多位知情人士透露,勒索軟件團(tuán)伙REvil上周在美國牽頭的聯(lián)合網(wǎng)絡(luò)圍剿中被迫再次下線;
美國聯(lián)邦調(diào)查局、網(wǎng)絡(luò)司令部、特勤局等軍警情報界機(jī)構(gòu)以及外國合作伙伴聯(lián)合發(fā)起了這次行動;
REvil團(tuán)伙成員試圖從備份中恢復(fù)網(wǎng)站的運(yùn)行,但卻在不知不覺中重啟了執(zhí)法機(jī)構(gòu)預(yù)埋的后門,導(dǎo)致再次被追捕。
日前,三名正在與美國政府合作的私營部門網(wǎng)絡(luò)安全專家以及一名前政府官員透露,勒索軟件團(tuán)伙REvil上周在多國聯(lián)合網(wǎng)絡(luò)圍攻中被迫下線。團(tuán)伙的門戶網(wǎng)站“Happy Blog”(快樂博客)也已停止運(yùn)營。該網(wǎng)站曾被用來張貼來自受害者的數(shù)據(jù),以及向受害公司進(jìn)行勒索。
今年5月份,科洛尼爾管道公司(Colonial Pipeline)遭遇網(wǎng)絡(luò)攻擊,導(dǎo)致美國東海岸出現(xiàn)大范圍天然氣短缺。REvil當(dāng)時的同伙被認(rèn)為應(yīng)該對此次攻擊負(fù)責(zé)。美國政府官員聲稱,攻擊科洛尼爾公司的勒索軟件名為“黑暗面”(DarkSide),是由與REvil團(tuán)伙有關(guān)聯(lián)的黑客編寫的。
REvi團(tuán)伙還對多家企業(yè)發(fā)動過直接攻擊,全球最大的肉食品供應(yīng)商JBS公司就是受害者之一。
執(zhí)法和情報部門出手
虛擬機(jī)軟件廠商VMWare公司網(wǎng)絡(luò)安全戰(zhàn)略負(fù)責(zé)人湯姆?凱勒曼(Tom Kellermann)說,阻止REvil對更多公司實(shí)施網(wǎng)絡(luò)侵害的,是執(zhí)法與情報兩部門的相關(guān)人員。
“聯(lián)邦調(diào)查局與美軍網(wǎng)絡(luò)司令部、特勤局以及其他目的一致的國家聯(lián)手,對這些網(wǎng)絡(luò)犯罪組織實(shí)施了實(shí)質(zhì)性的打擊行動,”兼任美國特勤局網(wǎng)絡(luò)犯罪調(diào)查顧問的凱勒曼說。“REvil是上述組織中的首要團(tuán)伙。”
REvil團(tuán)伙早些時候偃旗息鼓后,一個網(wǎng)名為“0_neday”的頭目曾試圖重啟該團(tuán)伙業(yè)務(wù)。但他發(fā)現(xiàn)他們使用的服務(wù)器遭到匿名方破解。
“服務(wù)器癱瘓了,他們正在找我,” 0_neday上周末在網(wǎng)絡(luò)犯罪論壇上發(fā)帖稱。網(wǎng)絡(luò)安全公司Recorded Future第一個發(fā)現(xiàn)了這個帖子?!白4蠹液眠\(yùn),我下線了?!?/p>
備份數(shù)據(jù)被植入后門
在數(shù)十個與黑客合伙對世界各地的公司進(jìn)行滲透和癱瘓的勒索軟件團(tuán)伙中,REvil是危害最大的一個。今年7月份,該團(tuán)伙曾入侵美國卡西亞(Kaseya)軟件管理公司,一次性竊取了數(shù)百家該公司客戶的網(wǎng)站進(jìn)入權(quán)限,觸發(fā)了無數(shù)條緊急網(wǎng)絡(luò)事件響應(yīng)。在那之后,美國政府加大了對REvil團(tuán)伙的“圍剿”的力度。
卡西亞公司遭遇網(wǎng)絡(luò)入侵時,聯(lián)邦調(diào)查局掌握了一種通用型密鑰,可幫助因入侵事件受損的卡西亞公司客戶不必支付贖金就能恢復(fù)本公司重要文檔。
