俄羅斯的金融犯罪活動是如何運作的
https://securelist.com/analysis/publications/72782/russian-financial-cybercrime-how-it-works/
0x00 介紹
俄羅斯的網路犯罪市場聞名全球。我們在這裡所說的“俄羅斯犯罪市場”指的是那些擁有俄羅斯國籍或前蘇聯國家國籍的網路犯罪分子,尤其是烏克蘭和波羅的海諸國。為什麼俄羅斯的網路罪犯會世界聞名呢?其中主要有兩點原因:首先是媒體頻繁地報導俄羅斯地區的網路犯罪活動。其次,俄羅斯的網路犯罪分子為了能達成交易,線上開放了他們所使用的通訊平臺,從而宣傳他們的各種“服務”和“產品”,並在上面討論這些服務的質量和應用方法。
長期以來,這個地下市場上的“產品”和“服務”範圍一直在發展,越來越專注於金融類攻擊活動,複雜程度也在逐漸攀升。最常見的網路犯罪型別之一(曾經是,現在仍然是)是盜取支付卡資料。隨著線上商城和其他電子支付服務的出現,DDoS攻擊和金融犯罪越來越流行,這類攻擊活動的主要目標是使用者的支付資料,或者直接從使用者賬戶或企業賬戶中直接竊取資金。
在2006年,木馬ibank首次攻擊了使用者和企業的電子錢包;然後接踵而來的是ZeuS(2007)和SpyEye(2009),接著是Carberp小組(2010)和Carbanak小組(2013)。這還不是完整的名單,犯罪分子還會利用其他的一些木馬來竊取使用者的錢和資料。
隨著,線上金融交易越來越常見,支援這類操作的企業更容易成為攻擊者的攻擊選擇。在過去的幾年中,網路罪犯不僅僅會攻擊銀行客戶和線上商城,還會直接利用銀行和支付系統。Carbanak網路小組專注於攻擊銀行組織,在今年早些時候,卡巴斯基實驗室曝光了這個小組。他們的故事很顯然證明了這一趨勢。
自從他們出現以來,卡巴斯基實驗室的專家們一直在監控俄羅斯的駭客活動。卡巴斯基實驗室會定期就金融網路威脅釋出報告,從而跟蹤金融木馬的數量變化。這些數量資訊可以反映問題的嚴重程度,但是不能揭露是誰發動或執行了這些攻擊活動。我們希望我們的評審能更好的闡明金融網路犯罪活動 。
本文中呈現的資料是卡巴斯基實驗室的專家們在過去的幾年中透過調查俄羅斯網路犯罪市場獲取到的。
0x01 情況綜述
根據卡巴斯基實驗室的統計,在2012年和2015年之間,各個國家的執法部門,包括美國,俄羅斯,白俄羅斯,烏克蘭和歐盟逮捕了160多名俄羅斯的網路罪犯,這些網路犯罪分子大都是犯罪小組的成員。他們涉嫌使用木馬來竊取他人的金錢。他們在全球範圍內進行活動,總共造成了7億9千萬美元的財產損失(統計估計根據2012年-2015年之間的金融犯罪活動分析和卡巴斯基實驗室的資料)。在這之中,有5億9百萬美元是從非前蘇聯國家中竊取的。當然,這一數字只包括已經確定的損失,詳細資料是執法部門在調查過程中發現的。實際上,這些網路犯罪分子偷的錢數可能遠遠不止這些。
2012-2015年間,遭逮捕的俄羅斯犯罪分子數量
從2013年開始,卡巴斯基實驗室計算機事件調查小組參與了超過330起網路安全事件的調查。其中有超過95%的事件都與財產失竊或金融資訊有關聯。
雖然,相較於前幾年,在2015年有大量涉嫌參與網路金融犯罪的俄羅斯犯罪分子遭到了逮捕,但是網路罪犯市場還是很“猖獗”。據卡巴斯基實驗室的專家們說,在過去的三年中,俄羅斯的網路犯罪隊伍壯大到了上千人。其中有的是負責搭建基礎設施,有的是負責木馬的編寫和傳播,還有的負責偷錢或提現。但是,大部分被逮捕的犯罪分子並沒有入獄。
