REvil。
监视与胁迫
然而瓦辛斯基称其生活随即被某高级机构全面监控。2021年1月他在基辅鲍里斯波尔机场过境时遭海关拦截搜查并被驱离。他透露受到与乌克兰执法部门有关联者的施压,其中一名联系人曾是权势显赫的前情报高官。胁迫动机被描述为政治性而非经济性,操控者的影响力远超乌克兰国界,暗示其拥有深远的国际情报网或跨境腐败网络。
瓦辛斯基表示,对方要求他继续为REvil效力,并以监禁、酷刑甚至伤害其女友和家人相威胁。回到波兰后,监视持续存在,他称之为“接头人”的操控者如影随形。
卡西亚:战略目标
据瓦辛斯基所述,“接头人”选择卡西亚作为目标,正是看中其软件的分发能力可通过级联访问对数千下游客户造成最大破坏。他向迪马吉奥承认自己独立完成了攻击准备(从初始访问到最终载荷测试),但拒绝亲自发动攻击,将载荷交付阶段移交给了REvil。他试图通过多种方式证明自己未参与执行:攻击前寄信给FBI、与REvil高层通话时使用免提以便潜在监听者获取信息、攻击执行日离境乌克兰时故意在监控镜头前露面。但这些证据均未用于法庭辩护,他最终提交了认罪协议。
代号“UNKN”的REvil实际掌控者在卡西亚攻击(波及17国超1500家公司,迫使学校、药房及连锁超市停摆)后销声匿迹。
三级运作架构与国家层面操控者
尽管卡西亚攻击被归咎于REvil且索要7000万美元赎金,但瓦辛斯基的叙述表明该团伙仅充当技术承包商而非行动指挥者。据迪马吉奥报道,瓦辛斯基称REvil仅负责生成.exe文件,“他们提供武器,但接头人下达指令并扣动扳机”。此证词揭示出三级运作架构:REvil作为勒索软件提供商、瓦辛斯基作为技术策划者、国家层面操控者作为执行团队。
迪马吉奥强调:“这不仅是勒索,更是蓄意破坏——瘫痪下游系统、收集情报、获取关键基础设施访问权。”瓦辛斯基还声称,虽然REvil与俄政府有联系,但其操控者权势更大——达到连REvil的政府关联方都难以企及的层级,暗示他的困境源于与权势人物的纠葛。
有理论推测“UNKN”或是前俄警官亚历山大·叶尔马科夫(Aleksandr Ermakov,于“UNKN”消失后不久被捕),但瓦辛斯基否认此说,确认叶尔马科夫是REvil成员但非唯一使用者。他相信两人共同操控该账号:执行命令的叶尔马科夫与发号施令者。真正的首领仍是“未知数”。
迪马吉奥在DEFCON演讲中指出,尽管网络罪犯常撒谎,但瓦辛斯基在可验证事项上未说谎。“此刻他无甚可失:被判13年7个月监禁、需偿还1600万美元赔偿且无假释机会,对我撒谎毫无意义。”
消息来源:infosecurity-magazine;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
