追踪 FBI 头号通缉犯：“RedLine”信息窃取软件创始人

一个国际执法机构联盟正在调查臭名昭著的信息窃取者变种 RedLine 的创建者和传播者，该行动的代号为“Operation Magnus”。RedLine 是一种 MaaS（恶意软件即服务），它窃取了全球数百万用户的敏感数据，包括信用卡信息、浏览器历史记录、自动填充表单数据、电子邮件和密码。RedLine 自 2020 年以来一直活跃，是最广泛的信息窃取者变种之一。

2021 年 8 月，执法部门从 RedLine 的一个许可服务器中获取了部分数据，这些数据由一家安全公司主动报告给美国政府。美国调查人员随后获得搜查令来分析这些数据，发现了马克西姆·鲁多梅托夫与 RedLine 的开发和部署有关的证据。根据 FBI 的逮捕令，鲁多梅托夫被发现使用多个用户名与许可服务器进行交互或访问许可服务器。

2021 年 5 月 16 日，用户名“Heijs”使用以 -.180 结尾的 IP 地址向许可服务器请求构建 RedLine。大约九分钟后，Apple 记录了同一个 IP 地址，称其访问了 Maxim Rudometov 的 iCloud 帐户。与 Rudometov 在线帐户关联的其他 IP 地址也与 RedLine 许可服务器进行了交互，用户名为“Admin12”和“testpanel”。

此外，2021 年 5 月 2 日，一个使用以 -.14 结尾的 IP 地址的个人通过许可服务器签署了一个恶意文件。大约一小时前，同一个 IP 地址在玩手机游戏时登录了 Rudometov 的 Apple iCloud 帐户。该 IP 地址被分配给俄罗斯克拉斯诺达尔的一家互联网服务提供商，后来被链接到黑客论坛上使用的 Skype 帐户，并用于访问包含已知 Windows 设备漏洞的 GitHub 存储库。据报道，仅在 2021 年 7 月，该 IP 地址就访问了 iCloud 帐户约 701 次。来源。FBI在其公告中公布了 Maxim Rudometov 的以下照片。 

来源：https ://thehackernews.com/2024/10/dutch-police-disrupt-major-info.html如左图所示，Maxim Rudometov 据称居住在乌克兰卢甘斯克州。该图片来自他的 VK 个人资料。

我们目前所知

有强有力的证据表明马克西姆·鲁多梅托夫是 MaaS RedLine 背后的重要人物。他的 IP 地址与位于俄罗斯克拉斯诺达尔的一家互联网服务提供商相关联。此外，他一生中曾一度居住在乌克兰卢甘斯克。

开始我们的 OSINT 调查

我们找到了支持证据表明马克西姆·鲁多梅托夫确实于 2021 年在乌克兰卢甘斯克。在此期间，他从卢甘斯克一家名为“AutoLux”的驾校获得了驾驶执照。

来源：https: //vskali.ru/articles/lichnyi/kak-ya-sdala-na-prava-s-pervogo-raza/扩展时间线

虽然上面的图片可能比 FBI 提供的图片更新，但我们还是找到了马克西姆·鲁多梅托夫的近期照片，进一步扩大了他的行踪时间线。马克西姆·鲁多梅托夫经常在克拉斯诺达尔的一家特定沙龙纹身，从这位艺术家的 Instagram 账户上可以看到。

马克西姆·鲁多梅托夫的奢侈生活方式我们曾多次在高档夜总会、酒吧和餐厅找到鲁多梅托夫，这提供了有关他的生活方式和行踪的有趣信息。此外，正如我们将看到的，我们还找到了马克西姆·鲁多梅托夫今年夏天（2024 年 7 月 28 日）拍摄的最新照片。

但首先，我们将对鲁多梅托夫的行踪进行地理定位。

这里，马克西姆·鲁多梅托夫和一些亲密的朋友在一起。我们通过深入的 SOCMINT 和分析上图中可见的各种细节，对酒吧进行了地理定位。

从蓝色和黄色圆圈可以看出，窗户和家具相互匹配，这支持了假设。然后我们分析了 Maxim 图像的 EXIF 数据，这些数据为我们提供了摄影师的名字。

然后就可以将马克西姆摄影师的相册与位于俄罗斯克拉斯诺达尔的一家名为Petrovodkin Bar的酒吧联系起来。

我们还能够在一家名为“ La Villa ”的俱乐部找到马克西姆·鲁多梅托夫，该俱乐部也位于克拉斯诺达尔市中心。这些照片拍摄于 2023 年 5 月 19 日。

介绍马克西姆·鲁多梅托夫的最新照片

下面这张照片于 2024 年 7 月 28 日发布在 Instagram 上。这是马克西姆·鲁多梅托夫 (Maxim Rudometov) 的最新照片，如紫色圆圈所示。

然后，我们对上面的图片进行了地理定位。如下图所示，我们使用 Yandex 街景视图找到了酒吧的确切位置。

通过比较圆圈，您可以看到相同的外观、树木、标志和建筑结构，但让我们仔细看看右侧看到的结构，并将其与马克西姆的合影进行比较。

可以看出，这些建筑与合影照片完全相同。此外，通过检查 Yandex 上的商业列表，可以发现酒吧外同一建筑立面的多张照片。

这家酒吧名为“Ракета и Казбек”，也位于俄罗斯克拉斯诺达尔。这样，我们就可以在 2024 年 7 月下旬在一家酒吧找到马克西姆·鲁多梅托夫。

马克西姆·鲁多梅托夫的当代网络形象

我们能够识别马克西姆的 Instagram 帐户，该帐户仍然处于活动状态。他正在评论他朋友的几张照片，但他们没有互相关注，这表明他可能已经改进了 OPSEC 措施。我们仍然可以在他的密友分享的各种照片中找到马克西姆·鲁多梅托夫。

让我们回顾一下彼得罗沃德金酒吧的照片。

我们能够弄清楚谁坐在桌子的另一边。

通过对上述个人进行深入的社交媒体情报 (SOCMINT)，我们找到了马克西姆的其他多张照片。

宝丽来照片中出现的所有人都在 Instagram 上被标记，包括马克西姆·鲁多梅托夫 (Maxim Rudometov)。

我们还找到了他的 Instagram 帐户。尽管该帐户是私密的，但仍能发现多个人在各种帖子、视频、故事和图片中标记了 rudometov.maxim。

这是他的 Instagram 帐户：

可以看出，该帐户已关闭。但是个人资料图片中有一些有趣的信息。我们可以清楚地看到一辆奔驰车。我们发现了 Maxim 的一位朋友发布的一个有趣的故事。如下所示。

通过将马克西姆视频中的内饰与梅赛德斯奔驰 E 级轿跑车的内饰进行比较，我们可以看到相同的特点。

另外，我们可以从外观上将 Maxim 的 Instagram 个人资料图片中的梅赛德斯与梅赛德斯奔驰 E 级轿跑车进行比较。

我们可以看到，格栅和前灯与他的 Instagram 帐户上的图片完全相同。