美国联邦调查局(FBI)本周捣毁了 IPStorm 僵尸网络代理网络及其基础设施,此前,该局已于 9 月份与幕后黑手达成认罪协议。专家称该恶意软件感染了亚洲、欧洲、北美洲和南美洲成千上万的 Linux、Mac 和 Android 设备。
研究人员于 2019 年 6 月首次发现该僵尸网络,主要针对 Windows 系统,专家们注意到,它使用 InterPlanetary File System(IPFS)点对点协议与受感染系统通信并转发命令。思科去年警告说,IFPS 正被黑客广泛利用。
到 2020 年,几家安全公司发现该恶意软件已经扩展到感染其他设备和平台的版本。网络安全记者卡塔林-辛帕努(Catalin Cimpanu)报道称,该僵尸网络从 2019 年 5 月的约 3000 个受感染系统增长到 2020 年的 13500 多个设备。
本周二,美国司法部表示,俄罗斯和摩尔多瓦籍的谢尔盖-马基宁(Sergei Makinin)于 9 月 18 日对三项黑客指控认罪,每项指控最高可判处十年监禁。
据司法部称,Makinin 在 2019 年 6 月至 2022 年 12 月期间开发并部署了恶意软件,利用它入侵了全球成千上万台与互联网连接的设备。
"Makinin控制这些受感染的设备,将其作为一个庞大的僵尸网络的一部分,僵尸网络是一个由被入侵设备组成的网络。该僵尸网络的主要目的是将受感染设备变成代理服务器,作为营利计划的一部分,通过 Makinin 的网站 proxx.io 和 proxx.net 访问这些代理服务器,"司法部解释说。
司法部解释说:"通过这些网站,Makinin 向寻求隐藏其互联网活动的客户出售对受感染、受控制设备的非法访问权。单个客户每月可支付数百美元,通过数千台受感染计算机进行流量路由。Makinin 的公开网站宣传说,他拥有来自世界各地的 23,000 多个'高度匿名'代理"。
Makinin 交代,他从该计划中至少获利 55 万美元,并同意没收与该行动有关的所有加密货币。
司法部表示,它拆除了 Makinin 建立的基础设施,但并没有从受害者设备上删除恶意软件--FBI 在之前的几次僵尸网络拆除行动中采取了这一有争议的行动。
联邦调查局在波多黎各圣胡安的办事处与联邦调查局在多米尼加共和国和西班牙的分支机构共同领导了此次调查。
美国执法机构还与西班牙国家警察网络攻击小组和多米尼加共和国的一些执法机构开展了合作。
司法部还对 Anomali 威胁研究公司(最早发现该恶意软件的公司之一)和 Bitdefender 表示感谢,后者也对该僵尸网络进行了大量研究。
Bitdefender 调查和取证部门高级主管 Alexandru Catalin Cosoi 证实该公司参与了调查,并告诉 Recorded Future News,Interplanetary Storm 僵尸网络"非常复杂,通过在受感染的物联网设备上租用它作为代理服务系统,用来支持各种网络犯罪活动"。
Cosoi说,在Bitdefender的研究和分析过程中,发现了网络犯罪分子的身份线索,并提供给了执法部门:"我们早在2020年的初步研究就发现了幕后黑手的有价值线索,我们非常高兴它有助于逮捕罪犯。这次调查是执法部门和私营网络安全部门携手合作,取缔非法网络活动并将责任人绳之以法的又一个主要范例"。
联邦调查局和其他美国执法机构近年来一直在重点打击僵尸网络。
今年 8 月,联邦调查局与一系列国际执法机构合作,打掉了 Qakbot--数量最多、运行时间最长的僵尸网络之一。今年 5 月,联邦调查局锁定了克里姆林宫支持的 Snake 恶意软件,并开展行动瓦解了 Cyclops Blink 恶意软件。
但其中几次行动--最引人注目的是 Emotet--因没有逮捕人员而受到批评,这引发了人们的担忧,担心这些行动无法阻止僵尸网络改头换面。
联邦调查局圣胡安办事处特别主管约瑟夫-冈萨雷斯(Joseph González)补充说,联邦调查局的目标是"让我们的对手承担风险和后果,确保网络空间不再是犯罪活动的安全空间"。
他说:"在当今时代,许多犯罪活动都是通过网络手段进行或促成的,这已不是什么秘密。网络犯罪分子寻求匿名并获得安全感,因为他们躲在键盘后面,往往与受害者相隔千里之外"。