美國司法部起訴編寫Trickbot惡意軟件源代碼的拉脫維亞女程序員

安全 2021-06-07 01:38

聲明：該文章由作者（劉全有）發(fā)表，轉(zhuǎn)載此文章須經(jīng)作者同意并請(qǐng)附上出處(0XUCN)及本頁鏈接。。

美國司法部今天在法庭上提審了一名拉脫維亞女程序員，她是Trickbot惡意軟件團(tuán)隊(duì)的一員，在那里她擔(dān)任程序員，編寫控制惡意軟件和在受感染電腦上部署勒索軟件的代碼。司法部在今天的一份新聞稿中說，55歲的阿拉·維特來自拉脫維亞，但居住在蘇里南的帕拉馬里博，于2月6日在佛羅里達(dá)州的邁阿密被捕。

美國官員說，以 "Max"為名上網(wǎng)的維特自2015年11月Trickbot惡意軟件團(tuán)伙成立以來一直與該團(tuán)伙合作，當(dāng)時(shí)Dyre惡意軟件團(tuán)伙的殘余人員聚集在一起，創(chuàng)建并分發(fā)Dyre木馬的改進(jìn)版，該版本后來被命名為Trickbot。

根據(jù)法庭文件，維特被確認(rèn)為Trickbot惡意軟件背后的17名嫌疑人之一，據(jù)信自2015年以來，該軟件已經(jīng)感染了全球數(shù)百萬臺(tái)電腦。

美國調(diào)查人員說，維特操刀了 "與監(jiān)測和跟蹤Trickbot惡意軟件的授權(quán)用戶有關(guān)的代碼的創(chuàng)建、控制和部署勒索軟件，從勒索軟件受害者那里獲得付款，以及開發(fā)工具和協(xié)議來存儲(chǔ)從被Trickbot感染的受害者那里偷來和流出的憑證。"

她在Trickbot團(tuán)伙中的角色隨著惡意軟件的變化而變化，例如，從一個(gè)專注于從銀行賬戶竊取資金的經(jīng)典銀行木馬變成了其他惡意軟件有效載荷（如勒索軟件操作）的加載器。

美國官員在一份有47項(xiàng)罪名的起訴書中對(duì)維特提出了19項(xiàng)指控。網(wǎng)絡(luò)安全專家的公開評(píng)論表明，維特沒有很好地隱藏自己的身份，甚至在她的個(gè)人網(wǎng)站上托管Trickbot惡意軟件的開發(fā)中版本。

維特是第一個(gè)被逮捕的Trickbot團(tuán)伙的成員。美國官員表示，其他Trickbot嫌疑人仍在俄羅斯、白俄羅斯、烏克蘭和蘇里南逍遙法外。

2020年10月，美國官員對(duì)一個(gè)被稱為QQAAZZ的犯罪集團(tuán)提出指控，該集團(tuán)幫助Trickbot團(tuán)伙洗白他們從受害者銀行賬戶中竊取的資金。同月，一個(gè)科技公司聯(lián)盟試圖搗毀Trickbot僵尸網(wǎng)絡(luò)。雖然Trickbot團(tuán)伙的行動(dòng)被中斷了幾周，但該僵尸網(wǎng)絡(luò)后來恢復(fù)了，并且至今仍在活動(dòng)。

從歷史上看，Trickbot僵尸網(wǎng)絡(luò)是迄今為止最大和最成功的行動(dòng)之一。它于2015年開始運(yùn)作，此前Dyre惡意軟件團(tuán)伙的成員在一系列高調(diào)的逮捕行動(dòng)后分散開來，使該團(tuán)伙的領(lǐng)導(dǎo)結(jié)構(gòu)癱瘓。

Trickbot是作為一個(gè)替代方案而成立的，最初它延續(xù)了Dyre的做法，其操作者將大部分時(shí)間投入到電子郵件垃圾郵件活動(dòng)中，旨在誘使用戶下載并在其計(jì)算機(jī)上安裝惡意軟件。

在其早期的歷史中，Trickbot是一個(gè)典型的銀行木馬，它感染了計(jì)算機(jī)，然后篡改用戶的瀏覽器，轉(zhuǎn)儲(chǔ)和竊取憑證，然后顯示 "網(wǎng)絡(luò)注入"，允許該團(tuán)伙收集電子銀行憑證并與電子銀行賬戶實(shí)時(shí)互動(dòng)。

然而，隨著銀行開始部署安全功能，使銀行木馬的生活更加困難，大約在2017年，Trickbot團(tuán)伙跟隨當(dāng)時(shí)活躍的其他惡意軟件團(tuán)體，將他們的銀行木馬轉(zhuǎn)換成更簡單、更精簡的惡意軟件。Trickbot被稱為加載器（來自下載器）或投放器，它將繼續(xù)在垃圾郵件的幫助下感染受害者，但一旦它感染了主機(jī)，主要目的將是下載和安裝其他惡意軟件株系。

這樣，多年來，Trickbot團(tuán)伙建立了一個(gè)巨大的僵尸網(wǎng)絡(luò)，并將其出售給其他犯罪集團(tuán)。被稱為 "犯罪軟件即服務(wù) "的Trickbot運(yùn)營商允許客戶部署自己的惡意軟件，或創(chuàng)建專門的模塊，讓客戶為特定任務(wù)部署。

根據(jù)他們所感染的受害者，Trickbot惡意軟件經(jīng)常被用來竊取銀行憑證、企業(yè)網(wǎng)絡(luò)密碼，讓詐騙者進(jìn)入大公司，讓數(shù)據(jù)經(jīng)紀(jì)人從企業(yè)網(wǎng)絡(luò)中竊取機(jī)密和敏感文件，甚至部署Ryuk和Conti等贖金軟件進(jìn)行破壞性攻擊。Trickbot現(xiàn)在被認(rèn)為是當(dāng)今最危險(xiǎn)的僵尸網(wǎng)絡(luò)之一，與Dridex、Qbot和IcedID一起活躍。

今天提交給維特的法庭文件經(jīng)過大量編輯，隱藏了其他16名Trickbot運(yùn)營商的名字，這表明美國官員已經(jīng)知道了他們的身份，未來的逮捕和指控也必將隨之而來。

關(guān)注我們