当地时间8月29日,美国联邦调查局(FBI)和司法部(DOJ)宣布开展了一项跨国行动,以打击和摧毁名为Qakbot的恶意软件和僵尸网络。此次行动发生在美国、法国、德国、荷兰、罗马尼亚、拉脱维亚和英国,是美国主导的对僵尸网络基础设施的最大规模摧毁行动之一,网络犯罪分子利用该僵尸网络基础设施实施勒索软件、金融欺诈和其他网络犯罪活动。联邦调查局局长克里斯托弗·雷(Christopher Wray)表示:“联邦调查局消灭了这个影响深远的犯罪供应链,将其彻底切断。” “受害者包括东海岸的金融机构、中西部的关键基础设施政府承包商、西海岸的医疗设备制造商。”据悉,全球执法机构在全球范围内识别并访问了超过70万台受Qakbot感染的计算机,其中包括超过20万台位于美国的计算机。此次行动还从Qakbot网络犯罪组织中查获了近900万美元的加密货币,这些资金现在将提供给受害者。美国司法部(DoJ)强调,官方修复人员还主动连接到受感染的计算机,以消除数万台受害计算机上的Qakbot感染,并表示他们是在“合法访问”的情况下进行的。
Qakbot(又名Qbot)通常用作第一阶段植入程序,主要通过包含恶意附件或链接的垃圾邮件感染受害者计算机。在不知情的目标打开电子邮件中的恶意附件即被感染。一旦它危害了一台机器,它就会将其奴役于僵尸网络基础设施,然后等待进一步的指令。由此产生的持续感染网络可以根据需要传递额外的恶意软件。用户下载或单击内容后,Qakbot向他们的计算机传送了其他恶意软件(包括勒索软件)。该计算机还成为僵尸网络(受感染计算机的网络)的一部分,并且可以由僵尸网络用户远程控制。一直以来,Qakbot受害者通常都不知道他们的计算机已被感染。 因此,在2007年作为银行木马出现后,它已经发展成为暗网初始访问代理市场的一部分,其运营商向任何付费网络犯罪分子出租其受感染机器网格的访问权限。Qakbot一直是各种威胁行为者发起的大量不同活动的关键推动者,提供从勒索软件到加密挖矿程序再到间谍软件等各种有效负载。近年来,Qakbot已被许多多产勒索软件组织用作初始感染手段,包括Conti、ProLock、Egregor、REvil、MegaCortex 和Black Basta。然后,勒索软件攻击者勒索受害者,在返回受害者计算机网络的访问权限之前寻求比特币支付赎金。这些勒索软件团体对企业造成了重大损害,因此,Qakbot恶意软件已被用于勒索软件攻击和其他网络犯罪,给美国和国外的个人和企业造成了数亿美元的损失。 司法部表示:“调查人员发现的证据表明,2021年10月至2023年4月期间,Qakbot管理员收取的费用相当于受害者支付的约 5800万美元的赎金。”FBI局长雷说:“这个僵尸网络为此类网络犯罪分子提供了由数十万台计算机组成的命令和控制基础设施,用于对全球个人和企业进行攻击。” 除FBI外,参与行动的还包括欧洲刑警组织、法国警察网络犯罪中心局和巴黎检察院网络犯罪科、德国联邦刑事警察局和法兰克福总检察长办公室、荷兰国家警察和国家检察院、英国国家犯罪局、罗马尼亚国家警察和拉脱维亚国家警察。司法部国际事务办公室和联邦调查局密尔沃基外地办事处提供了大量协助。作为行动的一部分,FBI获得了对Qakbot基础设施的合法访问权限,并在全球范围内识别出了超过700,000台受感染的计算机,其中超过200,000台位于美国。为了摧毁僵尸网络,FBI将Qakbot流量重定向到局控制的服务器,这些服务器指示受感染的计算机下载卸载程序文件。该卸载程序旨在删除Qakbot恶意软件,将受感染的计算机从僵尸网络中解放出来,并阻止安装任何其他恶意软件。 雷说:“所有这一切都是通过联邦调查局洛杉矶分部、联邦调查局总部网络部门以及我们国内外合作伙伴的不懈努力才得以实现的。” “我们国家面临的网络威胁每天都变得更加危险和复杂。但我们的成功证明我们自己的网络和我们自己的能力更加强大。”雷表示,与美国的联邦和国际合作伙伴一起,FBI将继续系统地瞄准网络犯罪组织的各个部分、他们的协助者和他们的资金,包括破坏和摧毁他们使用非法基础设施攻击我们的能力。