图片来源:EMIL LENDOF/THE WALL STREET JOURNAL
一个秘密聊天室里,一名黑客谈到了一项医院攻击计划,字里行间充满了兴奋。按照那项计划,400余所美国医院会遭到攻击并陷入瘫痪。“到时候会出现恐慌的。”这名黑客用俄语写道。管理这个聊天室的是一群网络犯罪分子,而他们与俄罗斯有关联。
这一幕发生在2020年,当时正值新冠疫情十分严重之际,而这伙人打算劫持诸多医院的计算机系统——这当中有很多医院正在努力救治新冠病人。
后来,美国当局和网络安全研究人员挫败了此次计划的大部分,他们在黑客安装勒索软件前,预先向医院发出了警示。不过,根据最近在网上曝光的一批数据及文件,黑客们并没有把这次行动的失败太放在心上。
自2018年起,这个被美国联邦检察官称作Trickbot Group的黑客组织及其附属团队发动过多次网络攻击,导致过许多急诊室、市政府和公立学校的系统关闭,他们因此牟利数亿美元。
2020年那次医院攻击计划失败后,Trickbot组织中一名化名“target”的黑客在发给该组织头目、幕后金主“stern”的一条信息中说,“我觉得这一切很好玩。”
Trickbot也许是世界上最大且最危险的有组织网络犯罪集团 。其内部运作得以如此敞开地被曝光在世人眼前,是俄乌战争带来的一个意想不到的结果。此前,一名自称是乌克兰人的匿名研究者渗入到该组织的服务器中,并于2月27日将数据发布到Twitter上。“乌克兰会崛起的!”他在一条3月2日的推文中写道。
网络安全研究人员和美国官员说,针对通过勒索软件作案的犯罪组织,这些内部对话提供了迄今为止外界对其运作机制所能掌握的最全面且最直接的信息。尽管美国当局一直在追踪Trickbot,但在上述文件曝光前,外界对该组织运作方式及内部细节始终知之甚少。
Trickbot的450名管理者、员工及商业伙伴自2020年6月以来互通的20余万条信息揭示了一个组织严密的犯罪集团,而且它可能与俄罗斯情报机构存在关联。这些资料还展现了组织的韧性,它使得Trickbot在遭到国际执法联盟反击后,可以迅速重整旗鼓;此外,该组织有着不小的野心,不仅希望实现多元化发展,甚至想开发一种加密货币。
Trickbot的内部日常时而“危险”,时而“平凡”。有时,管理者会酝酿宏大的计划,比如开设一个亲俄罗斯的间谍部门,有时,他们则要安排成员的休假,以及缓和员工间的冲突。
-------------------------------------------------------------------------------
聊天记录
二级管理者“Target”指派对美国多家医院发动协同攻击
2020年10月26日,Target对Troy说,
(05:32:20)
在美国
(05:32:21)
将会出现一场恐慌
(05:32:29)
428家医院
(05:32:34)
两到四名协调联系人
(05:32:47)
现在一切都靠你了
-------------------------------------------------------------------------------
据两名与揭秘者相识的人说,今年2月俄罗斯入侵乌克兰促使这名研究人员将信息曝光。这两人可以证实他为了截获Trickbot的通信资料并将其交给西方网络安全专家所做的工作。这名研究人员没有回复记者通过一名中间人向他转达的置评请求。
美国执法官员尚未公开证实这些材料。网络安全研究人员及前安全官员表示,聊天记录和其他泄露的文件似乎是真实的。美国联邦调查局(Federal Bureau of Investigation,简称FBI)拒绝置评。
根据《华尔街日报》(The Wall Street Journal)对上述数据的研究,数据中包含的技术细节与利用勒索软件Conti发动的网络攻击相符,而此前Trickbot曾声称这款软件归它所有,不仅如此,其中的技术细节与另一起网络破坏事件也对得上,安全专家曾将那次事件归因于Trickbot开发的另一款勒索软件Ryuk。
