國(guó)際執(zhí)法機(jī)構(gòu)與多家私營(yíng)科技公司近日宣布，聯(lián)合搗毀了一條網(wǎng)絡(luò)犯罪"流水線"。該犯罪網(wǎng)絡(luò)累計(jì)盜取數(shù)百萬(wàn)條登錄憑證，并通過(guò)勒索軟件及其他欺詐手段非法獲利逾4700萬(wàn)美元。

此次行動(dòng)的核心是同步打擊兩款在各類網(wǎng)絡(luò)詐騙中被廣泛使用的惡意工具。其一是Amadey——一款惡意軟件即服務(wù)平臺(tái)，用于入侵設(shè)備并投放勒索軟件等惡意載荷。Amadey自2018年前后便已被發(fā)現(xiàn)活躍于網(wǎng)絡(luò)，去年還曾被檢測(cè)到利用GitHub收集受感染設(shè)備的系統(tǒng)信息并安裝定制化惡意載荷。其二是StealC——一款信息竊取即服務(wù)平臺(tái)，專門用于收集賬號(hào)密碼、身份驗(yàn)證Cookie、加密貨幣錢包、瀏覽器擴(kuò)展程序以及符合客戶自定義規(guī)則的文件。

Amadey與StealC本是相互獨(dú)立運(yùn)營(yíng)的兩款工具，但由于二者使用廣泛，許多犯罪分子在實(shí)施攻擊時(shí)會(huì)同時(shí)使用這兩款工具。此外，經(jīng)微軟借助AI對(duì)這兩款工具進(jìn)行深度分析后發(fā)現(xiàn)，二者在底層基礎(chǔ)設(shè)施上存在重疊。這一關(guān)鍵發(fā)現(xiàn)使微軟律師團(tuán)隊(duì)得以向法院申請(qǐng)同步打擊兩款工具的司法命令。

微軟方面表示："此次行動(dòng)直指網(wǎng)絡(luò)犯罪的'流水線'模式——正是這種協(xié)同工具體系在驅(qū)動(dòng)勒索軟件攻擊、金融詐騙以及對(duì)公共服務(wù)的破壞。Amadey幫助攻擊者入侵設(shè)備，StealC負(fù)責(zé)竊取密碼和敏感信息，二者聯(lián)手構(gòu)成了整個(gè)犯罪鏈條的關(guān)鍵環(huán)節(jié)。"

基于兩款工具共用基礎(chǔ)設(shè)施的證據(jù)，微軟律師援引針對(duì)有組織犯罪的《反敲詐勒索及腐敗組織法》（RICO），將二者定性為同一犯罪共謀關(guān)系。微軟表示，此次行動(dòng)共搗毀逾200臺(tái)命令與控制服務(wù)器，并切斷了犯罪分子對(duì)逾18000臺(tái)受感染計(jì)算機(jī)的控制。協(xié)助協(xié)調(diào)此次執(zhí)法行動(dòng)的歐洲刑警組織（Europol）則表示，已追繳多達(dá)2700萬(wàn)條被盜登錄憑證，并查獲價(jià)值4700萬(wàn)美元的"犯罪來(lái)源加密資產(chǎn)"。

歐洲刑警組織表示："在此次行動(dòng)中，執(zhí)法部門與私營(yíng)合作伙伴共處置了326臺(tái)服務(wù)器和142個(gè)域名，嚴(yán)重癱瘓了惡意軟件的分發(fā)網(wǎng)絡(luò)。通過(guò)同步打擊這兩款工具，執(zhí)法機(jī)構(gòu)與私營(yíng)企業(yè)的深度協(xié)作大幅提高了網(wǎng)絡(luò)犯罪的實(shí)施門檻，使攻擊更難以得逞、擴(kuò)散或卷土重來(lái)。"

參與本次"獵網(wǎng)行動(dòng)"（Operation Endgame）的其他企業(yè)還包括ESET、Proofpoint、IBM X-Force、Bitsight以及三井物產(chǎn)安全方向公司（Mitsui Bussan Secure Directions）。

歐洲刑警組織還透露，此次"獵網(wǎng)行動(dòng)"的打擊目標(biāo)還包括SocGholish——一款與俄羅斯網(wǎng)絡(luò)犯罪組織Evil Corp相關(guān)聯(lián)的惡意軟件加載器，主要通過(guò)被入侵網(wǎng)站傳播。用戶訪問(wèn)這些網(wǎng)站后，會(huì)被誘騙安裝偽裝成瀏覽器擴(kuò)展或其他合法軟件的木馬程序。歐洲刑警組織已對(duì)受感染的WordPress網(wǎng)站展開(kāi)清理工作，并敦促相關(guān)網(wǎng)站管理員更換憑證、加固安全防護(hù)，同時(shí)積極通知受SocGholish攻擊影響的數(shù)據(jù)和憑證泄露方。參與此次執(zhí)法行動(dòng)的國(guó)家涵蓋加拿大、丹麥、德國(guó)、荷蘭、英國(guó)和美國(guó)。

Q&A

Q1：Amadey和StealC是什么類型的惡意工具？

A：Amadey是一款惡意軟件即服務(wù)平臺(tái)，主要功能是入侵設(shè)備并投放勒索軟件等惡意載荷，自2018年起便已活躍于網(wǎng)絡(luò)。StealC則是一款信息竊取即服務(wù)平臺(tái)，專門收集賬號(hào)密碼、身份驗(yàn)證Cookie、加密貨幣錢包、瀏覽器擴(kuò)展以及用戶自定義規(guī)則匹配的文件。兩款工具相互獨(dú)立運(yùn)營(yíng)，但常被犯罪分子配合使用，共同構(gòu)成網(wǎng)絡(luò)攻擊的完整鏈條。

Q2：微軟是如何發(fā)現(xiàn)Amadey和StealC共用基礎(chǔ)設(shè)施的？

A：微軟利用AI技術(shù)對(duì)Amadey和StealC進(jìn)行深度分析，發(fā)現(xiàn)二者在底層基礎(chǔ)設(shè)施上存在重疊。基于這一關(guān)鍵證據(jù)，微軟律師援引針對(duì)有組織犯罪的RICO法規(guī)，將兩款工具定性為同一犯罪共謀，從而獲得司法授權(quán)，實(shí)現(xiàn)對(duì)兩款工具的同步打擊，共搗毀逾200臺(tái)命令與控制服務(wù)器，并切斷了對(duì)逾18000臺(tái)受感染計(jì)算機(jī)的控制。

Q3："獵網(wǎng)行動(dòng)"最終取得了哪些成果？

A：此次行動(dòng)成果顯著：執(zhí)法部門與私營(yíng)合作伙伴共處置326臺(tái)服務(wù)器和142個(gè)域名，嚴(yán)重癱瘓了惡意軟件分發(fā)網(wǎng)絡(luò)；追繳多達(dá)2700萬(wàn)條被盜登錄憑證；查獲價(jià)值4700萬(wàn)美元的犯罪來(lái)源加密資產(chǎn)。此外，行動(dòng)還針對(duì)與俄羅斯犯罪組織Evil Corp相關(guān)的SocGholish惡意軟件展開(kāi)清理，并對(duì)受感染的WordPress網(wǎng)站進(jìn)行了修復(fù)處理。