卑鄙者的墓誌銘:REvil勒索軟體罪魁首次被鎖定

雲鼎實驗室發表於2021-11-02

俗話說“法網恢恢疏而不漏”,但法網似乎與如今的線上犯罪網路難以交織。作為密碼學技術無心插柳的果實,勒索軟體近年橫掃網際網路,使得下至小白網民上至各國政府無不聞風喪膽。在對受害者系統和主機入侵之後,勒索軟體全盤掃描並加密特定型別的檔案,對勒索受害者的籌碼,也從給這些檔案“解密”,發展為不給錢就“洩密”,倒是很符合昨天萬聖節“不給糖就搗亂”的主題。


原本只能透過寫破壞性病毒“炫技”的駭客們,在這種浪潮下找到了變現的途徑,一個必要的契機,是加密貨幣的流通。以比特幣為代表,加密貨幣原生具備匿名性,通俗說就是即便交易鏈路和歷史都完全公開,但交易資訊中的錢包地址和背後真實世界的人(在網路空間,“人”基本等同於IP地址)之間,完全沒有任何關聯和可追溯性。既然難以被定位稽查,勒索犯罪發起者自可高枕無憂。


德國時間28日,德國時代週報網路版(ZEITONLINE)刊發了編輯Kai Biermann的文章:《Coremember of ransomware gang identified》,整理了巴伐利亞廣播的相關報導,公開了對臭名昭著的REvil勒索組織一關鍵成員的定位、跟蹤和確認歷程。這裡我們特意根據公開的資訊進行二次整理和解讀,為讀者呈現一個略顯湊巧但又必然的故事:一個技術上完全匿名無從追蹤的犯罪分子,是如何由“炫富”顯形的。

背景:REvil與“現代化”勒索

當我們將勒索軟體攻擊背後那些看不見的人,籠統稱為“勒索組織”時,已經高估了我們故事主人公的能力邊界,但也低估了勒索犯罪這黑色產業的成熟度。

以檔案加密為核心的勒索行為,實質只是完成複雜的脆弱分析、爆破滲透、橫向移動和攻擊持久化的完整入侵鏈路都完成後,一個簡單的後入侵動作。一個犯罪組織獨立完成完整的系列行動,對技術全面性要求很高,包括目標選定的廣撒網的技術、歷史與最新漏洞甚至0day漏洞的整合利用與迭代的系統工程,但某種程度上講,也是傳統的、模板化的體力活。


在高利潤助推下,勒索進入產業分工合作化,形成所謂“勒索即服務”(Ransomware as a service,RaaS)形式。傳統專精於入侵的組織是直接勒索攻擊的主體,而勒索軟體由專門的組織作為武器彈藥供給;如此一來,勒索軟體開發商專注於透過技術和程式碼的組合變化,保證彈藥的持續有效,不被反病毒這種主機的最後一道防線防禦甚至感知;而作為不直接發起攻擊的後端,他們完全隱匿在重重迷霧後面,坐收其買家勒索成功所得贖金的分成。在某些事例中情況甚至更復雜:在勒索軟體開發者和攻擊黑產中間還產生所謂“代理商”,作為黑市的中間人,隱藏交易雙方,同時加強供需要求的傳遞。


在RaaS模式下,勒索行動和組織無法簡單根據所用勒索軟體進行分類,因為多個組織可能採買具有相關性的軟體,同一個供給和攻擊者也可能改用完全不一樣的彈藥。而對後端不顯山不露水的勒索軟體供應商的定位和取證,也成了一個重要但幾乎不可能的事情。


REvil即是這樣一種勒索軟體產物。不同時期不同發現該家族的反病毒機構對其有不同的命名,其它包括Sodinokibi等名字,同時也與其它某些家族,如Gandcrab,存在不能排除的同源可能。單此一個狹義定義的病毒家族樣本相關的勒索攻擊據信已經在世界範圍內獲利數十億美金以上,攻擊目標沒有明確型別,包括政府組織、非營利組織甚至醫療機構。

明線:若隱若現的嫌疑人

在Zeit Online供稿中作者迫不及待地祭出目標嫌疑人的種種疑團,給人以“舍他其誰”的感覺,但是我們不妨從正向來看一下作為調查人員,面前擺的是怎樣的證據鏈和猜疑網。


首先,雖然每一筆比特幣交易的資訊是公開的,但不是所有勒索攻擊的受害者,甚至交付了贖金的單位,會選擇上報其受害資訊,因此無法根據受害者和攻擊負載檔案,明確刻畫勒索組織與比特幣錢包地址的對應關係。2019年德國斯圖加特一家劇院受到Gandcrab勒索攻擊,並據信支付了價值15,000歐元的贖金,且有一定證據證明Gandcrab勒索即是REvil的前身,根據此筆比特幣交易,此處形成了疑似勒索組織比特幣錢包地址的第一條弱證據。


順著該錢包地址,調查人員定位到釋出該地址的一個Telegram即時通訊應用賬號,該賬號關聯到一個位於俄羅斯的手機號碼,這個號碼是與一些特定網站關聯的大量手機號碼之一,而其中一個或多個網站註冊資訊中給出了一個電子郵箱地址。證據鏈重重推演至這一步,在每一個環節都形成了一團由多個不可靠分支組成的迷霧;到最後這一步,可能衍生的可疑郵箱已經有較大集合,而這個郵箱地址值得注意的是——它在社交媒體上被一個俄羅斯使用者關聯,這就引向了報導中的主人公:Nikolay K. (化名)。


但是,僅僅根據目標的國籍吻合,以及重重猜疑的關聯資訊,顯然是無法給出任何足以置信的結論的;這樣的證據網路可能在每一例網路犯罪中被構建出來,又只得存檔封存。

暗線:“此地有銀三百兩”