一名参与聊天的恶意软件开发人员使用了一个昵称,该昵称在一份联邦起诉书中曾被认定是Trickbot的程序员。根据网络安全研究人员及网络安全博主布莱恩·克莱布斯(Brian Krebs)称,聊天记录中的空白时期正好是众所周知Trickbot的计算机基础设施被执法部门或情报机构破坏的那段时间。
通常来说,勒索软件会锁定目标计算机网络的文档,直到支付赎金才会解锁文档。近年来,勒索软件已演变为一种犯罪组织。 美国财政部去年秋天表示,2021年前六个月,被美国国内银行标记的美国企业支付的勒索软件赎金较上年同期增长了近一倍,达到近6亿美元。
去年夏天,美国总统拜登(Joe Biden)开始向俄罗斯总统普京(Vladimir Putin)施压,要求他采取行动限制源自俄罗斯的勒索软件。网络安全研究者和政府官员指出,当今世界有许多网络犯罪——包括勒索软件犯罪——都源自那里或是东欧。
美国曾指责俄罗斯国家安全机构参与了网络犯罪或是对其持容忍态度,但俄方予以否认。位于华盛顿的俄罗斯驻美国大使馆没有回复记者的置评请求。记者还向Trickbot聊天记录中出现的22名对话参与者的电子邮箱发去询问邮件,也没有得到回复。
官员们说,网络犯罪组织可能会将美国作为攻击对象,以此报复西方支持乌克兰反抗俄罗斯入侵。美国国家安全局(National Security Agency)局长、美国网络司令部(U.S. Cyber Command)司令保罗·中曾根(Paul Nakasone)上将在3月的一场参议院听证会上警告说,随着乌克兰冲突继续,俄罗斯运用勒索软件或发动其他强力网络攻击的可能性或许会增大。
3月28日,乌克兰军方使用的一家该国网络服务供应商遭遇大规模网络攻击,导致服务中断。官方没有指出谁应为此事负责。
拜登3月下旬表示,不断更新的情报显示,克里姆林宫正寻求对美国发动网络攻击,以此回应它所遭受的惩罚性经济制裁。
据熟悉美国财政部观点的人说,美国官员正在考虑是否制裁Trickbot。一旦实施制裁,美国企业向Trickbot支付赎金将被视为非法。
拜登政府已将勒索软件集团——尤其是在俄罗斯境内运作的那一类——视为国家安全的头号威胁,因为它们有能力破坏关键性的基础设施,如去年油气管道公司Colonial Pipeline Co.遭到网络攻击后,汽油供应一度中断。3月24日,美国司法部公布了对四名俄罗斯人的指控,指控他们对能源设施实施了长达一年的黑客攻击。
最常用的勒索软件
根据网络安全公司Palo Alto Networks旗下黑客追踪团队Unit 42的网络威胁研究人员,Trickbot是发动攻击次数最多、也是最令人畏惧的勒索软件组织之一,到目前为止,它的勒索软件Conti是2021年使用最多的勒索软件。Trickbot还运行着一个附属计划,根据该计划,其他犯罪分子能够以合伙人形式签约,继而使用该组织的勒索软件、服务器,甚至是经过培训的赎金谈判人员,作为交换,他们拿到的每一份赎金都要抽出一定比例上交Trickbot。
根据FBI,去年针对美国应急响应机构(包括医院和911呼叫中心)的网络攻击事件中,有16起运用了Trickbot的勒索软件Conti。此外,爱尔兰国家医疗保健系统遭受的网络攻击中也有Conti的身影,受其影响,该国医生被迫取消了对一些中风及癌症病人的治疗。自2018年以来,Trickbot的另一款勒索软件Ryuk曾被用于攻击至少235家美国综合性医院及其他医疗设施。
--------------------------------------------------------------------------
聊天记录
医院攻击计划泄露后,Target向Stern报告最新情况,并叙述了他为堵漏所做的事。
2020年10月30日,Target对Stern说
(03:20:11)
我觉得这一切很好玩,但Igla和Troy都很忙。
(03:21:13)
已反复检查所有东西,个人电脑上什么也没留下,没有信息泄露
