Журналист раскрыл личность администратора сервиса LeakedSource

Как ранее сообщал SecurityLab, в прошлом месяце ресурс LeakedSource, позволявший проверить логины и пароли на предмет утечки, неожиданно прекратил свое существование. По иронии судьбы, как раз утекшие БД и вывели журналиста Брайана Кребса на администратора LeakedSource.

Сайт Leakedsource.com был запущен в октябре 2015 года. Выбрав определенный тарифный план, любой желающий мог проверить наличие тех или иных учетных данных в утекших БД. Тем не менее, в отличие от других подобных сервисов, LeakedSource не проверял, является ли пользователь настоящим владельцем паролей, о которых спрашивает. Складывается впечатление, будто владельцы ресурса пытались заработать, с помощью утекших БД помогая злоумышленникам взламывать чужие учетные записи.

Кребс решил узнать, кому именно принадлежал LeakedSource. От различных источников эксперт не раз слышал, будто один из операторов сайта также был администратором abusewith.us, помогавшего хакерам взламывать электронную почту и игровые аккаунты. Администратор abusewith.us под псевдонимом Xerx3s является опытным хакером, известным взломами игровых учетных записей.

В июле 2016 года Кребс связался с администрацией LeakedSource для интервью. Журналиста волновал вопрос, как администраторы сайта оценивают свои действия и не кажется ли им, что они делают что-то не то. Также Кребс хотел узнать, есть ли связь между LeakedSource и abusewith.us. Журналист получил приглашение в Jabber- чат leakedsource@chatme. im Интервью закончилось очень быстро, поскольку администраторы сайта не пожелали отвечать на вопросы, посчитав их некорректными.

Позже источник Кребса в хакерском сообществе рассказал журналисту, что похожий адрес в Jabber раньше использовал тот самый Xerx3s – xerx3s@chatme. im. Сам Xerx3s очень подробно передал источнику разговор администратора LeakedSource с Кребсом, из чего следует, что журналист разговаривал именно с ним.

Несмотря на никнейм Xerx3s, на форумах хакер использовал имя Wade, сокращенно от его более раннего псевдонима Jeremy Wade. Одним из адресов, связанных с Jeremy Wade, является imjeremywade@gmail. com. По данным сервиса Domaintools.com, в 2015 году на данный адрес зарегистрированы два домена – abusing.rs и cyberpay.info.

Что интересно, псевдоним Jeremy Wade числится в нескольких базах данных взломанных форумов, опубликованных на тех же LeakedSource и abusewith.us. С помощью данных утекших БД Кребс выяснил, что за именем Jeremy Wade скрывается некий Алекс Даврос из Мичигана. Как показало дальнейшее расследование, используемый Давросом IP-адрес входит в составленный ФБР список ресурсов, распространяющих вредоносное ПО Blackshades. Вредонос пользовался большой популярностью у хакеров до марта 2014 года и использовался для похищения учетных данных.

Источник