几十年来,安全行业一直在警告:网络犯罪经济已发展出自身高度专业化的供应链。但直到5月16日,司法机构曝光全球性恶意软件Goznym背后团伙的精准黑客操作之时,全球化犯罪网络那错综复杂环环相扣的全貌才呈现在众人视线焦点之下。
2019年5月16日,六国警方与美国司法部和欧洲刑警组织宣布,已拿下与2016年捣毁的Avalanche犯罪网络相关的Goznym恶意软件犯罪团伙,并在保加利亚、格鲁吉亚、摩尔多瓦和乌克兰逮捕了其5名成员。另外5名嫌犯仍藏匿于俄罗斯境内。据称,该团伙共以欺诈类恶意软件感染了4.1万台计算机,并试图从美国受害者处盗取1亿美元资金——成功盗取的具体数额尚不清楚。
海牙欧洲刑警组织总部的新闻发布会上,全球司法机构将此次逮捕描述为 “前所未有的” 国际合作样例。但起诉书同时也详细描述了逐利黑客任务分工的分散性与专业化程度——大多由联系松散的自由黑客组成,每人负责整个受害者剥削利用过程中的一步。欧洲网络犯罪中心主任 Steven Wilson 表示:
看看Goznym,看看Avalanche。这就是个网络犯罪服务超市。有程序员,有恶意软件开发人员,有掩护主机提供者,有大量的网络犯罪服务。
起诉书列出了一长串的网络犯罪专业人士:
俄罗斯人 Vladimir Gorin 被控创建、开发和管理Goznym银行木马恶意软件。该恶意软件包含键盘记录功能,且可劫持受害者的Web浏览器,向银行网站中注入网络钓鱼域,在用户登录时盗取其凭证以控制受害者账户。Goznym银行木马还在浏览器中含有诱骗受害者输入第二验证因子代码的域,可实时拦截并运用该验证码通过双因子身份验证。
Gorin将Goznym租给了格鲁吉亚人 Alexander Konovolov,后者是该网络犯罪组织的头目,负责监管整个犯罪活动运营和控制其僵尸网络中的数万台被感染主机。Alexander Konovolov 还有个技术助理兼管理员的助手 Marat Kazandjian。
今年早些时候被捕的乌克兰人 Gennady Kapkanov 被控作为 “掩护” 托管服务提供商向该组织出租基础设施。事实上,其Avalanche网络为20个以上的不同恶意软件运营提供了托管支撑。尽管2016年时该犯罪网络部分被捣毁,Kapkanov却被法官因起诉文件中的错误而放过——虽然据称他曾手持AK-47从自家窗口向警方开火。
摩尔多瓦人 Eduard Malanici 负责 “加密” Goznym恶意软件,对该恶意软件实施代码混淆操作以规避杀毒软件检测。
俄罗斯人 Konstantin Volchov 执行网络钓鱼邮件投送操作,在邮件中嵌入恶意附件或恶意链接后发向潜在受害者,坐等受害者点击后安装上Goznym。
被装上并盗取了受害者凭证后,Goznym即把这些凭证发往一个管理面板。俄罗斯人 Ruslan Katirkin 和保加利亚人 Krasimir Nikolov 控制着该面板,其职能相当于该组织的“账户接管专家”,负责登入受害者账户,通过电汇和自动清算(ACH)支付等电子转账方式盗取受害者资金。
另外两名俄罗斯人 Vladimir Eremenko 和 Farkhad Manokhin 则负责 “提现”,管理着接收被盗资金和洗钱的账户,指使钱骡从银行和ATM取钱 (起诉书中并未对钱骡提起控诉)。Manokhin于2017年在斯里兰卡被美国司法机构逮捕,但被保释并潜逃到了俄罗斯,至今仍与其他4名俄罗斯籍Goznym成员在逃。
尽管司法机构将Goznym描述为统一的有组织黑客行动,但其大多数成员似乎是自由黑客,在俄语网络犯罪论坛上提供自己的服务。当这些人通过在线论坛被招募并联合各自专业技能以推进网络犯罪目标时,Goznym网络就形成了。该组织似乎是通过在线聊天来协同行动的。
欧洲检察官组织官员 Gabriele Launhardt 表示:该松散网络的全球化特性需要六个国家的警察和检方也组成同样的全球性协作,共享证据并同步抓捕。此类国际性协作前所未见,是无论网络犯罪组织多大都逃不脱司法起诉和警察抓捕的标志,网络犯罪组织的基础设施终归会被捣毁。犯罪分子跨境合作,警方也会国际协作,没人能逃过法律的制裁。
当然,他的评论中隐去了该案半数被告成功逃过司法制裁的事实——逃往了似乎完全无意配合调查的俄罗斯。随着网络犯罪打击行动的全球化,网络罪犯自身也加重了全球化属性,有些就藏身在西方司法机构无力触及的国家或地区。
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