-------------------------------------------------------------------------------
2月27日,那位匿名研究人员将近两年的数据公之于众,包括私人聊天信息、财务信息、源代码及其他技术细节。据他说,这些数据属于勒索软件Conti的运营者。
安保公司Trellix的网络调查负责人约翰·福克(John Fokker)说,此次泄露事件描绘出了行业顶端一家高度职业化且极其冷酷的勒索软件组织的形象。“他们不会区别对待攻击目标,即便攻击的是医院,他们也不在乎。”他说,“一切都是为了赚钱。”
据网络安全分析师亚力克斯·霍尔登(Alex Holden)说,近年来,少数网络安全分析师一直在秘密潜入Trickbot的基础设施,此次泄露数据的匿名曝光者就是这批研究人员中的一员。研究人员在未被发现的情况下记录了私人聊天内容,并在该组织入侵受害者网络时提醒后者,从而破坏了Trickbot的部分计划。霍尔登的公司Hold Security会监视东欧地区的网络犯罪以及Trickbot的动向。
报复计划
据现任与前任官员以及其他熟悉相关行动的人说,2020年9月,美国网络司令部及其他部门的美国官员成功地让数千部电脑摆脱了黑客控制。他们说,在网络攻击前,这些电脑预先受到了感染。
大约在同一时候,微软(Microsoft Corp.)与一个全球科技企业联盟合作,拦截了Trickbot租来运行后台业务的八家美国主机托管公司的服务器。
Trickbot的聊天记录显示,反击给内部人员带来了短暂的挫败感。“这些脱机程序会影响所有人的士气。”一名Trickbot管理者谈到被入侵的电脑突然停止接收Trickbot的指令。
聊天内容显示,该组织立即开始重建听命于它的电脑机群,数周之内,它就完全恢复了实力,并启动了一项危险的复仇计划。这群黑客开始系统性侵入美国的医院,他们打算在这些医院疲于应对不断上升的新冠感染病例之际,让数百家医院的系统同时瘫痪。
--------------------------------------------------------------------------
聊天记录
Mango分享了被盗数据的一种变现设想——在暗网上将其拍卖
2021年4月9日,Mango对Professor说
(18:59:51)
向阿飞致敬!我睡觉的时候,想到了一个很酷的数据拍卖点子。
-------------------------------------------------------------------------------
长期追踪Trickbot的网络安全研究人员对美国当局发出警告,美国国土安全部也向医院敲响了警钟。与此同时,网络安全专家也在努力将损失降到最低。
美国网络安全与基础设施安全局(Cybersecurity and Infrastructure Security Agency,简称CISA)下属新冠工作组前首席策略师约书亚·科曼(Joshua Corman)说, “我觉得我从没像那个星期那样害怕过。”CISA隶属国土安全部,其新冠工作组的成立目的是为了在疫情期间为医疗保健行业提供保护。
聊天记录显示,医院攻击计划遭到反击后,Trickbot的管理者开始寻找泄密原因。Trickbot的一名成员向“stern”报告,“已反复检查所有东西,个人电脑上什么也没留下,没有信息泄露。”
尽管针对医院的协同攻击没有得逞,但在其他行业,仍有非法资金从绝望的受害者手中流入Trickbot的荷包。
根据区块链研究公司Chainalysis,2020年Trickbot的Conti勒索软件业务共获得7,000万美元的赎金,2021年更是超过2亿美元。该公司称,截至今年3月初,Trickbot通过勒索软件Conti拿到的赎金已达1,350万美元。
瞄准那些反对俄罗斯的人
聊天记录中,有很多地方都提到了Trickbot团伙与俄罗斯安全官员之间可能的联系。
