在泰國、新加坡執法部門與網絡安全公司Group-IB的協同努力下，一名與全球90多起數據泄露案件有關的黑客被逮捕。這名黑客曾以GHOSTR、ALTDOS、DESORDEN和0mid16B等多個網絡身份活躍，據稱其在暗網市場上竊取并出售了超過13TB的敏感信息，其中包括政府機構的記錄。此外，他還是臭名昭著的網絡犯罪和數據泄露平臺Breach Forums的活躍成員。

GHOSTR因多重賬戶被Breach Forums封禁（截圖來源：Hackread.com）

多國作案，行業廣泛

自2020年起，這名黑客的目標主要集中在新加坡、馬來西亞、巴基斯坦和印度等亞太地區國家，后來逐漸擴展到歐洲、北美和中東。受害者涉及醫療、金融、電子商務和物流等多個行業。起初，他通過威脅泄露被盜數據向公司施壓，要求支付贖金，并在要求被忽視時向媒體或監管機構發出警告。后來，他轉向在暗網論壇上直接出售數據庫，以高質量泄露和高端定價而聞名。在某些情況下，他甚至會直接通過電子郵件與客戶聯系，迫使公司就范。

根據Group-IB于周四發布的新聞稿，該黑客利用常見漏洞滲透系統，使用sqlmap等工具執行SQL注入攻擊，以訪問后端數據庫，并入侵安全防護薄弱的遠程桌面協議（RDP）服務器。一旦進入系統，他便部署修改版的滲透測試工具CobaltStrike，以維持對受攻擊網絡的控制權，并將提取的數據復制到云端服務器用于勒索。

多重身份，追蹤艱難

調查人員面臨的最大挑戰是該黑客頻繁更換別名和策略。Group-IB通過分析暗網論壇上的寫作風格、發布格式和目標偏好，將這些身份關聯起來。例如，ALTDOS在2020年主要針對泰國受害者，而DESORDEN后來則瞄準了零售、金融、物流、保險、醫療、酒店、招聘、科技、電子商務和房地產投資等領域。

盡管多次因詐騙和虛假賬戶被論壇封禁，該黑客仍不斷更換身份繼續作案，直到其在線活動的蹤跡被當局追查到現實中的真實身份。在逮捕行動中，泰國當局查獲了多臺筆記本電腦、電子設備以及用數據銷售所得購買的大量奢侈品。

查獲物品（來源：Group-IB）

Group-IB通過研究該黑客的行為模式和技術線索，成功將其多個身份關聯起來。這一案例讓人聯想到巴西黑客USDoD，其真實身份在被CrowdStrike揭露后被捕，進一步證明了網絡犯罪追蹤的可能性。