當地時間8月29日,美國聯邦調查局(FBI)和司法部(DOJ)宣布開展了一項跨國行動,以打擊和摧毀名為Qakbot的惡意軟件和僵尸網絡。此次行動發生在美國、法國、德國、荷蘭、羅馬尼亞、拉脫維亞和英國,是美國主導的對僵尸網絡基礎設施的最大規模摧毀行動之一,網絡犯罪分子利用該僵尸網絡基礎設施實施勒索軟件、金融欺詐和其他網絡犯罪活動。聯邦調查局局長克里斯托弗·雷(Christopher Wray)表示:“聯邦調查局消滅了這個影響深遠的犯罪供應鏈,將其徹底切斷。” “受害者包括東海岸的金融機構、中西部的關鍵基礎設施政府承包商、西海岸的醫療設備制造商。”據悉,全球執法機構在全球范圍內識別并訪問了超過70萬臺受Qakbot感染的計算機,其中包括超過20萬臺位于美國的計算機。此次行動還從Qakbot網絡犯罪組織中查獲了近900萬美元的加密貨幣,這些資金現在將提供給受害者。美國司法部(DoJ)強調,官方修復人員還主動連接到受感染的計算機,以消除數萬臺受害計算機上的Qakbot感染,并表示他們是在“合法訪問”的情況下進行的。

Qakbot惡意軟件是什么?

Qakbot(又名Qbot)通常用作第一階段植入程序,主要通過包含惡意附件或鏈接的垃圾郵件感染受害者計算機。在不知情的目標打開電子郵件中的惡意附件即被感染。一旦它危害了一臺機器,它就會將其奴役于僵尸網絡基礎設施,然后等待進一步的指令。由此產生的持續感染網絡可以根據需要傳遞額外的惡意軟件。

用戶下載或單擊內容后,Qakbot向他們的計算機傳送了其他惡意軟件(包括勒索軟件)。該計算機還成為僵尸網絡(受感染計算機的網絡)的一部分,并且可以由僵尸網絡用戶遠程控制。一直以來,Qakbot受害者通常都不知道他們的計算機已被感染。 

 因此,在2007年作為銀行木馬出現后,它已經發展成為暗網初始訪問代理市場的一部分,其運營商向任何付費網絡犯罪分子出租其受感染機器網格的訪問權限。Qakbot一直是各種威脅行為者發起的大量不同活動的關鍵推動者,提供從勒索軟件到加密挖礦程序再到間諜軟件等各種有效負載。

近年來,Qakbot已被許多多產勒索軟件組織用作初始感染手段,包括Conti、ProLock、Egregor、REvil、MegaCortex 和Black Basta。然后,勒索軟件攻擊者勒索受害者,在返回受害者計算機網絡的訪問權限之前尋求比特幣支付贖金。這些勒索軟件團體對企業造成了重大損害,

因此,Qakbot惡意軟件已被用于勒索軟件攻擊和其他網絡犯罪,給美國和國外的個人和企業造成了數億美元的損失。 司法部表示:“調查人員發現的證據表明,2021年10月至2023年4月期間,Qakbot管理員收取的費用相當于受害者支付的約 5800萬美元的贖金。”

FBI局長雷說:“這個僵尸網絡為此類網絡犯罪分子提供了由數十萬臺計算機組成的命令和控制基礎設施,用于對全球個人和企業進行攻擊。” 

除FBI外,參與行動的還包括歐洲刑警組織、法國警察網絡犯罪中心局和巴黎檢察院網絡犯罪科、德國聯邦刑事警察局和法蘭克福總檢察長辦公室、荷蘭國家警察和國家檢察院、英國國家犯罪局、羅馬尼亞國家警察和拉脫維亞國家警察。司法部國際事務辦公室和聯邦調查局密爾沃基外地辦事處提供了大量協助。

國家主動清除Qakbot惡意軟件

作為行動的一部分,FBI獲得了對Qakbot基礎設施的合法訪問權限,并在全球范圍內識別出了超過700,000臺受感染的計算機,其中超過200,000臺位于美國。為了摧毀僵尸網絡,FBI將Qakbot流量重定向到局控制的服務器,這些服務器指示受感染的計算機下載卸載程序文件。該卸載程序旨在刪除Qakbot惡意軟件,將受感染的計算機從僵尸網絡中解放出來,并阻止安裝任何其他惡意軟件。 