當鎖定一個包括Nikolay K.在內的嫌疑人之後,調查人員就可以在合理的成本內,進行足夠證實或證偽的取證。對於黑產從業人員,這種證據幾乎肯定是不會有任何痕跡的;這也是本例故事的戲劇性所在。


經過目標人員畫像,Nikolay K.與妻子住在俄羅斯一南部城鎮,其可查的唯一合法收入來源僅是其所在城市一較新建築內開辦的小型酒吧,裝潢簡陋,主要服務於體育博彩。與如此簡單甚至佛系的為生方式形成對比,Nikolay K.住所坐擁泳池,配備寶馬超跑——而這還只是現實中的冰山一角。


在社交媒體上,Nikolay K.夫婦展示了極致奢華的生活方式。其本人賬號並未公開,僅明示了他對於數字加密貨幣近乎宗教信仰一般的信念。但他的妻子Ekaterina K.似乎並不僅滿足於獲取高消費的感官感受:她社交媒體中的花花世界從杜拜的五星級酒店,到黑海的克里米亞半島,再到馬爾地夫;最新的一段影片展示了在土耳其南部海濱城市安塔利亞,二人組織的奢華遊艇聚會,僅遊艇的日租金就高達1300歐元。


雖然Nikolay K.本人可能在網路世界有意識低調,但在其妻子豐富的資料中,他日常身著Gucci T恤和太陽鏡,痴迷寶馬跑車。特別值得注意的是,從幾個月前開始,他都戴著VanguardEncrypto奢侈手工定製腕錶,價值至少七萬歐元。支撐這極致奢華又無跡可蹤的巨大財富,將他置於極大的懷疑之中。


而這塊七萬歐的腕錶也就成了調查人員最終將Nikolay K.確認為關鍵嫌疑物件的證據。因為Vanguard Encrypto定製的首要噱頭,就是會將所有者的比特幣錢包地址二維碼鐳射蝕刻在錶盤上。如此極客的土豪,赤裸裸地宣誓了Nikolay K.對於從加密貨幣中攫取財富的得意。而對涉及加密貨幣的黑產交易中由匿名性帶來的線上線下關聯難的問題,似乎也很容易不攻自破:一旦到案,只需要翻過他的手腕,一切謊言和迷霧都將不再有效。


說到底,最終還是嫌疑人雖然剋制但仍然漫溢的炫富慾望,變成了“此地有銀三百兩”的一聲吆喝啊。

後續:所以又能怎麼樣呢?

在以上證據鍊形成後,調查人員和當事調查記者為了坐實猜疑,透過社交網路聯絡到了這個神龍見首不見尾的Nikolay K.。具體的試探訊息我們不得而知,但是後者很快在社交媒體上撤回了他個人相關的資訊:這將準星牢牢地套在了他的頭上,但同時也不可避免地打草驚蛇了。


根據報告所述,這場調查持續了相當長的時間,據信至少在已經明確了目標的嫌疑之後,NikolayK.還在2020年內有過一次到土耳其的旅遊,但出於未知原因,德國警方卻並沒有從土耳其將其引渡逮捕。至今Nikolay K.仍然逍遙法外,雖然記者顯然仍然等待他下一次旅行到與德國有引渡條例的國家,但這至今再也沒有發生——特別是在REvil基礎設施被攻破之後,這趟可以讓當事人和警方都感到興奮的旅行,可能再不會發生了。

圖片上圖是Nikolay K.在社交媒體上釋出的照片,德國警方定位到他的位置是在土耳其的安塔利亞,雖然德國和土耳其存在引渡條約,但是遺憾的是最終沒能實現成功抓捕。這張照片同時也是Nikolay K.社交軟體的Profile照片,當他嗅到被調查的風險後,他將所有照片一刪而淨。


儘管在本例事件中,調查人員幾乎是像中彩票一般,關聯到了這個本不可能被定位到的嫌疑人實人,但他的持續逍遙法外,仍然火辣辣地昭示著對於這種極端複雜的跨國網路空間犯罪中,對嫌疑人的逮捕是一件多麼艱鉅的挑戰。預期中透過端掉勒索集團人員來根除禍患的結果沒能出現,但我們仍然看到國際社會的一些合作與進展。根據10月21日路透社報導《EXCLUSIVEGovernments turn tables on ransomware gang REvil by pushing it offline》,在多方行動中,REvil組織的伺服器基礎設施遭到“反制”入侵和控制,勒索網站、支付渠道和服務被迫下線。這被官方與安全專家稱為“標誌性、毀滅性的行動”。但類似的反制行動在7月13日曾經成功實施過,當時該組織網站與支付渠道曾被迫下線;之後很快REvil就得以死灰復燃且更新迭代。對於這些以隱藏自身、不斷更新為安身立命核心本領的犯罪物件,似乎在其人員落網或者賺的盆滿缽滿金盆洗手之前,反制與打擊已經成了“殺不死他只會讓他更強”的東西。


可以說,如今各國政府和安全行業與勒索組織之間的攻防,已經進入了無法速戰速決的拉鋸戰態勢,要打擊收斂這個問題需要曠日持久的投入。直到決勝的方法和局面出現之前,我們仍然需要再三向所有依賴線上基礎設施和資產的個人和企業使用者進行明確:永遠相信沒有不能被攻破的系統,且你的系統不可能是其中最堅固的城池;只有採取任何可信的防護系統與機制、實時關注你的安全建設和最新安全態勢,才能降低你成為下一個勒索軟體受害者的“賠率”。


參考索引

文中援引德國時代週報網路版(ZEIT ONLINE)媒體原始報導,可參見:《Core member of ransomware gang identified》

https://www.zeit.de/digital/internet/2021-10/ransomware-group-revil-member-hacker-russia-investigation


相關文章