當地時間8月29日,美國聯邦調查局(FBI)和司法部(DOJ)宣布開展了一項跨國行動,以打擊和摧毀名為Qakbot的惡意軟件和僵尸網絡。此次行動發生在美國、法國、德國、荷蘭、羅馬尼亞、拉脫維亞和英國,是美國主導的對僵尸網絡基礎設施的最大規模摧毀行動之一,網絡犯罪分子利用該僵尸網絡基礎設施實施勒索軟件、金融欺詐和其他網絡犯罪活動。聯邦調查局局長克里斯托弗·雷(Christopher Wray)表示:“聯邦調查局消滅了這個影響深遠的犯罪供應鏈,將其徹底切斷。受害者包括東海岸的金融機構、中西部的關鍵基礎設施政府承包商、西海岸的醫療設備制造商。”

   Qakbot 惡意軟件主要通過包含惡意附件或鏈接的垃圾郵件感染受害者計算機。用戶下載或點擊內容后,Qakbot 會向其計算機發送其他惡意軟件(包括勒索軟件)。該計算機也成為僵尸網絡(受感染計算機的網絡)的一部分,可以由僵尸網絡用戶遠程控制。一直以來,Qakbot受害者通常都不知道他們的計算機已被感染。

   自 2008 年創建以來,Qakbot 惡意軟件已用于勒索軟件攻擊和其他網絡犯罪,給美國和國外的個人和企業造成了數億美元的損失。這個僵尸網絡為像這樣的網絡犯罪分子提供了一個命令和控制基礎設施,該基礎設施由數十萬臺計算機組成,用于對全球的個人和企業進行攻擊。

主動消除Qakbot感染

   在聯合行動中,全球執法部門發現并訪問了全球超過700,000臺受感染的計算機,其中超過200,000臺位于美國。根據最近的Secureworks研究,Qakbot感染往往會平等地影響家庭用戶和商業用戶。

   為了摧毀僵尸網絡,FBI將Qakbot流量重定向到局控制的服務器,這些服務器指示受感染的計算機下載卸載程序文件。該卸載程序旨在刪除Qakbot惡意軟件,將受感染的計算機從僵尸網絡中解放出來,并阻止安裝任何其他惡意軟件。

    這種主動清理過去很少見,而且經常受到爭議,甚至受到許多網絡安全專家的質疑,如果做得不正確,移除可能會出錯。聯邦調查局及其合作伙伴主動清理,不僅改善了安裝了Qakbot的被剝削者和組織,而且挽救了下一個無辜的受害者。就其本身而言,美國司法部稱這是“有史以來美國領導的對僵尸網絡基礎設施的最大破壞之一”。 

Qakbot倒閉但不太可能出局

   根據Sophos應用研究現場首席技術官切斯特的說法,雖然勝利就是勝利,但之前對Qakbot的精神兄弟Trickbot和Emotet的打擊已經表明,從長遠來看,這種破壞對地下網絡的影響可能不會那么大。

   他通過電子郵件指出:“打擊Qakbot僵尸網絡將會給僵尸網絡的運營商和相關犯罪團伙帶來極大的不便。可悲的是,這并不能阻止Qakbot的主人重建它并繼續從我們的安全失敗中獲利。只要我們能夠提高犯罪分子實施其計劃的成本,我們就必須利用這些機會,但這并不意味著我們可以休息,我們必須繼續努力查明責任人,并追究他們的責任,以真正使其行動癱瘓。”

   Mandiant研究人員對此表示同意,但指出,鑒于勒索軟件由于俄羅斯或朝鮮等敵對民族國家的參與而成為一項重大的國家安全挑戰,因此對日益專業的網絡犯罪伙伴關系的任何部分進行騷擾都構成了道德責任。

   Mandiant Intelligence副總裁桑德拉·喬伊斯表示:“這種商業模式的基礎是堅實的,這個問題不會很快消失。這些團體將會恢復,他們也會回來。但我們有道義上的義務,盡可能地破壞這些行動。”

僵尸網絡 網絡安全
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接