Tietoturva- ja analyysiyhtiö Recorded Future käytti analyysityökaluaan haittaohjelmilla varastettuun ja vuodettuun dataan ja onnistui paljastamaan yli 3000 lapsipornon kuluttajaa.
Infostealereiksi kutsuttuja haittaohjelmia käytetään tietojen, kuten luottokorttinumeroiden ja salasanojen varastamiseen. Tiedot päätyvät tyypillisesti myyntiin pimeän verkon rikollisille markkinapaikoille. Recorded Future -yritys myy Identity Intelligence -nimistä ohjelmistoa, jonka tehtävänä on ehkäistä työtekijöiden ja asiakkaiden tietojen väärinkäytöksiä. Työkalu on hyödyksi esimerkiksi silloin, kun yrityksen on torjuttava itseensä kohdistuvaa yritysvakoilua tai varmistettava että asiakas on se, joka väittää olevansa.
Identity Intelligence -ohjelmistossa on keräin, joka haalii ja analysoi pimeän verkon markkinapaikoille ilmestyviä varastettuja tietoja. Yhtiön tietoturvatutkijat keksivät laatia listan kahdestakymmenestä pimeässä verkossa toimivasta lapsipornon jakelufoorumista ja antaa ohjelmistolle komennon, jolla se ajoi ristiin pimeän verkon markkinapaikoilta kerättyjä tietoja ja lapsipornofoorumien käyttäjätietoja.
Näin tunnistettiin 3324 eri lasten seksuaalista väkivaltaa sisältäville foorumeille rekisteröitynyttä käyttäjää.
Tutkijat saivat arvokasta dataa, josta pystyivät yhdistelemällä profiloimaan käyttäjiä. He rajasivat hakujaan ja keskittyivät tapauksiin, joilla data paljasti olevan käyttäjätili useammalla kuin yhdellä foorumilla.
Esimerkiksi yhdestä käyttäjästä saatiin seuraavat tiedot: infostealer-haittaohjelmalla saastutetun koneen nimi, gmail- ja hotmail-osoitteet, käyttäjätiedot seitsemältä kryptovaluuttafoorumilta, kahden kryptovaluuttalompakon osoitteet, käyttäjätunnuksen nimi seitsemälle eri lasten seksuaalista väkivaltaa levittävälle pimeän verkon foorumille, haittaohjelman varastamista Google Chromeen tallennetuista lomaketiedoista käyttäjän oikea nimi sekä summittainen sijainti Venezuelassa.
Toinen tapaus, jolta löytyi käyttäjätunnukset yhdeksälle pimeän verkon lasten hyväksikäyttöfoorumille, paikannettiin Chrome-selaimeen tallennetuista lomaketiedoista kotiosoitetta ja puhelinnumeroa myöten Yhdysvaltain Illinoisiin. Infostealer-haittaohjelma oli varastanut käyttäjältä myös käyttäjätietoja sosiaalisesta mediasta, verkkokaupoista, terveydenhuollosta ja deittipalveluista. Oikea nimi pystytiin paikantamaan kuolinilmoitukseen, josta kävi ilmi, että henkilö oli toiminut aktiivisesti vapaaehtoisena asuinseutunsa lastensairaaloissa.
Recorded Future teki tutkimuksessaan yhteistyötä kansainvälisten järjestöjen kuten World Childhood -säätiön ja ihmiskauppaa torjuvan Anti-Human Trafficking Intelligence Initiativen kanssa.
Recored Futuren raporttiin voi tutustua kokonaisuudessaan tästä linkistä.
