俗话说“法网恢疏而不漏”,但法网似乎与如今的线上犯罪网络难以交织。作为密码学技术无心插柳的果实,勒索软件近年横扫互联网,使得下至小白网民上至各国政府无不闻风丧胆。在对受害者系统和主机入侵之后,勒索软件全盘扫描并加密特定类型的文件,对勒索受害者的筹码,也从给这些文件“解密”,不给钱就发展“泄密”,非常符合昨天的万圣节“不给糖就捣乱”的主题。
破坏性病毒只能写破坏性病毒“炫技”黑客,在这一浪潮中找到了实现的方法,一个必要的机会,是加密货币的流通。以比特币为代表,加密货币是匿名的。一般来说,即使交易链接和历史完全开放,钱包地址和交易信息背后的真实世界(在网络空间,“人”基本等同于IP地址)之间没有相关性和可追溯性。由于很难定位检查,勒索犯罪的发起人可以放心。
28日,德国时代周报网络版(ZEITONLINE)刊发了编辑Kai Biermann的文章:《Coremember of ransomware gang identified》,整理了巴伐利亚广播的相关报道,公开了臭名昭著的报道REvil勒索组织了一个关键成员的定位、跟踪和确认过程。在这里,我们专门根据公共信息进行二次整理和解释,向读者展示一个有点巧妙但不可避免的故事:一个技术上完全匿名的罪犯是如何被追踪的“炫富”显形的。
背景:REvil与“现代化”勒索
当我们将勒索软件攻击背后那些看不见的人,笼统称为“勒索组织”我们故事主人公的能力边界被高估了,但勒索犯罪的成熟度也被低估了。
以文件加密为核心的勒索行为本质上只是完成复杂的脆弱分析、爆破渗透、水平移动和持久攻击的完整入侵链接,一个简单的后入侵行为。一个犯罪组织独立完成了一系列完整的行动,对技术的全面性有很高的要求,包括技术、历史和最新的漏洞,甚至是目标选择的广泛的网络0day系统工程的整合利用和迭代漏洞,但在某种程度上,也是传统的、模板化的体力工作。
在高利润的推动下,勒索进入产业分工合作,形成所谓的“勒索即服务”(Ransomware as a service,RaaS)形式。传统的专门入侵组织是直接勒索攻击的主体,而勒索软件由专门的组织作为武器弹药提供;因此,勒索软件开发商专注于确保持续有效的弹药,而不是反病毒主机的最后一道防线,甚至是感知;作为不直接攻击的后端,他们完全隐藏在雾后面,收集买家成功勒索赎金的份额。在某些情况下,情况甚至更为复杂:所谓的勒索软件开发者和攻击黑色生产也产生“代理商”,作为黑市的中间人,隐藏双方,加强供需需求的传递。
在RaaS在模式下,勒索行动和组织不能简单地根据所使用的勒索软件进行分类,因为多个组织可以购买相关的软件,同一供应商和攻击者也可以使用完全不同的弹药。勒索软件供应商的定位和证据收集也成为一件重要但几乎不可能的事情。
REvil就是这样的勒索软件产品。不同时期发现该家族的反病毒机构有不同的名称,其他包括Sodinokibi和其他家庭一样,比如名字,Gandcrab,有不可排除的同源可能。据信,与病毒家族样本狭义定义相关的勒索攻击已经在世界范围内获得了数十亿美元以上的利润,包括政府组织、非营利组织甚至医疗机构在内的攻击目标没有明确的类型。
明线:若隐若现的嫌疑人
在Zeit Online在贡献中,作者迫不及待地想牺牲目标嫌疑人的各种怀疑小组,给人们“舍他其谁”但我们不妨从积极的角度来看,作为一名调查人员,我们面前摆放着什么样的证据链和疑惑网。
首先,虽然每笔比特币交易的信息都是公开的,但并不是所有勒索攻击的受害者,甚至交付赎金的单位都会选择报告受害者的信息。因此,勒索组织与比特币钱包地址的对应关系无法根据受害者和攻击负载文件进行明确描述。2019年,德国斯图加特的一家剧院被收到Gandcrab勒索攻击,并支付了价值1.5万欧元的赎金,并有证据证明Gandcrab勒索即是REvil根据比特币交易,这里形成了第一个涉嫌勒索组织比特币钱包地址的弱证据。
沿着钱包地址,调查人员定位到发布地址的地址Telegram即时通信应用程序账户与俄罗斯的移动电话号码相关联,这是与一些特定网站相关的大量移动电话号码之一,其中一个或多个网站的注册信息提供了电子邮件地址。证据链重新推断到这一步,在每个链接中形成一个由多个不可靠的分支组成的雾;在最后一步,可疑电子邮件已经大量收集,值得注意的是——它在社交媒体上与俄罗斯用户有关,这导致了报道中的主角:Nikolay K. (化名)。
然而,仅仅根据目标的国籍和可疑的相关信息,显然不能给出任何令人信服的结论;这样的证据网络可能建立在每个网络犯罪中,必须归档和密封。
暗线:“这里有三百两银”
当锁定一个包Nikolay K.在嫌疑人之后,调查人员可以以合理的成本收集足够的证据来证实或伪造证据。对于黑人从业者来说,这些证据几乎没有痕迹;这也是这个故事的戏剧性。