我們能準確地計算出一個犯罪小組的核心成員到底有多少人:組織人,負責取現的資金流管理人和專業駭客。在整個地下網路犯罪市場中,只有大約20名這樣的專業人士。他們會定期訪問地下論壇,並且卡巴實驗室的專家也收集到了大量的有用資訊,這些資訊表明這20個人是參與線上盜取資金和資訊等犯罪活動中的主要角色。
在俄羅斯境內及其鄰國境內實施攻擊活動的確切團體數量是未知的:有大量這樣的犯罪小組參與了偷竊活動,然後,出於各種原因,他們又終止了自己的活動。一些組織在解散後,其成員會加入新的犯罪小組。
卡巴斯基實驗室的計算機事件調查部門現在已經確定,至少有5個主要的網路犯罪小組在專攻金融犯罪。在過去的幾年中,卡巴斯基的專家們一直在持續監控他們的活動。
在2012-2013年期間,卡巴斯基的專家們注意到了這5個小組,這幾個小組仍然在活動中。這幾個小組的成員數量大都在10-40人之間。其中有至少兩個小組不僅僅會攻擊俄羅斯境內的目標,他們還會攻擊美國,英國,澳大利亞,法國,義大利和德國。
因為,針對這些團體的調查還不完整,所以也無法公佈更詳細的活動資訊。卡巴斯基實驗室還會繼續調查他們的活動,並與俄羅斯和其他國家的執法機構合作,從而抑制他們的網路犯罪業務。
透過調查這些小組的活動,卡巴斯基實驗室的專家弄清楚了他們的行動方法以及網路罪犯的市場結構。
0x02 俄羅斯網路罪犯市場的結構
“各種各樣的產品和服務”
在網路犯罪市場中,常常會有各種各樣用於進行非法活動的“服務”和“產品”。這些“產品”和“服務”會透過專門的線上論壇提供給使用者,大多數這類論壇是不會對其他人開放的。
這些“產品”包括:
- 設計用於非法入侵計算機或移動裝置的軟體,從而竊取受感染裝置上的資料或竊取受害者賬戶中的資金(木馬);
- 設計用於利用受害者計算機上軟體漏洞的軟體(漏洞);
- 竊取到的信用卡資料庫和其他有價值的資訊;
- 網路流量(特定使用者訪問客戶所要求網站的數量)
“服務”包括:
- 傳播垃圾郵件;
- 組織DDoS攻擊(利用請求來過載某個網站,從而讓合法使用者無法訪問該網站)
- 測試木馬能否繞過檢測;
- 木馬“加殼”(使用特殊的軟體(加殼程式)來修改惡意軟體,從而繞過防毒軟體的檢測);
- 出租漏洞包;
- 出租專用伺服器;
- VPN(匿名訪問web資源,保護資料交換);
- 出租防濫用託管服務(不會響應對惡意內容的投訴,因此無法禁用伺服器);
- 出租殭屍網路;
- 評估竊取到的信用卡資料;
- 資料驗證服務(虛假通話,虛假文件掃描);
- 提升惡意網站在搜尋結果中的排名 (Black SEO);
- “產品”和“服務”購買中介
- 取錢和套現
一般情況下,在網路犯罪市場中是透過電子支付系統來購買“產品”和“服務”,這樣的電子支付系統有WebMoney,Perfect Money,Bitcoin等。
所有的這些“產品”和“服務”都可以組合銷售,主要是為了進行4類犯罪活動。根據犯罪小組的要求,這些服務還可以進行組合:
- DDoS攻擊(敲詐目的);
- 盜取個人資訊和資料來訪問電子錢包(轉售這些資料,或竊取資金);
- 從銀行賬戶或其他組織中竊取資金;
- 針對國內或企業的網路間諜活動;
- 攔截受感染計算機上的資料訪問,從而進行敲詐;
卡巴斯基的專家們說,目前傳播範圍最廣的犯罪型別就是資產盜竊。因此,本文主要關注的是俄羅斯犯罪市場中的這一領域。
金融網路犯罪的“勞動市場”
由於一些“產品”和“服務”要求廣泛的技術,所以,有越來越多的專業勞動市場在參與金融犯罪活動。
幾乎在所有IT公司中,也會需要這些關鍵角色:
- 程式設計師(建立新的惡意軟體,修改現有的木馬);