今天的成功再次证明了联邦调查局的能力和战略如何严厉打击网络犯罪分子,并使美国人民更加安全。类似的主动清除恶意软件并不是FBI的第一次。之前在端点清理方面也采取了积极主动的策略,尽管这种做法可能存在争议。2023年5月份,FBI使用了一款名为Perseus的自定义工具,作为其所谓的“美杜莎行动”的一部分,旨在禁用受感染计算机上的Snake恶意软件。Snake是俄罗斯赞助的Turla高级持续威胁(APT)使用的签名恶意软件。Perseus发出的命令导致 Snake恶意软件覆盖其自身的重要组件,并在未经用户主动同意的情况下在计算机上自动执行,这要归功于美国治安法官签发的授权远程访问的搜查令。据司法部的通告,此次执法行动的范围仅限于Qakbot参与者在受害者计算机上安装的信息。它没有扩展到修复已安装在受害者计算机上的其他恶意软件,也没有涉及访问或修改受感染计算机的所有者和用户的信息。Zscaler提供了宝贵的技术援助。FBI与网络安全和基础设施安全局、Shadowserver、微软数字犯罪部门、国家网络取证和培训联盟以及Have I Been Pwned合作,协助受害者进行清理和补救。对于此次美国FBI主导的全球主动清除行动,网络安全行业也有不同的看法。KnowBe4的数据驱动防御传播者 Roger Grimes 指出,将被利用的节点重定向到更安全的服务器以进行主动清理的决定是有风险但有积极回报的。他在一份电子邮件声明中表示:“这种主动清理过去很少见,而且经常受到争议,甚至许多网络安全专家也是如此。” 如果操作不当,删除可能会出现严重错误。我很高兴联邦调查局及其合作伙伴认为主动清理是值得冒险的。它不仅改善了安装Qakbot的受剥削人员和组织,还改善了下一个无辜受害者的情况”。Sophos应用研究现场首席技术官Chester Wisniewski表示,虽然胜利就是胜利,但之前对Qakbot的精神兄弟Trickbot和 Emotet的打击表明,从长远来看,这种破坏对地下网络的影响可能不会那么大。他通过电子邮件指出:“打击Qakbot僵尸网络……将会给僵尸网络的运营商和相关犯罪团伙带来极大的不便。” “可悲的是,这并不能阻止Qakbot的主人重建它并继续从我们的安全失败中获利。只要我们能够提高犯罪分子实施其计划的成本,我们就必须利用这些机会,但这并不意味着我们可以休息我们必须继续努力查明责任人,并追究他们的责任,以真正使其行动瘫痪。”Mandiant研究人员对此表示同意,但指出,鉴于勒索软件由于俄罗斯或朝鲜等敌对民族国家的参与而成为一项重大的国家安全挑战,因此对日益专业的网络犯罪伙伴关系的任何部分进行骚扰都构成了道德责任。Mandiant Intelligence副总裁桑德拉·乔伊斯 (Sandra Joyce)表示:“这种商业模式的基础是坚实的,这个问题不会很快消失;我们拥有的许多工具不会产生持久的影响。”“这些团体将会恢复,他们也会回来。但我们有道义上的义务,尽可能地破坏这些行动。”至于从运营角度来看这对企业意味着什么,Mandiant财务分析高级经理金伯利·古迪 (Kimberly Goody)表示,预计犯罪生态系统内会出现一些短期断裂,这可能会催生新的合作伙伴关系,维权者需要密切关注。
参考资源
1、https://www.fbi.gov/news/stories/fbi-partners-dismantle-qakbot-infrastructure-in-multinational-cyber-takedown
2、https://www.justice.gov/opa/pr/qakbot-malware-disrupted-international-cyber-takedown
3、https://www.darkreading.com/threat-intelligence/sprawling-qakbot-malware-takedown-spans-700-000-infected-machines