 雷說:“所有這一切都是通過聯邦調查局洛杉磯分部、聯邦調查局總部網絡部門以及我們國內外合作伙伴的不懈努力才得以實現的。” “我們國家面臨的網絡威脅每天都變得更加危險和復雜。但我們的成功證明我們自己的網絡和我們自己的能力更加強大。”雷表示,與美國的聯邦和國際合作伙伴一起,FBI將繼續系統地瞄準網絡犯罪組織的各個部分、他們的協助者和他們的資金,包括破壞和摧毀他們使用非法基礎設施攻擊我們的能力。今天的成功再次證明了聯邦調查局的能力和戰略如何嚴厲打擊網絡犯罪分子,并使美國人民更加安全。

類似的主動清除惡意軟件并不是FBI的第一次。之前在端點清理方面也采取了積極主動的策略,盡管這種做法可能存在爭議。2023年5月份,FBI使用了一款名為Perseus的自定義工具,作為其所謂的“美杜莎行動”的一部分,旨在禁用受感染計算機上的Snake惡意軟件。Snake是俄羅斯贊助的Turla高級持續威脅(APT)使用的簽名惡意軟件。Perseus發出的命令導致 Snake惡意軟件覆蓋其自身的重要組件,并在未經用戶主動同意的情況下在計算機上自動執行,這要歸功于美國治安法官簽發的授權遠程訪問的搜查令。

據司法部的通告,此次執法行動的范圍僅限于Qakbot參與者在受害者計算機上安裝的信息。它沒有擴展到修復已安裝在受害者計算機上的其他惡意軟件,也沒有涉及訪問或修改受感染計算機的所有者和用戶的信息。

Zscaler提供了寶貴的技術援助。FBI與網絡安全和基礎設施安全局、Shadowserver、微軟數字犯罪部門、國家網絡取證和培訓聯盟以及Have I Been Pwned合作,協助受害者進行清理和補救。

Qakbot從此將銷聲匿跡?

對于此次美國FBI主導的全球主動清除行動,網絡安全行業也有不同的看法。

KnowBe4的數據驅動防御傳播者 Roger Grimes 指出,將被利用的節點重定向到更安全的服務器以進行主動清理的決定是有風險但有積極回報的。

他在一份電子郵件聲明中表示:“這種主動清理過去很少見,而且經常受到爭議,甚至許多網絡安全專家也是如此。” 

如果操作不當,刪除可能會出現嚴重錯誤。我很高興聯邦調查局及其合作伙伴認為主動清理是值得冒險的。它不僅改善了安裝Qakbot的受剝削人員和組織,還改善了下一個無辜受害者的情況”。

Sophos應用研究現場首席技術官Chester Wisniewski表示,雖然勝利就是勝利,但之前對Qakbot的精神兄弟Trickbot和 Emotet的打擊表明,從長遠來看,這種破壞對地下網絡的影響可能不會那么大。

他通過電子郵件指出:“打擊Qakbot僵尸網絡……將會給僵尸網絡的運營商和相關犯罪團伙帶來極大的不便。” “可悲的是,這并不能阻止Qakbot的主人重建它并繼續從我們的安全失敗中獲利。只要我們能夠提高犯罪分子實施其計劃的成本,我們就必須利用這些機會,但這并不意味著我們可以休息我們必須繼續努力查明責任人,并追究他們的責任,以真正使其行動癱瘓。”

Mandiant研究人員對此表示同意,但指出,鑒于勒索軟件由于俄羅斯或朝鮮等敵對民族國家的參與而成為一項重大的國家安全挑戰,因此對日益專業的網絡犯罪伙伴關系的任何部分進行騷擾都構成了道德責任。

Mandiant Intelligence副總裁桑德拉·喬伊斯 (Sandra Joyce)表示:“這種商業模式的基礎是堅實的,這個問題不會很快消失;我們擁有的許多工具不會產生持久的影響。”“這些團體將會恢復,他們也會回來。但我們有道義上的義務,盡可能地破壞這些行動。”

至于從運營角度來看這對企業意味著什么,Mandiant財務分析高級經理金伯利·古迪 (Kimberly Goody)表示,預計犯罪生態系統內會出現一些短期斷裂,這可能會催生新的合作伙伴關系,維權者需要密切關注。

僵尸網絡 網絡犯罪 網絡安全
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接