在全球范围内打击恶意网络攻击的斗争中,没有比联邦调查局(FBI)更重要的组织了。近年来的事实证明,FBI取得了不小的战绩。
2023年5月初,美国司法部宣布结束一项名为“MEDUSA”的政府行动。该行动破坏了受名为“Snake”的恶意软件危害的全球计算机点对点网络。Snake恶意软件归属于俄罗斯政府安全局下属的一个名为Turla的部门,它运行了近20年,窃取了至少50个国家的政府、记者和其他人的文件,并通过美国受感染的计算机“清洗”这些数据。作为广泛、持续的网络间谍活动的一部分。为了促进打击“MEDUSA”行动的成功,联邦调查局创建了珀尔修斯-PERSEUS。该工具导致Snake恶意软件覆盖其自身的组件,从而使自身陷入困境。
简而言之,联邦调查局及其合作伙伴创建了类似恶意软件的东西,其有效负载可以改变目标计算机上的软件。在FBI看来,被修改的软件本身才是真正的恶意软件。
这并不是联邦调查局唯一一次通过黑客攻击来击败黑客。但这种积极、有效的行动在十年前可能是不可想象的。
FBI打击网络犯罪的专职机构
FBI设有一个名为网络部门(CyD)的部门,负责调查和起诉网络犯罪。该组织不仅关注对政府和公民的威胁,还关注对美国公司的威胁。
超过1,000名CyD的特工和分析师在美国56个现场办事处和350多个分支机构工作。他们还组成网络行动团队前往全球各地,帮助外国打击网络犯罪并了解对美国利益的威胁。联邦调查局还与美国主要三个情报机构合作,包括中央情报局、国土安全部和国家安全局。
在政府内部,该中心是国家网络调查联合特遣部队(NCIJTF)。FBI领导着这个由30多个来自情报界和执法部门的同地机构组成的特别工作组。NCIJTF围绕基于关键网络威胁领域的任务中心进行组织,并由合作伙伴机构的高级管理人员领导。通过这些任务中心,作战和情报得以整合,以最大程度地打击美国对手。
FBI还正式与美国工业界合作。超过600家财富1000强公司加入了FBI的国内安全联盟委员会,分享有关新兴威胁的最佳实践和知识。该局的InfraGuard计划将约70,000名美国专业人员联系起来,以保护私营工业的基础设施。该局是许多其他学习、教学和协调网络安全实践团体的一部分。
CyWatch是该局的24/7、一年365天的网络中心。在那里,具有广泛不同技能的专业人士协调国内执法部门对网络攻击的反应。它还管理联邦调查局自己对攻击的响应。
该局的互联网犯罪投诉中心(IC3) 公开邀请举报网络犯罪,联邦调查局可能会选择对此进行调查。
联邦调查局还保留着一份网络通缉犯名单。这有助于全球公众识别并举报该局最臭名昭著的嫌疑人。
当然,联邦调查局利用其信誉和影响力来警告公众有关新出现的威胁,并就如何应对这些威胁提供指导。
许多组织、政府和机构都在打击网络犯罪。但联邦调查局处于独特的地位,部分原因是它从线索、与美国公司和科技公司、外国执法机构和其他美国机构的合作中获得了所有帮助。
近年来,它利用这种合作取得了更大的效果。
FBI过去十年的重大战果
以下只是联邦调查局在全球范围内阻止网络攻击的一些案例。
2013年
丝绸之路:联邦调查局接管了专门销售非法毒品和其他违禁品的暗网市场“丝绸之路”,并逮捕了创始人罗斯·乌布利希。
Citadel僵尸网络:FBI和国际执法机构查获了1,400多个银行欺诈Citadel僵尸网络实例,该僵尸网络在约500万台计算机上安装了键盘记录器,最终目标是从银行窃取资金。肇事者迪米特里·别洛罗索夫在西班牙被捕,被引渡到美国,接受审判、定罪和监禁。
2014年
Cryptolocker和Gameover Zeus: FBI参与了一项国际合作,旨在破坏分发Cryptolocker勒索软件的Gameover Zeus 银行欺诈僵尸网络。
2015年
Darkode暗网论坛:FBI协调20个国家/地区的执法机构开展了名为“遮蔽地平线行动”的行动,取缔了一个名为Darkode 的在线论坛,该论坛汇集了希望买卖信用卡信息、服务器凭证、黑客工具、恶意软件的人们、僵尸网络和其他对恶意犯罪行为有用的资源。它也是一个分享网络犯罪知识和想法的论坛。在执法人员渗透到封闭地点并在那里收集证据后,他们逮捕了数十名Darkode同伙并对他们提出指控。美国起诉了十几人。
2016年
Avalanche网络:FBI和国际执法机构拆除了Avalanche网络,该网络用于基于网络钓鱼攻击和传播恶意软件的全球犯罪活动。据估计,Avalanche感染了大约50万台计算机,并造成了数亿美元的损失。威胁行为者专门设计它来阻止执法和网络安全专家的检测。
