Tag Archives: FBI

Huge leak of Apple device unique IDs and ASPNs

Recently, I saw a post on pastebin regarding leaked Apple device IDs. The hackers said they got the file from a laptop belonging to an FBI employee:

During the second week of March 2012, a Dell Vostro notebook, used by Supervisor Special Agent Christopher K. Stangl from FBI Regional Cyber Action Team and New York FBI Office Evidence Response Team was breached using the AtomicReferenceArray vulnerability on Java, during the shell session some files were downloaded from his Desktop folder one of them with the name of ”NCFTA_iOS_devices_intel.csv” turned to be a list of 12,367,232 Apple iOS devices including Unique Device Identifiers (UUID), user names, name of device,
type of device, Apple Push Notification Service tokens, zipcodes, cellphone numbers, addresses, etc. the personal details fields referring to people appears many times empty leaving the whole list incompleted on many parts. no other file on the same folder makes mention about this list or its purpose.

The file ”NCFTA_iOS_devices_intel.csv” is said to contain over 12 million unique device identifiers (UUID) and user data for iOS devices. The actual leaked file contains 1 million records. The UUID is a unique number assigned to each device. It’s used for identifying the device, and many app developers use it to identify the device/user.

The list looks something like this:

That in itself doesn’t contain much ”dangerous” information, however, the interesting thing is where the hackers, or the FBI/NCFTA (National Cyber-Forensics & Training Alliance) got it. I’d generally say that this information could be fetched from some hacked app developer, since they usually store that kind of info on their servers. Perhaps they got this from some hacker they arrested? Or some developer handed it over?

Security expert Peter Kruse reported on Twitter that the actual data is correct, he found three of his devices in the list.

The list also contains APNS (Apple Push Notification Service) IDs. This is used for push notifications on the iOS devices. I am uncertain if it’s enough to have the device ID and the APNS ID in order to read the push notifications for any device. If any reader knows, please let me know!

Looking at the data, there seem to be some interesting device names, however, keep in mind that anyone can choose to name their device whatever they like:

[email protected]
[email protected]
[email protected]
Government Official’s iPod
Governor’s iPad
Governor’s iPad
Forensic3GiPad
Forensic iPad
Forensic iPhone
Forensics
TACTICAL FORENSIC SOLUTIONS
A. Castillo Law Office
Chief Excecutive Officer’s iPad
Law Offices of Jannette Mooney’s iPad
Port Moresby Duty Officer iPad
Riot Officer’s iPad
The Law Office of Yariv Katz, P.C.’s iPad

Without more info, it’s very hard to tell where the list originally came from, or what it’s purpose is. Time will tell, and hopefully we’ll get some more info soon. Also, keep in mind that the persons who leaked this also said the original list contained much more info (addresses, phone numbers, etc).

Some report that the data might have been acquired in a raid on Instapaper servers.

There seem to be quite many devices from Asia in the list. The top 10 device names are:

   1140 – PdaTX.Net
1196 – Administrator’s iPhone
1309 – Administrator’s iPad
1414 – 이지윤의 iPhone
1453  – iPhone
1534 – Owner’s iPad
2202 – “Administrator”的 iPhone
3136 – “Administrator”的 iPad
5141 – iPod touch
42790 – iPhone

Since the list also contains the device type, here is how it’s distributed:

iPod touch: 6%
iPhone: 35%
iPad: 59%

So, if this list comes from an app developer, it sure seems like the app is most popular on the iPad.

Update: They say they got the list from using a Java exploit in March, and as ErrataRob points out, this coincides with that exploit being used, and a possible targeted attack on a leaked list of agents and agencies trying to track hackers.

Säkerhetsradion: Lulzsecs ledare gripen

Nyligen uppdagades det att en person som antagit ledarrollen hos hacktivistgruppen Lulzsec har hittats av FBI. För att skydda sina barn valde mannen, som kallar sig Sabu, att samarbeta och namngav flera av medlemmarna i Lulzsec. I dagens podcast pratar vi mer om händelsen.

FBI arresterar misstänkta Anonymous-medlemmar

Cyberkampen fortsätter: amerikanska FBI har inatt meddelat att man har gripit 14 personer som misstänks ligga bakom en attack mot betaltjänsten Paypal ifjol. Gärningsmännen misstänks vara medlemmar i hackargruppen Anonymous.

DDoS-attacken mot Paypal skedde förra året och kallades ”Operation Avenge Assange”. Detta gjordes för att hämnas för att Paypal hade fryst Wikileaks konto.

Personerna som FBI har gripit var bosatta över hela USA och står nu åtalade för konspiration och försök till skadegörelse på ett skyddat datorsystem.

Det som är lite märkligt är att man misstänker att attacken mot Paypal genomfördes med hjälp av LOIC (”Low Orbit Ion Cannon”) som är ett open source program för att genomföra DDoS attacker. Programmet gör det väldigt enkelt att slå ut en hemsida, men det är inte direkt en metod som en kunnig hackare skulle använda sig av eftersom LOIC är bara ett verktyg för att låta datorn vara en del av en DDoS-attack. Detta betyder att de riktiga hjärnorna bakom hacken fortfarande är anonyma.

Vi får nog avvakta vad Anonymous har att säga om det hela.

 

Coreflood – amerikanskt tillslag tar ned tioårigt botnät

Igår genomförde amerikanska Department of Justice och FBI ett koordinerat tillslag mot botnätet Coreflood som sagts kontrollera över 2,3 miljoner datorer. Man beslagtog fem servrar och blockerade 29 domännamn som använts för att styra och kommunicera med det infekterade datorerna, läs mer på IT World.

Coreflood (Win32/Afcore i ESET NOD32) är ett av de mindre kända botnäten här i Sverige, men det har varit aktivt länge – helt säkert sedan 2001. Aktiviteten var hög mellan 2007 och 2009 med en toppnotering mot slutet av 2009. Sedan dess har det inte gjort så stort väsen av sig, men de senaste månaderna har det börjat mullra lite – kanske ingrep de amerikanska myndigheterna i rättan tid.

Det som utmärkte Coreflood var inte storleken eller spridningen, utan det var specialiserat på ekonomiska bedrägerier och lösenordsstölder för angrepp mot och via banker, e-post och sociala medier.

Vanligt folk lär inte märka så mycket av att Coreflood är borta. Det blir inga dramatiskt minskade spamvolymer, eftersom det inte var ett sådant botnät.

Däremot kommer många företag att slippa bli avlurade hundratusentals dollar – tills det dyker upp ett nytt botnät.