- 網頁設計師(建立釣魚頁面,郵件等);
- 系統管理員(搭建和支援IT基礎設施);
- 測試員(測試惡意軟體);
- “加密者”(負責封裝惡意程式碼以便繞過防毒檢查)。
在這份列表中並沒有出現犯罪小組的領導者,負責取現的資金流管理人,以及監督套現過程的錢騾子主管。這是因為,這幾個人之間的關係並不是僱傭關係,而更像是合作關係。
根據犯罪企業的型別和影響力,攻擊小組的領導人會透過固定薪金來僱傭 “員工”或與自由業者合作,很據專案來付費。
這是一則釋出在某個半開放論壇上的廣告,正在招募一名程式設計師加入一個犯罪小組。工作要求中包括有編寫複雜bot的經驗。
“這些員工”要麼是透過涉及犯罪活動的傳統網站招募的,要麼是透過想要以非常規方式賺取的資源來召集。在有些情況下,主流的招聘網站上會出現這樣的廣告,或遠端進行勞動力交換。
總的來說,參與網路犯罪活動的“員工”有兩類:一種是清楚自己從事的專案並非合法的, 一種是不知情的(至少一開始不知情)。對於後者而言,這些人通常會負責執行相對簡單的操作,比如複製銀行系統和網站的介面。
根據“空閒職位招聘”廣告來看,犯罪分子們通常會從俄羅斯或鄰國(大部分是烏克蘭)的偏遠地區來招募員工,在這些地區,IT人員面臨嚴重的就業和薪水問題。
一名詐騙人員在一個知名的烏克蘭網站上招聘Java/flash員工。工作要求包括熟悉Java、Flash程式設計,瞭解JVM/AVM規範等。這名組織者開出的遠端全職辦公薪水是2,500美元。
在這些地區尋找“員工”的理由很簡單-因為相比於大城市的員工,這樣更省錢。並且犯罪分子還喜歡僱傭以前沒有參與過網路犯罪活動的員工。
通常情況下,這些工作機會都會顯示為合法的,但是一旦接收了任務,就能明白其真實意圖。
在這個例子中,犯罪小組的組織者提供了一個javascript程式設計師的職位,宣稱自己是一家從事高階網際網路應用開發的Web創新工作室。
在合法的招聘網站上,經驗不足的使用者就會上當。
這個職位邀請一名C++開發者來開發“定製”軟體。這裡的“定製”軟體實際指的就是惡意軟體。
僱傭偏遠地域“員工”的第二個原因是組織者想要儘可能地保證活動的匿名性,並且確保任何一名承包商都無法掌握完整的小組資訊。
在組織一個犯罪小組時都有哪些選擇
參與竊取資金或金融資訊的犯罪組織在成員數量和活動範圍上也有很大的不同。主要有三類:
- 聯署專案
- 獨立的交易商,中小型團體(最多10人)
- 大型有組織團體(10人以上)
這種區分很正常。各個小組的活動範圍取決於其成員的水平,他們的野心和整體的組織能力。在某些案例中,卡巴斯基實驗室的專家發現一些相對規模較小的組織也會執行一些通常需要大量人員參與才能完成的任務。
聯署專案
聯署專案是最簡單也最經濟的參與網路犯罪活動的方式。聯署專案的理念是,組織者向他們的“附屬”提供從事犯罪活動所需的任何工具 。而這些“附屬”的任務是儘可能多的用木馬去感染目標。聯署專案的所有者會根據感染結果與這些附屬分享收入。根據詐騙方案的型別,可以分享的有:
- 從網路賬戶中竊取到的資金總和
- 用勒索軟體勒索到的贖金
- 藉助惡意程式,向移動靚號傳送簡訊,從 “預付”賬戶中竊取到的錢
通常來說,成立或支援以盜取資金為目的聯署專案就是網路犯罪活動。但是,一般只有大型有組織的團伙才會實施這類專案,在接下來我們還會分析他們的行動。
這則廣告說的是在測試一個用於傳播勒索軟體的聯署專案。根據其特徵判斷,這個小組的活動主要著眼於位於美國和英國的企業。從註釋中就可以看出,這個木馬主要是透過企業網路傳播,能夠加密80種不同的檔案,其中大部分都是在企業中使用的。接著,測試 要求參與者要能證明流量的存在,或從美國和英國進行下載。