通过目标人员画像,Nikolay K.与妻子住在俄罗斯南部的一个城镇,唯一可以检查的合法收入来源是新建筑开设的小酒吧,装修简单,主要服务于体育博彩。与如此简单甚至佛教的生存方式相比,Nikolay K.住处有游泳池,配备宝马超跑——而这只是现实中冰山一角。
在社交媒体上,Nikolay K.这对夫妇展示了极其奢华的生活方式。他的账户没有公开,只是表明他对数字加密货币的信念几乎是宗教信仰。但他的妻子Ekaterina K.她的社交媒体花卉世界似乎不仅满足于获得高消费的感官:从迪拜的五星级酒店,到黑海的克里米亚半岛,再到马尔代夫;最新的视频显示,在安塔利亚,一个由两人组织的豪华游艇派对,每天只有1300欧元。
虽然Nikolay K.我可能在网络世界有意识地保持低调,但在他妻子丰富的信息中,他每天都穿着它Gucci Tt恤和太阳镜,痴迷于宝马跑车。特别值得注意的是,从几个月前开始,他就戴着它VanguardEncrypto奢侈品手工定制手表,价值至少7万欧元。支持这一极其奢华和无痕迹的巨大财富,让他产生了极大的怀疑。
这块7万欧元的手表最终将成为调查人员Nikolay K.确认为关键嫌疑人的证据。Vanguard Encrypto定制的第一个噱头是在表盘上蚀刻比特币钱包地址的二维码激光。如此极客的土豪劣绅赤裸裸地宣誓Nikolay K.为从加密货币中获取财富而自豪。似乎很容易打破与加密货币相关的问题:一旦案件发生,只需要翻过他的手腕,所有的谎言和雾都将不再有效。
归根结底,尽管嫌疑人克制了,但他仍然充满了炫耀财富的欲望。“此地有银三百两”喊啊。
后续:那又怎样?
上述证据链形成后,调查人员和当事调查记者通过社交网络联系了神龙,以便坐下来猜疑。Nikolay K.。我们不知道具体的测试消息,但后者很快在社交媒体上撤回了他的个人信息:这牢牢地把准星放在了他的头上,但不可避免地会吓到蛇。
根据报告所述,这场调查持续了相当长的时间,据信至少在已经明确了目标的嫌疑之后,NikolayK.2020年还有一次去土耳其的旅行,但由于未知原因,德国警方没有从土耳其引渡逮捕。到目前为止,Nikolay K.他仍然逍遥法外。虽然记者显然还在等他下次去德国有引渡规定的国家旅行,但到目前为止还没有发生——特别是在REvil基础设施被破坏后,这次旅行可以让当事人和警察感到兴奋,可能不会再发生了。
上图是Nikolay K.在社交媒体上发布的照片中,德国警方将他定位为土耳其的安塔利亚。虽然德国和土耳其有引渡条约,但遗憾的是他们没有成功逮捕。这张照片也是Nikolay K.社交软件的Profile照片,当他闻到被调查的风险时,他删除了所有的照片。
虽然在这起案件中,调查人员几乎像彩票一样,与不可能定位的嫌疑人有关,但他的持续逍遥法外仍然表明,逮捕嫌疑人对这种极其复杂的跨国网络空间犯罪是一个多么困难的挑战。预计勒索集团人员将被解除,但我们仍然看到了国际社会的一些合作和进展。据路透社10月21日报道《EXCLUSIVEGovernments turn tables on ransomware gang REvil by pushing it offline》,在多方行动中,REvil组织的服务器基础设施“反制”勒索网站、支付渠道和服务被迫离线入侵和控制。这被官方和安全专家称为“标志性、毁灭性的行动”。然而,类似的反击在7月13日成功实施,当时该组织的网站和支付渠道被迫离线;之后很快REvil它可以重新点燃和更新迭代。对于这些以隐藏自己、不断更新为安身立命核心技能的犯罪对象来说,反制和打击似乎已经成为他们的人员被捕或赚了很多钱洗手之前的“杀死他只会让他更强壮”的东西。
可以说,各国政府与安全行业与勒索组织之间的攻防已经进入了无法快速决策的拔河状态。打击收敛需要旷日持久的投资。直到决定性胜利的方法和情况出现,我们仍然需要向所有依赖在线基础设施和资产的个人和企业用户反复澄清:我们始终相信没有不可破坏的系统,你的系统不可能是最强大的城市;只有采取任何可信的保护系统和机制,实时关注您的安全建设和最新的安全情况,您才能减少您成为下一个勒索软件受害者“赔率”。
参考索引
中文援引德国时代周报网络版(ZEIT ONLINE)媒体原始报道,可参见:《Core member of ransomware gang identified》
来源:
https://www.zeit.de/digital/internet/2021-10/ransomware-group-revil-member-hacker-russia-investigation