关键词
黑客
美国司法部和联邦调查局在7月上旬透露,曾经名噪一时的黑客组织“蜂窝”,已遭到打击,随着调查有所进展,目前可以公布相关细节。
“在一场21世纪式的网络监视中,我们的调查团队对‘蜂窝’(Hive)进行了反击,捕获了他们的解密密钥,并将密钥发给受害者,最终避免了超过1.3亿美元的勒索赎金支付。”这是司法部副部长丽莎‧摩纳科在今年1月26日向外界公布,美国捣毁了一个名为“蜂窝”(Hive)的国际黑客网络勒索组织时说的一番话。
美国司法部和联邦调查局(FBI)是如何捅掉这个“蜂窝”的呢?
随着更多细节的公开,让此前司法部的信息更加具体清晰起来,也反映出FBI在网络黑客“魔高一尺”时表现出的“道高一丈”的高超反黑客能力。
黑客“蜂窝”以特许经营方式迅速扩张,危害80多个国家
根据美国司法部的信息,自2021年6月起的一年半时间里,“蜂窝”网络勒索组织针对全球80多个国家的1,500多名受害者——包括医院、学校、金融公司和关键基础设施——发起攻击,并遭到了超过1亿美元的勒索赎金。
在其中一个案例中,一家受到“蜂窝”勒索软件攻击的医院不得不采用全手动方法来治疗现有患者,并且在受到攻击后无法立即接收新患者。
“蜂窝”使用“勒索软件即服务”(ransomware-as-a-service,RaaS)模式,这是一种基于“订阅”功能的勒索软件模式,也就是说,勒索软件的开发人员(或称“管理员”)创建出一个易于操作的界面,被称为“会员”的其他黑客可以通过“订阅”获得现成的该恶意勒索软件,然后向他们各自的目标发动攻击。每次攻击成功并获得赎金后,“蜂窝”的“管理员”和“会员”按照二八开的比例分配赃款。
这种运作方式很像一些品牌店常用的特许经营模式,这让“蜂窝”的黑客网络能够迅速扩张。
司法部还谴责,“蜂窝”迅速扩张的另一个原因是其残酷性,因为他们也将医院和医疗保健机构列为攻击目标,而其他网络黑客都宣布这些机构为禁止攻击目标,至少表现出一点“盗亦有道”的底线。
“蜂窝”还采用双重勒索攻击模式,即,黑客会先窃取敏感数据与信息,然后再加密锁住受害者的电脑系统,并向受害者勒索赎金。如果受害者支付了赎金,黑客就会给受害者提供解密密钥,并承诺不发布被盗信息;如果受害者不支付赎金,黑客就会在“蜂窝泄密”(Hive Leak)网站上公布受害者的姓名和敏感信息,这也成为黑客为获得赎金而对受害者的加压手段。
媒体报道,“蜂窝”在其暗网上发布的拒绝付款的受害者在2022年8月有7名,9月有8名,10月7名,11月9名,12月达14名。
FBI位于佛州坦帕的办事处负责“蜂窝”案件
据报道,“蜂窝”在2021年7月首次进入FBI的监视范围。当时另一个臭名昭著的国际黑客勒索组织正对一个美国天然气管道公司和一个肉类加工商发起一波严重的攻击,那时还不为人知的“蜂窝”黑客也在进行攻击并锁死了佛罗里达州一个组织的电脑网络。出于安全考虑,该受害组织的名字至今一直未公开。
由于这是“蜂窝”在美国境内发生的第一起已知攻击,根据FBI的程序规定,距离受害者最近的FBI坦帕办事处将承担未来所有相关的“蜂窝”案件。
FBI坦帕办事处的特工督察贾斯汀‧克伦肖表示,他和他的团队当时对“蜂窝”组织“一无所知”,但他们很快就深入了解了情况。
随着“蜂窝”发起一次又一次的网络攻击,坦帕的FBI特工询问了每一位向该处报案求助的受害者,他们在这一过程中也慢慢获得了关于“蜂窝”的宝贵情报。
他们了解到,“蜂窝”不是像普通黑手党组织那样的一个团体,而是由多个小团体组成的大网络,就像麦当劳那样的品牌特许经营店。“蜂窝”还采用了“勒索软件即服务”(RaaS)模式,其核心成员向其他犯罪分子——数量庞大的网络“会员”出租其加密勒索软件,让那些犯罪分子成为部署勒索软件的有效负载。
FBI坦帕办事处获重大突破,成为帮助受害者的平台
媒体报道说,在第一个案子送到FBI坦帕办事处后的12个月里,克伦肖和他的团队终于取得了重大突破。
克伦肖表示他找到了一种方法来闯入“蜂窝”的远程管理面板——这是一个数字神经中枢,“蜂窝”的团伙成员在这里保护他们的加密密钥,并“保存”他们窃取的受害者(如医院、学校和企业)的数据。
克伦肖和FBI网络犯罪行动科的科长布莱恩‧史密斯都没有具体说明他们是如何实现这一反渗透“壮举”的。史密斯只会说,这是通过“真正基本的调查活动来实现的,但这些活动不会用于制作精彩的电视剧,而只会用于出色的破案”。
这个“壮举”的结果是,一旦受害者受到“蜂窝”的攻击,FBI有能力识别他们的身份,然后就可以从“蜂窝”的数字中枢获取他们所需的解密密钥。
在接下来的六个月里,FBI坦帕办事处为全球300多名新受害者提供了这种解密密钥,并为以前的受害者分发了另外1,000多个解密密钥。
克伦肖说,因为其团队为受害者提供这种技术援助的出色表现,他们还给自己起了一个幽默的绰号——“蜂窝帮助台”。