2017年
AlphaBay和Hansa:FBI和国际合作伙伴关闭了这些暗网市场,这些市场均用于销售毒品、武器、被盗数据等非法产品。主要参与者被捕并被定罪。
2018年
重新连线行动:FBI与国际执法部门合作,挫败了一项全球商业电子邮件泄露(BEC)欺诈计划。约28 名嫌疑人在多个国家被捕。
2021年
REvil/Sodinokibi:FBI捣毁了REvil/Sodinokibi勒索软件组织,该组织损害了全球肉类加工公司JBS和Kaseya软件公司。
Emotet和NetWalker:FBI消灭了Emotet恶意软件传播和名为NetWalker的勒索软件变体。
2023年
Hive勒索软件组织:由FBI牵头的全球执法行动关闭了一个与俄罗斯有关的名为Hive的勒索软件即服务(RaaS)组织。该组织自2021年夏季以来一直在销售勒索软件服务和工具,从80个国家的1,500多名受害者(包括医院)中获利约1亿美元。司法部副部长丽莎·摩纳哥(Lisa O. Monaco)表示,这次行动合法地“攻击了黑客”。FBI完全接管了Hive的数字基础设施,将肇事者拒之门外。联邦调查局还向受害者分发了加密密钥。
Qakbot的恶意软件和僵尸网络:FBI主导的执法机构在全球范围内识别并访问了超过70万台受Qakbot感染的计算机,其中包括超过20万台位于美国的计算机。此次行动还从Qakbot网络犯罪组织中查获了近900万美元的加密货币,这些资金现在将提供给受害者。
FBI打击QakBot僵尸网络有大招:20万僵尸经木马流量重定向自动卸载
FBI高效网络执法的主要障碍
前员工和心怀不满的员工批评联邦调查局打击网络犯罪的方式。首先也是最重要的是,联邦调查局长期以来一直期望所有特工都能胜任该机构内的任何工作,非技术人员有时在网络部门工作,而网络专家则在该领域从事其他类型的犯罪工作。批评者说,这不适用于网络安全等高度专业化的领域。
此外,一些网络安全专家声称,联邦调查局在文化上与打击网络犯罪不兼容。他们说,联邦调查局的文化倾向于快速、彻底的调查,从而促进犯罪分子逮捕和定罪。当肇事者位于不合作国家时,网络调查可能需要数年时间,并导致零逮捕。因此,那些想要追究此类案件的内部人士存在不必要的内部障碍。
FBI本身也遭到黑客攻击;例如,联邦调查局人员及其合作伙伴的数据库最近在一周内两次单独的攻击中遭到破坏。
尽管存在这些障碍,该局的业绩记录仍然令人印象深刻。
FBI打击网络犯罪的方法
十年前,金融欺诈和暗网市场主导了网络犯罪领域。多年来,它转变为来自勒索软件攻击的更大威胁,勒索软件攻击变得越来越“专业”、有害且代价高昂。商业电子邮件泄露、投资诈骗、呼叫中心欺诈,当然还有勒索软件仍然是最常见的威胁。其中大部分涉及社会工程。
一些最复杂且危害广泛的攻击源自国家支持的攻击者,主要是俄罗斯、伊朗和朝鲜。
随着时间的推移,大多数网络攻击都有三个主要目标。第一个目标就是钱,经济利益的追求。从欺诈到勒索软件攻击,“私营部门”以及资金短缺的朝鲜的恶意行为者正在寻求加密货币带来的巨额发薪日。勒索软件利润极其丰厚。因此,当执法部门取缔勒索软件团伙时,他们往往会卷土重来。
另外两个目标是由国家资助的行为者追求的,他们希望窃取知识产权和政府机密。他们想要从医院病人记录到获得安全许可的美国人的个人信息等一切信息。国家资助的行为者希望了解美国网络,这些知识在未来的热战或冷网络战中可能有用。
当我们进入人工智能增强网络犯罪的新世界时,联邦调查局的作用无疑将比以往任何时候都更加重要。
参考资源
1、https://securityintelligence.com/articles/how-the-fbi-fights-back-against-worldwide-cyberattacks/
2、https://www.justice.gov/usao-edny/pr/justice-department-announces-court-authorized-disruption-snake-malware-network
3、https://www.justice.gov/opa/pr/us-department-justice-disrupts-hive-ransomware-variant
声明:本文来自网空闲话plus,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