网络安全公司Mandiant负责网络犯罪分析的主管金伯莉·古迪(Kimberly Goody)说,“我们可以看到一些对话中带有暗示性极强的信息,表明这群危险人物中至少有一小部分可能与俄罗斯情报部门或俄罗斯政府机构存在某种关系,”黑客们或许在为政府获取情报。
去年10月,一位名叫“kagas”的Trickbot成员带来消息,称在美方官员的要求下,俄罗斯将对该组织重新展开调查。
“调查方解释了为什么要重启调查——美国方面正式要求获得有关俄罗斯黑客的信息,不单是我们,总的来说是在国内被抓的黑客……调查人员传唤我们下周二去谈话,不过目前来看,只是作为证人。”
去年早些时候,该组织成员曾讨论要专门针对“反对俄罗斯联邦的人,”而不是像以往那样,将攻击对象限定在付得起巨额赎金的大公司。
聊天记录显示,一名Trickbot黑客声称自己侵入了开源调查组织Bellingcat一名记者的电子邮箱,此外,针对俄罗斯非军事情报机构联邦安全局(FSB)对2020年该国反对派领导人阿列克谢·纳瓦尔尼(Alexei Navalny)神经毒剂中毒一事的调查,这名黑客也说自己搜寻了相关信息。“我们当然是爱国者。”另一名Trickbot成员写道。
俄罗斯入侵乌克兰的行动激发了一些Trickbot成员的爱国热情。“节日快乐,网络军团!”该组织一名成员2月23日写道,这天是俄罗斯的祖国保卫者日,也是俄军进入顿巴斯(Donbas)的日子;一天后,俄军发动了更大规模的入侵。“让我们打倒美国人!”
--------------------------------------------------------------------------
聊天记录
大老板Stern与一名中层管理者聊天时,抱怨员工质量
2021年7月5日,Stern对Mango说,
(13:59:01)
我这儿有100个人,其中一半人都不去做必需的事
(13:59:09)
只会要钱,因为他们觉得自己他妈的很有用
-------------------------------------------------------------------------------
而其他时候,Trickbot的成员就像是HBO电视剧《硅谷》(Silicon Valley)里的书呆子和阴谋家。从聊天记录中可以看到,一些成员会向高级管理者推销自己钟爱的项目和新的变现方案。“我睡觉的时候,想到了一个很酷的点子。”一位名叫Mango的中层管理者写道,随后便提出一套小额支付拍卖系统——若受害人拒绝合作,Trickbot将以零散方式将他们的被盗数据卖掉。
看牙医
据网络安全公司AdvIntel首席执行官维塔利·克莱米兹(Vitali Kremez)说,Trickbot在莫斯科设有办公室,曾用来招募员工,但和其他公司一样,疫情期间也转为了远程办公模式。克莱米兹根据自己收集的情报得出了上述推论。
他谈到,总体来说,这个组织极其分散。“除非大规模抓人,否则没法端掉他们。”克莱米兹说,“除了人员上的故障点,它没有什么单一故障点。”
聊天内容显示,黑客们会在休息时去看牙医,而且该组织似乎也有自己的人力资源员工。平日,他们会聊起招募技术人才是多么不易,会讲笑话,也会抱怨假期,甚至还聊着推出自己的加密货币区块链。
--------------------------------------------------------------------------
聊天记录
Elroy在新年前夜许下的愿望
2021年12月31日,Elroy对所有人说,
(13:21:35)
新年快乐,朋友们。过去的一年非常有趣。发生了很多事情
(13:21:35)
我希望新的一年:
我们的行政人员有耐心。
我们的软件有活力。
我们的加密货币坚挺。
我们百折不挠。
我们的程序员聪明能干。
我们的测试人员获得关注。
我们的合作伙伴赚到利润。
我们的经理人好心善。
我们的管理层富有耐心。
(13:21:35)
好运,先生们,祝我们所有人,以及那些我还不认识的人
