为民除害还是窃听全球?FBI捣毁Qakbot僵尸网络
Qakbot是迄今为止规模最大、运行时间最长的僵尸网络之一。8月29日,FBI牵头的一次名为“猎鸭行动”的大规模跨国执法行动成功捣毁了Qakbot的基础设施网络,但也有业界人士担忧FBI的做法带来了“窃听风险”。
最大规模的僵尸网络清除行动
Qakbot僵尸网络是网络犯罪分子中非常流行的网络犯罪工具,用于实施勒索软件、金融欺诈和其他活动。多年来,Qakbot一直充当各种勒索软件团伙及其附属组织的初始感染载体,包括Conti、ProLock、Egregor、REvil、RansomExx、MegaCortex以及最近的BlackBasta。
Qakbot主要通过包含恶意附件或链接的钓鱼邮件感染受害者计算机。用户下载或单击钓鱼邮件发送的恶意附件或链接后,其计算机将被恶意软件控制成为Qakbot僵尸网络的一部分,Qakbot僵尸网络会向他们的计算机投送其他恶意软件(包括勒索软件)。多年以来,大多数Qakbot受害者都不知道自己的计算机已被Qakbot感染。
据路透社报道,受访安全研究人员表示Qakbot源自俄罗斯,并攻击过从德国到阿根廷等世界各地的组织。自2008年问世以来,Qakbot恶意软件已被大量用于勒索软件攻击和其他网络犯罪,给全球各地的个人、企业、医疗提供商和政府机构造成了数亿美元的损失。
据保守估计,Qakbot僵尸网络(也称为Qbot和Pinkslipbot)与全球至少40起针对公司、医疗提供商和政府机构的勒索软件攻击联系起来,造成了数亿美元的损失。
根据FBI和美国司法部的联合公告,“猎鸭”行动在美国、法国、德国、荷兰、罗马尼亚、拉脱维亚和英国同步进行,是美国主导的对僵尸网络基础设施的史上最大规模的执法行动之一。
“猎鸭行动”扣押了Qakbot网络犯罪组织价值近900万美元的加密货币。根据FBI发布的证据,仅在2021年10月至2023年4月期间,Qakbot管理员就收取了受害者支付的约5800万美元赎金。
虽然大型僵尸网络遭受执法机构的沉重打击后经常“复活”(例如EMonet),但FBI局长克里斯托弗·雷(ChristopherWray)言之凿凿地表示:“FBI消灭了这个影响深远的犯罪供应链,已将其彻底斩断。”
70万台僵尸网络计算机的流量被导向FBI控制的服务器
在启动全球执法行动之前,FBI设法渗透了Qakbot僵尸网络基础设施的一部分(其中包括Qakbort管理员使用的一台计算机),并获得了对Qakbot基础设施的访问权限,发现Qakbot在全球范围已经感染了超过70万台受感染的计算机,其中超过20万台位于美国(50万台分布在全球各地)。
在Qakbot管理员使用的一台(感染Qakbot的)计算机上,FBI找到了许多与Qakbot僵尸网络操作相关的文件,包括Qakbot管理员和同谋之间的聊天内容,以及虚拟货币钱包的信息。
为了彻底捣毁Qakbot的大规模僵尸网络,FBI将Qakbot流量重定向到FBI控制的服务器,并获取了在全球受感染设备上部署卸载程序所需的访问权限。FBI报告称其服务器指示受感染的计算机下载卸载程序文件,进而删除Qakbot恶意软件,并可阻止设备安装任何其他恶意软件。FBI声称此举是为了彻底清除感染并防止部署其他恶意负载。
虽然FBI声称在部署Qakbot卸载工具时通过从受害者计算机收集的IP地址和路由信息通知了受害者,但没有用户在卸载程序从系统中删除恶意软件时收到通知。用户也可以通过在HaveIBeenPwned或荷兰国家警察网站(https://politie.nl/checkyourhack)上提交电子邮件地址来检查是否受到感染。
FBI承诺,自己在主动从受感染的私人系统中删除恶意软件的过程中不会查看或收集任何个人信息。
美国司法部也在本周二的新闻稿中再次强调:“此次执法行动的范围仅限于Qakbot在受害者计算机上安装的信息。它(该行动)没有扩展到修复已安装在受害者计算机上的其他恶意软件,也没有涉及访问或修改受感染计算机所有者和用户的信息。”
参考链接:
