目前,网络罪犯可能存在的最大问题就是他们极难抓捕到。想象一下现实中头戴面具、手握长枪的银行劫匪—就算是小偷也会留下指纹;监控摄像机会记录下罪犯的声音;同时警察也能利用交通摄像头追捕犯罪车辆的行踪。所有这些手段都能帮助警察寻找到犯罪嫌疑人。但网络犯罪分子在实施犯罪时却基本…什么都不会留下。而且毫无线索可寻。
但有时他们也会被抓到。还记得SpyEye银行木马吗?其作者于2011年被成功抓捕。以及在2010-2012两年间表现相当活跃的Carberp黑客小组吗?同样也已抓捕归案。当然还有名声不佳的Angler漏洞利用工具,6月末时突然从互联网上销声匿迹?此外,Lurk恶意软件也几乎在同一时间停止了一切攻击—原因是在俄罗斯当局和卡巴斯基实验室的帮助下,Lurk背后的黑客犯罪小组被成功抓捕归案。
让时光回到2011年,那年我们第一次碰到Lurk。最初引起我们注意的是些利用远程银行软件盗取资金的无名木马病毒,被我们内部恶意软件命名系统归类为’功能丰富’的木马病毒—不只会窃取资金。为此,我们开始对Lurk进行深入调查。
但调查毫无结果—无法检测出该木马病毒的任何行为模式。但随着网络攻击的不断继续,我们的分析专家们得以获得更多可供研究的样本。
在那段时间,我们了解到许多有关Lurk的知识。例如,有关模块结构:一旦Lurk检测到已利用安装的远程银行软件成功感染计算机,就会立即下载专门负责窃取资金的恶意payload(有效负载)。这也是为什么我们命名系统开始无法将Lurk归入为银行木马的原因— 因为少了payload。
我们还发现Lurk会避免在硬盘中留下任何痕迹,只在受感染计算机的RAM内运行。这也让其难以被追踪。Lurk的作者还使用各种加密和模糊手段,导致追踪的难度更高。而他们的命令与控制服务器则托管在使用伪造数据注册的域名内。至于使用的软件—无论是Lurk主体还是恶意payload —根据不同银行改变并定制。
Lurk的作者显然十分小心,而且我们也知道如此复杂的恶意软件背后一定有一支专业的黑客团队。但就算再专业也是人在操作,是人就会犯错。从这些错误中,我们可以发现有关该木马病毒背后犯罪分子的蛛丝马迹。
事实证明,Lurk背后的黑客小组人数达到15人左右,而在Lurk被彻底”消灭”之前,其人数甚至达到了40人。他们主要有两个所谓的”项目”在运作:恶意软件本身以及用于传播的僵尸网络。每个项目均配备有专职团队。
一组编程员首先开发出Lurk,然后再由一组测试员检测其在不同环境中的表现情况。负责僵尸网络的成员包括:管理员、操作员和资金流量管理者等等。此外,还派出大量钱骡去ATM取现,然后由钱骡经理负责将所有钱集中到一起。
团队中的大多数人都是领工资的。为了雇佣他们,Lurk背后的领导成员不惜在猎头网站上发布职位,许诺只需远程工作就能得到全职员工的待遇,同样薪资也颇为诱人。在面试过程中,招聘人员还会询问候选人是否有很强的道德原则。那些道德原则较强的人都未能得到这份工作。
开发Lurk和维护僵尸网络除了需要大量人力外,还要有一些价值不菲的基础设施,包括:服务器、VPN(虚拟私人网络)和其他工具等。在经过几年的’经营’后,Lurk团队宛如一家中型的IT公司。与许多公司一样,他们还决定不久后让自身业务向更多样化的方向发展。
Lurk背后的网络犯罪分子还负责编写Angler —迄今为止最复杂的漏洞利用工具。起先,Angler被设计成让受害人感染Lurk的工具,但作者最终还是决定将Angler出售给第三方。Lurk背后的黑客小组凭借不断的成功和’不败战绩’被誉为俄罗斯网络犯罪分子的传奇,这也使得Angler在黑市上的销量激增。
Angler自此在网络犯罪分子之中流行开来。例如,用来传播CryptXXX和Teslacrypt勒索软件。
但从他们开始出售Angler那一刻起,这一黑客犯罪小组就已时日无多。俄罗斯经常连同卡巴斯基实验室,收集到了足够的证据以逮捕犯罪嫌疑人。2016年6月,Lurk的一切恶意活动全部被停止,Angler也很快销声匿迹。直到最后,网络犯罪分子都始终认为自己采取了足够的预防措施,因此完全不用担心被抓。
他们采取的预防措施在很长时间里起到保护自己的作用,但再聪明的网络犯罪分子都可能会犯错。而我们始终坚信他们迟早都会犯错,那时训练有素的查案人员就能将他们一举抓获。尽管常常需要付出巨大的时间和精力,但这的确就是我们在网络世界主持正义的方法。