北京时间6月7日消息,在80多个国家的相关当局的帮助下,微软和美国联邦调查局(FBI)已针对全球最大的网络犯罪组织之一发起了一场大规模打击活动。据悉,这个犯罪组织在过去18个月时间里已盗窃了超过5亿美元的银行账户资金。
微软表示,该公司旗下反数字犯罪部门周三对Citadel Botnets(以下简称“Citadel”)实施了成功打击。Citadel所属恶意僵尸网络预计多达1400个,而微软在此次行动中至少捣毁了1000个。据微软称,Citadel已经在全球范围内感染了最多500万台个人电脑,被用来从数十家金融机构那里窃取了大量资金,其中包括美国运通、美国银行、花旗集团、瑞士信贷集团、eBay旗下PayPal部门、汇丰银行、摩根大通、加拿大皇家银行和富国银行等。
虽然参与这些网络犯罪活动的犯罪分子仍旧逍遥法外,而且当局也尚未获得任何有关主谋的身份信息,但此次国际协调打击活动已沉重打击了这些犯罪分子的网络能力。“犯罪分子将会感受到遭受重击之痛。”微软反数字犯罪部门助理总法律顾问理查德·博斯科维奇(Richard Domingues Boscovich)说道。
僵尸网络是由大量受感染的个人电脑组成的,这些电脑被迫定期访问由黑客运行的“命令与控制”服务器,并遵照其指令行事。通常情况下,僵尸网络被用来从事金融犯罪活动、发送垃圾邮件、散播电脑病毒和攻击电脑网络。Citadel是目前最大的僵尸网络之一,微软称这个僵尸网络的的创造者将恶意软件与盗版Windows操作系统捆绑在一起,藉此控制了美国、西欧、中国香港、印度和澳大利亚的许多个人电脑。
美国联邦调查局向路透社表示,目前该局正在与欧洲刑警组织(Europo)及其他海外相关当局展开密切合作,尝试捕获身份未知的网络犯罪分子。联邦调查局表示,该局已经展开了“相当高级的”犯罪调查活动,并已获得搜查证。“我们正在扩大自己的承诺义务,将积极追击僵尸网络的创造者和散播者。”联邦调查局助理执行主管理查德·麦克菲利(Richard McFeely)在接受采访时说道。“我们与海外合作伙伴齐心协力地开展了此次打击活动,他们正在帮助我们鉴别犯罪分子身份,确定其所在位置,并将在抓获这些僵尸网络的创造者和散播者以后按照美国刑事程序对其进行处理。”
微软已经针对这些身份未知的黑客向位于北卡罗来纳州夏洛特的美国地区法庭发起了一项民事诉讼,并已获得了一项允许其关闭僵尸网络的法庭命令。这项诉讼已在周三对外公布,微软在诉讼中将主谋称作“John Doe No. 1”(无名氏一号),别名为“Aquabox”,指控其创造了Citadel僵尸网络并对其进行维护。
博斯科维奇表示,调查人员正试图确定Aquabox的真实身份,称其怀疑这名主谋居住在东欧,其合谋者包括至少81名“牧人”,这些来自全球各地的“牧人”负责僵尸网络的运行工作。微软表示,Citadel软件是程控的,因此不会攻击乌克兰或俄罗斯的个人电脑或金融机构,这很可能是由于其创造者是在这些国家中操纵Citadel网络的,因而希望避免刺激当地的执法官员。
企业或需自负损失
据微软称,Citadel已被用来从美国及海外银行中窃取了5亿多美元资金,但该公司并未具体透露单个账户或金融公司的损失。目前已有三大金融行业组织与微软展开合作,其中包括美国银行家协会(ABA);该协会表示,在捣毁活跃Citadel僵尸网络方面所取得的任何成功都可减少银行及其客户未来可能蒙受的损失。“我希望我们能找到一种方法,逐步接近这些犯罪活动背后的最终主谋。”美国银行家协会副总裁道格·约翰逊(Doug Johnson)说道。
美国银行家协会表示,在美国,银行通常情况下会对网络犯罪活动的个人受害人进行赔偿,但可能会要求企业客户自行承担损失。
微软的“数字侦探”团队以该公司位于华盛顿州雷德蒙德的企业总部为基地,自2010年以来这个团队已经参与了七次网络犯罪打击活动,而周三开展的大规模打击活动是其首次与美国联邦调查局联手出击。微软在大约10天以前向联邦调查局寻求合作;据麦克菲利称,当时联邦调查局向微软表示,该局已经开展了大量工作来对Citadel僵尸网络进行刑事调查。
微软表示,该公司和联邦调查局正在与许多国家和地区的执法机关及其他组织展开合作,包括澳大利亚、巴西、厄瓜多尔、德国、荷兰、中国香港、冰岛、印度、印度尼西亚、西班牙和英国等。微软称,在该公司周三关闭的1000多个僵尸网络中,有455个是在美国的40个数据中心中托管的,其他僵尸网络则散布在数十个海外国家中。
在美国执法官的陪同下,微软技术人员造访了位于宾夕法尼亚州东北部城市斯克兰顿(Scranton)和新泽西州阿布西肯(Absecon)的两个数据中心以搜集法律证据。博斯科维奇表示,通常情况下数据中心运营商不知道它们的服务器被僵尸网络所使用。“审查自身服务器中有哪些网络在运行并非它们的义务。”他说道。
第二次大规模打击行动
此次行动是微软反数字犯罪部门第二次尝试一次性捣毁数量庞大的僵尸网络。在2012年3月份,该部门曾以数百个Zeus僵尸网络为打击目标。Zeus使用的软件和基础设施与Citadel类似,但没有后者那么复杂。据微软透露,当时反数字犯罪部门的行动取得了成功,但在作为行动目标的大约800个Zeus“命令与控制”服务器中,仅有四分之一被捣毁。跟Citadel不同的是,Zeus并非由单一开发者控制的,因此调查人员更难追查和揪出幕后主谋。
网络犯罪分子通常会通过发送垃圾邮件的方式来感染电脑,这些邮件中含有恶意链接和附件。此外,犯罪分子还会通过电脑病毒来侵入合法网站,对毫无戒心的网站访问者进行攻击。有些僵尸网络“牧人”会在黑市上向其他网络犯罪分子出租或出售受感染的电脑,这些犯罪分子会从事范围更加广泛的犯罪活动。
Citadel软件会令受感染个人电脑上安装的反病毒程序失效,使其无法探测到恶意软件。Citadel是在2012年初浮出水面的,以工具包的形式通过互联网以2400美元或更高的价格出售。据法庭文件显示,这些工具包允许“牧人”更加容易地以盗版Windows XP操作系统为基础建立和运行僵尸网络。工具包中包含用来感染个人电脑的模块,此外还有用来从在线银行网站窃取资金、发送垃圾邮件以及从事其他网络犯罪活动的模块。
博斯科维奇称,他认为Aquabox本人会从使用Citadel的犯罪分子所窃取的资金中获得一定比例的分成。
据微软诉讼称,有些Citadel僵尸网络的运营者已经利用被感染电脑进行了所谓的“分布式拒绝服务”(DDoS)攻击以破坏银行网站,希望藉此分散金融公司的注意力。微软还表示,Aquabox向“牧人”们提供了一个秘密论坛,后者可在这个论坛上建议Citadel工具包应开发出什么样的新特性,同时他们还会就如何才能最好地运行僵尸网络等问题交换看法。
