Blackhat2017 FBI展开联合行动摧毁雪崩网络 打击钱骡跨国网络犯罪

在拉斯维加斯Blackhat上,FBI的高级特别探员Tom Grasso讨论了2016年12月捣毁的Avalanche雪崩网络的过程和合作关系。他表示雪崩Avalanche“并不是僵尸网络”,而是由两名管理员创建的基础设施,自2010年起开始活跃,这个架构可用于搭建并启用僵尸网络。服务器的多层次网络被用于传播恶意软件活动,促进“钱骡”洗钱,并作为其他僵尸网络的快速通量通信基础设施。

钱骡是什么

钱骡(Money mule)指通过因特网将用诈骗等不正当手段从一国得来的钱款和高价值货物转移到另一国的人,款物接收国通常是诈骗份子的居住地。Money mule这个说法是在drug mule(药骡)的基础上衍生出来的。这个角色曾经在2016年底,趋势科技分析新款ATM恶意软件Alice的报告中出现过

雪崩网络运营了庞大的网络基础架构

该网络影响了50多万个系统,并造成数亿美元损失。雪崩网络控制的恶意软件包括Nymain勒索软件和GozNym。后者是用于窃取凭证和发起诈骗性电汇的银行木马

Grasso展示了雪崩网络在犯罪论坛DirectConnection上的一则广告。广告中,雪崩网络被描述成“理想的主机木马”,具有“防弹主机”和高速上行流量。80多个恶意域名与雪崩网络相关,Grasso解释说,其复杂性

“表明犯罪分析需要付出很多努力才能使之奏效”,“我们讨论的不是未独立的孩子,而是商人。于他们而言,这是一项业务。”

“这是犯罪分子的一项战略举措,通过运行雪崩网络使之更为复杂,让执法干预人员不会生疑。”

另外,Grasso还讨论了FBI减少僵尸网络威胁的方法。这些措施包括通过逮捕、指控、起诉等方式中立威胁源起方;禁用基础设施;通过共享输入/输出控制器和签名缓解威胁。

他补充说,与私营企业的合作很重要。私营企业识别优先级威胁,FBI与其合作共同讨论研究解决方案。双方共享问题信息并确定中和威胁的方法。

跨国网络犯罪还需要各组织展开联合行动

FBI与私企、国际组织和国外政府合作捣毁雪崩网络。合作机构包括联邦调查局代理、德国联邦警察、乌克兰警察、非盈利性安全机构Shadowserver基金会和爆出雪崩网络技术模式的德国公司Fraunhofer。Grasso表示:

“犯罪分子之间的协作无可挑剔,这是他们所向披靡的原因之一。若要解决这些问题,我们必须精诚合作。”

2015年11月,人们发现雪崩背后的管理人员在摩尔多瓦使用一台私人服务器与客户端和域注册面板保持通信。2016年1月,他们将这台摩尔多瓦服务器的功能转移至美国的一台私人服务器上。

对私人服务器上的搜查令中暴露了管理员的邮件地址和包括200多位客户的好友列表。官方发现easy-reg.net是一个管理面板,雪崩网站上运行着3000多个域。官方在聊天记录中发现,“快速通量”决策推动了网络犯罪活动。

雪崩调查包括搜查四个国家,逮捕五人,付出“前所未有的努力”查明与基础设施相关的80多万个恶意域名。展望未来,Grasso强调与私营和国际伙伴合作的重要性,因为犯罪分子常常在国外操作。Grasso说道。

“坏蛋绝对不会呆在您的国家,您调查时他们总是藏身别处。”

发表评论