-------------------------------------------------------------------------------
谈到伊隆·马斯克(Elon Musk)时,他们的言语中带着崇敬。“愿他健康。”2020年8月,一名成员在聊到马斯克的卫星互联网服务Starlink的潜在好处时说。
去年,FBI在迈阿密逮捕了艾拉·维特(Alla Witte),这名拉脱维亚人被指是网络犯罪集团Trickbot的主要开发人员之一。后来,黑客们想办法为维特聘请了一名律师,还商量利用赎金利润为辩护提供资金。他们的策略是将维特描绘成对该组织罪行并不知情的同谋,“Mango”写道:“我们要把她塑造成一名受害者,只是在网上找了份工作,她并不知道自己在与谁合作。”
Trickbot试图引导受害者选择该组织喜欢的勒索软件谈判公司,还会运用各种策略,迫使受害者接受愈加严苛的赎回条件。在一段聊天记录中,Trickbot的运营者宣称他们雇佣了一名记者(其姓名和所属机构均未透露),此人会向受害者施压,威胁他们若不从命,将对入侵事件进行负面报道。通过这种方式,该记者可以拿到赎金的5%作为佣金。
2月底,Trickbot宣布将支持克里姆林宫,并表示对于任何针对俄罗斯的网络攻击,它都将给予强有力的回应。“如果有人决定组织针对俄罗斯的网络攻击或任何战争行为,我们将动用一切可用资源,对敌方的关键基础设施展开反击。”Trickbot通过一篇帖子向暗网上的一个网站表示,它通常利用该网站来公布受害人的私人数据。
据Hold Security的安全分析师霍尔登说,这促使那位研究人员将他在监控Trickbot期间收集的数兆字节的聊天记录、代码以及文件资料公之于众。
“现在这个团伙内部一片混乱。”霍尔登说,至少目前来看,泄露事件扰乱了该组织的运作。“我们看到他们还有点想重新集结的意思,但眼下他们没有任何有意义的重建方式。”
3月初,就在上述大规模泄露事件发生后,当初曝光文件的同一名研究人员又对Trickbot内部的聊天记录进行了一次较小规模的曝光,其中的对话记录了黑客们对泄露事件的反应。聊天内容显示,事发后,Trickbot慌忙破坏了他们的基础设施,并销毁了电子证据。“是谁泄的密?”一名成员问道。
图片来源: 美国财政部网站(阅读原文获取公开信息)
与此同时,美国和德国官员在4月5日表示,一项国际联合执法行动已经关闭了世界上最大的“暗网”市场:Hydra ,该暗网为勒索软件攻击、毒品交易和其他犯罪活动提供了便利。
针对主要服务于说俄语国家的Hydra的行动,是有史以来针对暗网的最大打击之一。暗网是一个由网站组成的网络,用户在其中使用加密货币支付非法商品和服务。
美国司法部表示,Hydra占去年所有暗网相关加密交易的80%,自2015年成立以来,该非法市场已收到约52亿美元的数字货币。
德国网络犯罪警察和检察官表示,他们已经缴获了Hydra的服务器,关闭了该服务,并没收了价值2,300万欧元(约合2,500万美元)的比特币。
美国司法部还表示,将对30岁的俄罗斯居民Dmitry Pavlov提起诉讼,罪名是他在运营和管理Hydra服务器中扮演的角色。司法部说,他被控阴谋分销毒品和阴谋洗钱。
另外,美国财政部外国资产管制办公室(OFAC)表示,已对Hydra和俄罗斯加密货币交易所Garantex实施制裁 。OFAC表示,Garantex上超过1亿美元的交易与犯罪分子和暗网络市场有关,其中包括俄罗斯勒索软件团伙Conti和Hydra。OFAC说,Garantex最初是在爱沙尼亚注册的,爱沙尼亚当局与美国财政部进行了协调。
By Robert McMillan /Kevin Poulsen /Dustin Volz/ Alexander Osipovich
2022年4月7日10:25 CST 更新
狗仔卡
发表于 2022-4-10 07:33 PM
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