但聯(lián)邦調(diào)查局承認(rèn),為了隱蔽追蹤REvil團(tuán)伙成員,執(zhí)法部門的官員并未立即向受害者發(fā)放密鑰,而是在最初數(shù)周時間內(nèi)隱瞞了密鑰的存在。
三位知情者透露,執(zhí)法和情報部門的網(wǎng)絡(luò)專家早已具備了破解REvil團(tuán)伙計算機(jī)網(wǎng)絡(luò)基礎(chǔ)設(shè)備的能力,至少可以獲得其中幾臺服務(wù)器的控制權(quán)。
今年7月,REvil團(tuán)伙用來開展業(yè)務(wù)的網(wǎng)站下線后,該團(tuán)伙自稱“未知”(Unknown)的主要發(fā)言人也從互聯(lián)網(wǎng)上消失。
上個月,“0_neday”和其他團(tuán)伙成員試圖從備份中恢復(fù)上述網(wǎng)站的運(yùn)行,但卻在不知不覺中重啟了某些已經(jīng)被執(zhí)法部門控制的內(nèi)部系統(tǒng)。
“勒索軟件團(tuán)伙REvil試圖利用備份恢復(fù)網(wǎng)站運(yùn)行,他們認(rèn)為這些備份并未遭到破壞,”俄羅斯安全公司Group-IB取證實(shí)驗(yàn)室副主管奧列格?斯庫爾金(Oleg Skulkin)說?!暗苤S刺的是,團(tuán)伙成員最喜歡的備份破解戰(zhàn)術(shù)這次被用在了他們自己身上?!?/p>
據(jù)悉,可靠的備份是抵御勒索軟件攻擊最重要的防護(hù)手段之一。但這些備份的保存必須斷開與主網(wǎng)絡(luò)的聯(lián)接,否則也可能遭到REvil之類的勒索團(tuán)伙破解。
網(wǎng)絡(luò)圍剿仍在進(jìn)行中
白宮國家安全委員會發(fā)言人沒有就此行動發(fā)表專門評論,但他表示:
“概括來說,就是我們正在執(zhí)行一項由政府出面組織的‘反勒索’行動。任務(wù)內(nèi)容包括破解勒索軟件團(tuán)伙的基礎(chǔ)設(shè)施、設(shè)備,打擊實(shí)施網(wǎng)絡(luò)勒索活動的人員,同時與私營部門合作構(gòu)建更現(xiàn)代化的(網(wǎng)絡(luò))防御體系,并組建一個國際聯(lián)盟,追究那些包庇網(wǎng)絡(luò)勒索分子的國家的責(zé)任?!?/p>
聯(lián)邦調(diào)查局拒絕對該行動做出評論。
一名知情人士透露,執(zhí)行網(wǎng)絡(luò)破解任務(wù)的是美國政府的外國合作伙伴。后者通過復(fù)雜技術(shù)手段侵入了REvil團(tuán)伙的計算機(jī)系統(tǒng)。一位不愿意透露姓名的前美國政府官員表示,上述行動仍在進(jìn)行中。
凱勒曼說,REvil團(tuán)伙的計算機(jī)系統(tǒng)能夠被成功破解應(yīng)歸功于美國司法部副部長麗莎?摩那哥(Lisa Monaco)的決心。她曾表示,針對國家關(guān)鍵基礎(chǔ)設(shè)施的勒索軟件攻擊應(yīng)該被視為等同于恐怖活動的行為。
今年6月,美國司法部副總檢察長理約翰?卡林(John Carlin)接受路透社采訪時表示,司法部正在將針對勒索軟件攻擊的調(diào)查提升為與恐怖活動調(diào)查類似的優(yōu)先事項。
凱勒曼說,此決定給美國司法部及其他政府部門提供了一個法律基礎(chǔ),可據(jù)此要求情報機(jī)構(gòu)和國防部提供幫助。
“以前沒有人可以侵入那些論壇,軍方也不愿意插手。但現(xiàn)在就沒有必要再手下留情了?!?/p>