卡巴斯基的專家稱,在俄羅斯的網路罪犯中,聯署專案的熱度正在衰退。造成這類專案流行的原因是這種詐騙方案能夠用惡意程式感染使用者的移動裝置,然後向移動靚號傳送詐騙簡訊。但是,在2014年春,俄羅斯的監管機構對提供這些服務的組織提出了新的要求,包括在購買收費服務時,需要使用者再次確認。這一變化導致惡意移動程式的數量在減少。但是,無論如何,有一些小組還會利用這類聯合網路犯罪活動來傳播勒索軟體。
小型團伙
這種形式的網路犯罪活動和聯署專案的區別在於,在這種形式的活動中,犯罪分子或犯罪組織會自己組織詐騙騙局。攻擊活動需要的大多數工具都是從黑市上購買的,比如木馬,修改版的木馬(“重新封裝”後的木馬),流量,伺服器等。通常來說,這些團伙裡的成員並不是計算機和網路技術領域的專家;他們會透過公共資源,通常是論壇,來了解實施金融攻擊活動都需要哪些工具。這些團體的能力也會受到諸多方面的限制。尤其是,木馬的廣泛使用導致了安全解決方案能很快地檢測到這些木馬。相反的,這樣也會促使犯罪分子投資更多的成本在木馬傳播和“重新包裝”上,以便繞過檢測。最終的結果就是攻擊者能得到的利益會大幅削減。
這類網路罪犯一旦犯錯,就會暴露自己的身份或被捕。但是,由於進入網路犯罪活動的成本比較低(200美元起),這些比較“業餘”的犯罪形式也是會吸引新人的加入。
在2012年的時候,俄羅斯法庭審判了這樣的一個“業餘”犯罪組織,指控他們涉嫌從客戶的網銀賬戶中竊取了超過1千3百萬盧比的資金(價值422,000美元)。卡巴斯基實驗室的專家透過縝密的調查,收集到了大量能幫助執法機構識別攻擊者身份的資訊。
法庭判處其中的兩名成員分別4年和半年的有期徒刑。但是,這一宣判並沒能阻止犯罪分子,在接下來的2年半中,他們繼續透過實施犯罪活動又竊取了大量的資金。在2015年5月,他們再次被捕。
大型有組織的犯罪團伙
大型犯罪團伙不同於其他的犯罪人員,即便他們的活動範圍更大,組織和犯罪行動的方法也更全面。這類團伙的成員數量能達到好幾十人(不包括負責取現和“洗錢的”錢騾子)。他們的攻擊目標並不侷限於網銀客戶:他們還會攻擊中小型企業,其中最大和最複雜的組織,比如Carbanak,主要專注於銀行和電子支付系統。
大型團伙的行動結構與小型團體大有不同。從某種程度上說,參與軟體開發的常規企業也是這種結構。
尤其是,大型團體會有自己的員工-定期拿固定工資,負責執行組織性任務。但是,即使是在這樣的大型專業團體中,也有一些任務會交由第三方承包商。例如,木馬“重打包”可能由自己的員工完成,也有可能會僱傭木馬作者或透過第三方服務,或在特殊軟體的幫助下自動完成這一過程。對於犯罪活動所需要的其他IT基礎設施也是同樣的。
像這樣的大型有組織犯罪團體有Carberp,這個小組的成員分別於2012年和2013年在俄羅斯和烏克蘭被捕。在2015年出,卡巴斯基實驗室還曝光了Carbanak。
雖然,合作專案和小團伙也能造成上萬美元的損失,但是,大型犯罪組織才是最危險,破壞性最大的。據估計,Carberp造成的損失達到了上億美元(達到了10億)。在這一點上,研究這些團體的能力和戰略是極為重要的,這樣能讓我們更有效地調查他們的活動,並最終進行打壓。
0x03 大型網路犯罪團伙的角色分配
犯罪“專家”透過組織大型的金融犯罪活動,能夠給安全和金融部門造成上百萬美元的損失。一般情況下,這種犯罪活動需要幾個月的準備,包括,搭建複雜的基礎設施,選擇和開發惡意軟體,以及全面的研究目標組織,從而明確目標的內部執行和安全漏洞。犯罪團體中的每名成員都有各自的責任。