不以抓捕犯罪分子为目的的“捅蜂窝”策略
不过,FBI对“蜂窝”的成功渗透并没有转化为对该黑客组织的全面摧毁。根据网络安全公司“记录未来”(Recorded Future)的研究员艾伦‧利斯卡汇编并与“政客”独家分享的数据,即使FBI潜伏进该组织内部,“蜂窝”组织仍然能够保持稳定的攻击节奏。
作为一名勒索软件的追踪者,利斯卡还表示,即使受害者获得了解密密钥,也可能需要数周时间和大量现金才能恢复其网络。
他说:“恢复的成本很高,尤其是如果你不想再次受到打击的话。”
另外,逍遥法外的“蜂窝”成员也可以换个新名字继续活跃作案。
今年6月,美国司法部公布了对一名俄罗斯公民的起诉书,该人被指控作为“蜂窝”的“会员”工作。这个人名叫米哈伊尔‧马特维耶夫,不仅仍然逍遥法外,而且还曾为另外两个黑客勒索团伙工作过——这表明黑客很容易在犯罪团伙之间游走,并在一个团伙崩溃后重新在另一个团伙里浮出水面。
FBI认为,这使得不以抓捕犯罪分子为目的的“捅蜂窝”策略,成为颇为值得一试的折中策略,尤其是大多数网络犯罪分子在美国执法部门无法触及的国家运作,他们可能认为他们永远不会有被逮捕的风险。据信,“蜂窝”与许多其他黑客勒索团伙一样,可以在俄罗斯境内安全运行。
美国国家安全局(NSA)的网络安全部门负责人罗布‧乔伊斯表示,FBI反渗透战略是为了破坏犯罪分子对犯罪生态系统的信任。
乔伊斯说,像“捅蜂窝”这样的行动“让很多犯罪分子左顾右盼,不确定他们可以信任谁或可以相信什么,这种整体摩擦会减慢他们的速度,并限制他们的范围和规模运作的能力”。
不过,来自斯洛伐克的电脑网络安全公司ESET发现,这些黑客的手段包括透过更新被植入名为AhMyth Android RAT(AhRat)的远程访问木马,让其变成偷窃使用者资料的恶意软件。
微软说,这个黑客活动“影响到了通信、制造、公用事业、交通、建筑、海事、政府、信息技术和教育等部门的组织”。
“观察到的行为表明,有威胁的行动者打算进行间谍活动,并在不被发现的情况下尽可能长时间地保持访问权限。”
澳洲与美国、加拿大、新西兰和英国都谴责这种黑客攻击,并说黑客来自于一个组织。
最后终于发现并缴获“蜂窝”的主服务器
随着时间的推移,仅限于反渗透的“捅蜂窝”行动也带来了令人惊讶的胜利。今年1月初的某个时候,FBI坦帕办事处有了第二次重大突破。这彻底改变了“蜂窝”一案。
媒体报道说,根据更细致的调查工作,FBI了解到“蜂窝”从洛杉矶的一个数据中心租用了用于发动攻击的主服务器。仅仅两周后,FBI就查封了这些服务器,永久终止了“蜂窝”的黑客攻击。
尽管如此,史密斯和克伦肖都表示,该案件并没有结案,因为“蜂窝”的成员仍然逍遥法外。不过,这两台服务器可能帮助FBI揭开过去18个月内与“蜂窝”合作过的“会员”们的面纱——这意味着从长远来看,这次突破可能会导致对更多网络犯罪分子的逮捕。
克伦肖说:“对我们来说,这只是第一轮。”
司法部副部长丽莎‧莫纳科在今年4月的RSA安全会议上表示,按照FBI的旧标准,在没有逮捕任何犯罪分子的情况下是不会庆祝这种重大案件的,但是现在,对于“蜂窝”一案,她说:“我们不仅仅用法庭行动来衡量我们的成功。”
多国合作捣毁“蜂窝”网络
根据美国司法部今年1月公布的消息,美国是在德国联邦刑事警察局、德国罗伊特林根警察总部的埃斯林根刑事调查局、荷兰国家高科技犯罪部门和欧洲刑警组织的重要合作下,控制住了“蜂窝”用来进行黑客犯罪活动的服务器和网站。
司法部长梅里克‧加兰在1月26日说:“昨晚,司法部捣毁了一个国际勒索软件网络,该网络负责勒索并试图向美国和世界各地的受害者勒索数亿美元。网络犯罪是一种不断演变的威胁。但正如我之前所说,司法部将不遗余力地查明从任何地点针对美国发起勒索软件攻击的人,并将其绳之以法。我们将继续努力防止这些攻击,并为遭受攻击的受害者提供支持。我们将与我们的国际合作伙伴一起,继续瓦解那些部署这些攻击的犯罪网络。”
FBI局长克里斯托弗‧雷说:“FBI将继续利用我们的情报和执法工具、全球影响力和合作伙伴关系来打击针对美国企业和组织的网络犯罪分子。”
司法部刑事司的助理部长肯尼思‧波利特说:“我们将继续调查并追捕‘蜂窝’的幕后黑手,直至将他们绳之以法。”
此外,在“蜂窝”案件中,为美国司法部提供了大量援助和支持的其它外国机构还有:加拿大皮尔地区警察局和加拿大骑警,法国司法警察局,立陶宛刑事警察局,挪威国家刑事调查局和奥斯陆警察局,葡萄牙司法警察局,罗马尼亚打击有组织犯罪局,西班牙国家警察局,瑞典警察局,以及英国国家犯罪局。
END
阅读推荐
【安全圈】快查手机!工信部通报32款侵害用户权益APP(SDK)
安全圈
←扫码关注我们
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
文章引用微信公众号"安全圈",如有侵权,请联系管理员删除!
