Google周二(12/17)宣布,已联手网络基础设施及托管供应商,关闭了僵尸网络Glupteba所使用的服务器及网址,还粘贴了警告页面,也已关注到Glupteba幕后两名俄罗斯黑客的姓名,并向美国法院提出了告诉。
Glupteba僵尸程序主要锁定全球的Windows与IoT设备,估计约有超过100万设备受到感染,而且每天还以感染数千个新设备的速度增加中,主要的功能包括窃取用户的凭证与资料,在受到感染的设备上植入挖矿程序,或是设置代理人以用来开展服务阻断攻击,受害者遍布美国、印度、巴西与东南亚。
根据Google威胁分析小组(Threat Analysis Group,TAG)的调查,Glupteba多半通过Pay Per Install广告网络、向流量传播企业购买流量,或是藏匿在破解软件中进行传播(如下图),而且还利用区块链打造了备份服务,当已进驻在受害者上的恶意程序无法访问黑客所创建的命令暨控制(C&C)服务器时,就会通过特定的比特币钱包地址,访问已加密的备份域名,企图重新创建与C&C服务器的连接。
图片来源_Google
此外,黑客还对外出售Glupteba服务,包括以盗来凭证访问虚拟机的能力、代理设备访问权,或是信用卡号码,而这些遭窃的信用卡号码则被用来执行其它的诈骗行动,例如在Google Ads上支付广告费用,或是购买其它的Google服务。
太岁头上动土的结果是让TAG与Google的网络犯罪调查小组(CyberCrime Investigation Group)联手针对Glupteba展开了调查,特别是涉及Google服务的诈骗部分。
在这一年来,Google已经关闭了6,300万个用来传播Glupteba的Google Docs文件,也终止了1,183个Google账号,908个云计算项目,以及870个与Glupteba有关的Google Ads账号,还有350万个用户在准备下载恶意文件时,收到Google Safe Browsing的警告。
而最近几天,Google则与网络基础设施及托管服务供应商合作,关闭了Glupteba所使用的服务器及网址,并在这些网站上发布了警告消息。
在关注Glupteba的过程中,Google发现了两名疑似Glupteba背后藏镜人的俄罗斯人Dmitry Starovikov与Alexander Filippov,并向纽约南区地方法院提出了诉讼,控告Starovikov及Filippov违反《反勒索及受贿组织法》(Racketeer Influenced and Corrupt Organizations Act)、计算机欺诈及滥用法案(Computer Fraud and Abuse Act,CFAA)、《电子通信隐私法》(Electronic Communications Privacy Act,ECPA),以及干扰商业关系与不当得利等。
Google指出,目前黑客已无法操纵Glupteba僵尸网络,虽然区块链的分布式特性让Glupteba僵尸网络可以快速复活,但Google将与产业及政府密切合作,共同打击这类的行为,即便之后Glupteba死而复生,网络也能获得更好的保护。