在參與金錢盜竊的犯罪小組中,都包括下面的這些角色。從事其他的活動的犯罪組織可能需要不同的角色。
木馬作者/程式設計師
程式設計師負責建立惡意程式,允許攻擊者進入目標組織的企業網路,下載額外的木馬,幫助獲取必要的資訊,並最終把錢偷到手。
不同小組之間,成員的重要程度和關係特徵也都會不同。例如,如果某個小組使用的是現有的開源木馬,或從程式設計師手中購買的木馬,那麼他們就會受到限制,只能透過設定或修改惡意程式,以便在基礎設施上執行,從事一種特定的網路犯罪活動,或者是透過修改來攻擊某一類機構。但是,先進的犯罪團伙會依賴自己的“開發者”,因為這樣能避免被安全解決方案檢測到,並能提供更多的木馬修改機會。在這種情況下,木馬作者的角色就會更加重要,因為他們負責了惡意程式的架構和功能。
木馬作者還可能會負責木馬的“重新包裝”。但是,只有當組織者想要實現任務最大化,或原有軟體就是為了用於“重新包裝”木馬時,這樣的情形才有可能會出現。不過,在大多數情況下,這個過程會轉移給第三方承包商或透過封裝服務實現。
測試者
測試者在犯罪小組中的作用與合法IT企業中的測試人員沒有太大的區別。他們都是從管理者手中獲取程式在不同環境中的測試規範(不同的OS版本,不同的應用設定等),並執行。如果在詐騙騙局中涉及到了虛假的遠端銀行介面或電子支付系統,測試者的任務也會包括監控這些虛假活動的正常執行。
網頁設計師和網頁程式設計師
通常情況下,網頁設計師和網頁程式設計師都是遠端辦公,他們的任務包括建立釣魚頁面,釣魚網站、虛假的應用介面和web注入,這些東西都是為了竊取資料來入侵電子支付系統和網銀系統。
傳播者
傳播者的意圖是為了確保惡意軟體儘可能多的安裝到裝置上。這項任務一般是透過使用工具來完成的。通常情況下,組織者會判斷需要感染哪些使用者,並從所謂的流量提供商(提供的服務能吸引特定的使用者訪問具有某些特徵的網站)那裡購買需要的流量型別。
一則購買流量的廣告。只要成功安裝了惡意軟體,每1000條“回撥”(在成功感染後,木馬傳送給CC伺服器的一條資訊),犯罪分子就會支付140美元。
組織者可以挑選和訂購垃圾郵件,在郵件中會有受感染的附件檔案或一個惡意網站的連結。組織者也可以選擇目標經常訪問的網站;讓駭客攻入網站並放置上漏洞包。當然,所有這些工具都可以與其他工具組合使用。
駭客
通常,在攻擊過程中,組織者掌握的漏洞和其他惡意軟體是不足以感染所有需要攻擊的計算機,可能還需要入侵特定的計算機或網站。在這種情況下,組織者會啟用駭客來執行非標準任務。卡巴斯基實驗室的專家發現,在很多情況下,駭客只會偶爾的參與其中,並根據服務收取費用。但是,如果需要定期的入侵要求(比如針對金融機構的針對性攻擊),“小組成員”中就會加入一名駭客,並且一般情況下這名駭客會成為小組像組織者和資金流管理人一樣的關鍵成員。
系統管理員
網路犯罪小組中的系統管理員與合法公司中的系統管理員執行的幾乎是一樣的任務:他們負責實現和維護IT基礎設施。在犯罪團體中,系統管理員會配置管理伺服器,為伺服器購買防濫用託管服務,保證工具能夠匿名連線到伺服器(VPN)並解決其他的技術挑戰,包括聯絡負責僱傭來執行小型任務的遠端系統管理員。
電話服務
要想保證網路犯罪活動的成功,社會工程非常重要。尤其是當談到透過攻擊一些組織來竊取大量金錢時。在大多數情況下,即使攻擊者能夠控制用於交易的計算機,但是要成功完成任務還是需要確定其合法性。這就是需要“通話”服務的意義。在指定的時間上,犯罪組織僱傭的“員工”會扮演在受攻擊組織或銀行工作的成員,負責確定交易的合法性。
“電話服務”可以作為犯罪團體的一個分部或一個第三方組織,參與到特定的網路犯罪活動中,負責執行特定的任務,並按服務收費。在犯罪分子用於與相互通訊的論壇上,會有大量提供這些服務的廣告。
這則廣告提供英語,德語,荷蘭語和法語的“電話服務”。這個小組專門從事給線上商城、銀行和受害者打電話,另外,這個小組還能快速建立本地免費號碼,在詐騙騙局中偽裝成支援服務,接收簡訊和收發傳真。每次通話,這些犯罪分子收費10-12美元,接收簡訊10美元,建立免費號碼15美元。
卡巴斯基實驗室稱,大型的網路犯罪組織更喜歡自己設立“電話服務”,這樣他們就不需要找第三方提供商了。
資金流管理人
在網路犯罪小組中,當所有的技術任務都完成後(選擇和感染目標,並在其基礎設施中確定這些目標),並且盜竊準備都完成後,資金流管理人就要登場了。資金流管理人負責的是把錢從受害者的賬戶中轉移出來。但是,他們不僅僅是下命令,而是在整個過程中都扮演關鍵角色。
資金流管理人通常會全面的理解目標組織的內部情況(他們甚至知道目標企業中的員工會在什麼時候去吃午飯,從而在他們離開自己電腦的這段時間進行轉賬)。他們知道自動化反詐騙系統是如何執行的,以及如何繞過這些系統。換句話說,除了做賊,資金流管理人同樣會負責難度很大的“專家”任務或無法自動完成的任務。或許是因為這種特殊的身份,資金流管理人是犯罪團伙中不多的幾個按百分比拿錢的成員,而不是領取固定“薪水”。
資金流管理人還經常會操作殭屍網路,分析和分類從受感染計算機上獲取到的資訊(訪問遠端銀行服務,瞭解賬戶中的可用金錢,明確受感染的計算機屬於哪個組織等)。
除了錢販子,只有騾子專案的領導會共享這些“工作條件”。
騾子頭(騾子“專案”領導)
在任何金融犯罪中,騾子專案都是至關重要的一環。錢騾子團體包括一名或多名組織者,最多可以有十幾名騾子。
騾子是各種支付方式的持有者,聽從錢騾子管理人的命令,負責把自己賬戶中的錢取出現金,或轉賬給錢騾子管理人指定的賬戶。
騾子可以分為兩類:不知情的和知情的。不知情騾子至少在一開始與錢騾子管理人合作時,並不知道他們參與了犯罪活動。一般來說,他們在取錢和轉賬時看到的都是各種託詞。例如,錢騾子管理人可以成立一個法律實體並委派一名管理人(如,財務總監),負責執行不知情騾子的功能:比如簽署企業檔案,實際上作為取錢的合法掩護。
知情騾子非常清楚錢騾子管理人的真實意圖。
騾子專案有多種取錢方式。取決於偷到了多少錢,他們可能會透過個人信用卡來套現,並從錢騾子管理人那裡賺一小筆錢,或透過法律實體,在企業銀行賬戶上辦理“工資專案”(給企業員工發工資)。
但是,另一種常用的方法是讓知情騾子在不同的銀行開設十幾個賬戶。
這則廣告提供了一套可以取現的支付卡(卡片,授權檔案,與銀行賬號關聯的SIM卡)。在售的包括俄羅斯銀行、鄰國銀行、歐洲、亞洲和美國銀行發行的各種卡。動力卡3000盧比(不到50美元),白金卡8000盧比(約120美元)。
當盜竊活動並不是在俄羅斯進行時,知情騾子的角色就會由東歐國家的人民來扮演,這些人需要短時間的在幾個國家之間穿行,並用自己的名字開設銀行賬戶。然後,知情騾子會把訪問這些賬戶所需的資料提供給錢騾子管理人。之後,這些賬戶就會被用於取錢。
這則廣告在出售一些在俄羅斯聯邦註冊並位於海岸周邊的公司名單。網路罪犯提供服務在560美元-750美元之間。
商人
“商人”這個詞是從“stuff”(意思是商品)來的。一種取現的方式就是透過線上購買商品然後再轉賣實現的。完成這項任務的就是商人,他們負責用受害者賬戶中的錢從網上購買商品。
