一名36岁的俄罗斯男子最近被KrebsOnSecurity确定为组织大规模RSOCKS僵尸网络的嫌疑犯,其在美国当局的要求下在保加利亚被捕。在本月保加利亚的一次法庭听证会上,这名被指控的黑客要求并被批准引渡到美国,据说他对法官说:"美国人在找我,因为我有大量的信息,他们需要这些信息。"
丹尼斯-克罗斯特的护照复印件,2019年贴在他的Vkontakte网页上
6月22日,KrebsOnSecurity发表了《认识RSOCKS代理机器人网络的管理员》,其中确认丹尼斯·克洛斯特,又名丹尼斯·埃梅利安采夫,是高度嫌疑的RSOCKS僵尸网络拥有者,该网络收集了数百万台被黑的设备,作为"代理"出售给网络犯罪分子,以寻找通过他人的计算机发送恶意流量。
克洛斯特是俄罗斯鄂木斯克人,在KrebsOnSecurity根据RSOCKS僵尸网络主人在网络犯罪论坛上的身份线索找到克洛斯特的个人博客后,克洛斯特成为焦点,该博客主要讲述了经营一家向世界各地客户销售"安全和匿名服务"的公司所面临的挑战,克罗斯特的博客甚至包括一张与RSOCKS同伙的合影。
"多亏了你们,我们现在正在信息安全和匿名领域发展!"克洛斯特的博客欣喜地说道。"我们制造的产品被全世界成千上万的人使用,这非常酷!"。而这仅仅是个开始!!! 我们不只是一起工作,我们也不只是朋友,我们是一家人"。
保加利亚新闻媒体24Chasa.bg报道,克洛斯特于6月在西南部滑雪胜地班斯科镇的一个联合办公空间被捕,被告要求被移交给美国当局。
据报道,克洛斯特本周对保加利亚法院说:"我已经在那里聘请了一名律师,我希望你们尽快把我送去洗清这些毫无根据的指控。我不是罪犯,我将在美国法庭上证明这一点。"
RSOCKS于2013年推出,作为对网络犯罪服务的国际调查的一部分,于2022年6月被关闭。司法部在2022年6月关于这次关闭的声明中引用了美国加州南区检察官办公室的一份搜查令,该办公室本月也被保加利亚新闻媒体称为克洛斯特逮捕令的来源。
当被问及是否存在逮捕令或对克洛斯特的刑事指控时,南区的一位发言人不予置评。
为RSOCKS维持运转的员工,照片大约拍摄于2016年,注意似乎没有人穿鞋
24Chasa说,被告的姓氏是Emelyantsev,他最近才采用克洛斯特这个姓氏,这是他母亲的婚前姓氏。
正如KrebsOnSecurity在6月报道的那样,克洛斯特似乎也是俄罗斯垃圾邮件行业的一个主要参与者。在几个私人交流的网络犯罪论坛上,RSOCKS管理员声称拥有RUSdot垃圾邮件论坛。RUSdot是SpAMDot的后继论坛,Spamdot是一个更加神秘和受限制的论坛,在2010年社区内讧之前,世界上大多数顶级垃圾邮件发送者、病毒编写者和网络犯罪者在这里合作了多年。
垃圾邮件--尤其是通过被攻击的计算机发送的恶意邮件--仍然是导致数据泄露和勒索软件攻击的恶意软件感染的最大来源之一。因此,作为俄罗斯最知名的垃圾邮件发送者论坛的管理员,本案的被告可能对僵尸网络垃圾邮件和恶意软件社区的其他顶级玩家有相当多的了解。
Google翻译后的Rusdot垃圾邮件论坛的版本
尽管坚持认为自己是无辜的,但据说克罗斯特告诉保加利亚法官,他可能对美国调查人员有用。据24Chasa报道,"美国正在寻找我,因为我有巨大的信息,他们需要它,"克洛斯特告诉法庭。"这就是他们想要我的原因。"
保加利亚法院同意并批准了对他的引渡,克罗斯特的未婚妻也参加了引渡听证会,据说她一直在外面的大厅里哭泣。
在等待引渡听证会期间,克罗斯特年满36岁,他可能很快就会面临最高20年监禁的指控。