實際上,商人與資金流管理人存在區別。如果竊取到的金額較少,那麼才會透過購買商品的方式取現。一般來說,商人都是小組合作形式的。這種“合作”的方式通常會購買某一型別的產品,有時候會有特定的製造商或明確的型號。
組織者
如果我們把網路犯罪看做是一個專案,組織者就是犯罪小組的總經理。他們的責任通常包括給準備階段提供資金,給執行人分配任務,監督執行人的表現,聯絡第三方機構,比如騾子專案和電話服務(如果這個小組自己沒有的話)。組織者會判斷攻擊目標,挑選必要的“專業人士”並與他們談判。
0x04 攻擊階段
需要注意的是,上述的分類並不是一成不變的。在有些情況下,小組中的一名成員可能會身兼數職。無論如何,不管有多少人在執行任務,他們每個人的角色都逃不開我們上面的介紹。下面要說說他們的“實時”工作情況。
1.研究。當談到以某個公司為目標的針對性攻擊時,組織者首先會要求承包商收集關於這個公司的資訊,以便他們開發社會工程方案,進行第一階段的攻擊。如果我們討論的是針對個人使用者的攻擊活動,那麼就會跳過前期的研究階段,或有限制的選擇要攻擊的“目標受眾”(比如,某家銀行的網銀使用者),並建立釣魚郵件和相關的小魚網站。
2.感染。透過執行釣魚攻擊或傳送包含惡意附件或惡意網頁連結的釣魚郵件來滲透企業網路。只要開啟了附件或點選了連結,就會被木馬感染。通常情況下,感染是自動完成的,並不會引起使用者的注意和參與-在點選了連結後,惡意程式就會自動下載到使用者的計算機上(drive-by下載),並執行。
在其他情況下,感染是透過入侵常用網站,在網站上放置工具把使用者重定向到漏洞網站上實現的。一旦進入了漏洞網站,使用者就會感染木馬。
只要進入了系統,網路罪犯就會利用大量的惡意工具來鞏固自己的生存能力。比如,當企業的安全軟體刪除了先前版本的木馬後,受感染企業的內部網路還會重新安裝木馬。除此之外。攻擊者還經常在受攻擊企業的基礎設施軟體中進行設定,允許從外界訪問內部網路。
3.探索和實現。遠端管理程式會下載到受攻擊的計算機上。網路罪犯會利用這些程式獲取系統的管理員憑據。許多使用者都知道合法的遠端管理程式也會用到這一點。
4.偷錢。在最後的階段,網路罪犯會登入目標組織的金融系統,把賬戶中的其錢轉給騾子專案,或直接從ATM上取錢。
0x05 結論
在近幾年中,有越來越多的俄羅斯犯罪分子開始從事金融犯罪,造成這一增長的原因有很多。主要有:
- 執法機構缺少合格的員工;
- 立法存在漏洞,導致犯罪分子能逃避處罰或無法嚴懲;
- 不同國家的執法部門和專業組織之間缺少內部合作程式。
不同於在真實世界中,網路空間中的搶劫常常不會被注意到,並且收集數字證據的視窗也很小。此外,犯罪分子還不需要出現在犯罪現場就能實施犯罪。
不過,對於俄羅斯的網路罪犯來說,他們很喜歡當前的條件:被指控的風險很低,而潛在收益卻很高。所以,有越來越多的犯罪分子參與到這樣的犯罪活動中,造成的損失也越來越高,網路犯罪服務的市場也在壯大。
犯罪分子還利用了內部合作機制缺失這一點:比如,卡巴斯基實驗室的專家們知道,有些犯罪小組中的成員會在俄羅斯周邊的國家生活和工作,而鄰國的公民會進入俄羅斯領土來實施犯罪活動。
卡巴斯基實驗室正在盡一切可能來阻止網路犯罪團伙的活動,並鼓勵所有國家的企業和執法機構開展合作。
針對Carbanak活動的國際聯合調查最初是由卡巴斯基實驗室發起的,這是首次成功的國際合作範例。要想讓世界做出積極的改變,將來需要更多這樣的合作案例。
0x06 參考:什麼是卡巴斯基實驗室事件調查?
卡巴斯基實驗室是一家知名的防毒安全解決方案企業。但是,卡巴斯基實驗室還會提供全方位的防護服務,其中就包括計算機事件調查。
每起事件的證據,主要是以數字資料的形式呈現的,這些資料需要經過收集和記錄。當受害者報案時,我們要毫無疑問的進行調查和實驗。
卡巴斯基實驗室計算機事件調查的責任包括:
- 響應IT安全事件並提供快速的情況分析;
- 收集數字證據,判斷IT安全事件的情況,並確立相關程式;
- 分析收集到的證據,在網際網路上搜尋與事件情況相關的資訊並修復;
- 準備受害者向執法機構報案所需的材料;
- 向調查行動提供專業支援。
在響應IT安全事件和支援調查行動的過程中,需要處理大量的資料。透過資料分析和惡意物件統計能夠識別出網路空間中的犯罪行為趨勢。
卡巴斯基實驗室計算機事件調查部門於2011成立,由6名分析專家組成。
相關文章
- 俄羅斯玩偶
- 響應美方要求,俄羅斯搗毀REvil網路犯罪組織
- 俄羅斯總理的幾何題
- 俄羅斯的 HTTPS 也要被廢了?HTTP
- 今年對俄羅斯公司的DDoS攻擊是去年兩倍
- 國外研究報告指出俄羅斯在東歐開展間諜活動
- Arm 停止俄羅斯業務
- 俄羅斯方塊練習
- 俄羅斯擬將蘋果、微軟等59家撤出俄羅斯的西方企業收歸國有蘋果微軟
- 俄羅斯的 IT 危機:儲存快用完了
- 網賺APP的“俄羅斯套娃”遊戲APP遊戲
- 翻譯中國遊戲的俄羅斯姑娘遊戲
- 用 SAP ABAP 編寫的俄羅斯遊戲遊戲
- GSMA:俄羅斯部署5G的好處
- Tetris 俄羅斯方塊遊戲遊戲
- canvas實現俄羅斯方塊Canvas
- 俄羅斯方塊(JS+CSS)JSCSS
- 如何讓 Emacs 俄羅斯方塊變得更難Mac
- 2018世界盃俄羅斯vs沙特比分預測 俄羅斯vs沙特誰會贏
- 2018世界盃俄羅斯vs埃及比分預測 俄羅斯vs埃及誰會贏
- 俄羅斯的加密貨幣註冊公司白名單加密
- 基於Flutter的俄羅斯方塊小遊戲Flutter遊戲
- c#實現簡單的俄羅斯方塊C#
- 五眼聯盟宣稱俄羅斯政府將帶來更多惡意網路活動
- 為什麼選擇俄羅斯代理IP?它對俄羅斯業務有什麼用處?
- 如何讓AI教機器自己玩俄羅斯方塊?AI
- 俄羅斯套娃 (Matryoshka) 嵌入模型概述模型
- 【Java遊戲】java俄羅斯方塊!Java遊戲
- Flutter Web 實戰 - 俄羅斯方塊FlutterWeb
- Yandex Station: 俄羅斯科技巨頭的智慧音響之作
- 西方機構吊銷了俄羅斯的HTTPS證書HTTP
- 俄羅斯方塊聯機小遊戲的實現遊戲
- Levada Center:俄羅斯觀眾最喜愛的歐美劇是《權力的遊戲》遊戲
- pyqt5製作俄羅斯方塊小遊戲-----原始碼解析QT遊戲原始碼
- 匿名郵件引發俄羅斯炸彈恐慌,威脅蔓延白俄羅斯
- 細嗅薔薇的戰熊——俄羅斯遊戲的若干剪影遊戲
- 俄羅斯駭客:“我要打十個!”
- 俄羅斯:‘區塊鏈屬於我們’區塊鏈