黑客档案:揭秘在白俄罗斯被捕的Andromeda(仙女座)僵尸网络的幕后操纵者

执行摘要

2017年12月4日,欧洲执法机构、美国联邦调查局和若干非欧盟成员国的联合特遣部队成功地撤除了Andromeda(仙女座)僵尸网络,参加行动的还包括几个私营企业(如微软、ESET等)。

Andromeda(仙女座)僵尸网络曾是市场上最古老的和规模最大的僵尸网络之一。据微软称,在撤除之前的48小时内,全球范围内仍有200万多台受Andromeda(仙女座)僵尸网络感染的计算机。Andromeda(仙女座)僵尸网络被各种犯罪集团和个人黑客使用,其分发的恶意软件家族多达80种。

白俄罗斯共和国的调查委员会发布报告称他们与联邦调查局合作,逮捕了Andromeda(仙女座)木马程序幕后的国际网络犯罪集团成员Ar3s,询问和拘捕的部分视频录像如下所示:

执法机构有足够的信心可以确定逮捕对象是网上被称为“Ar3S”的人,他是一名资历很老的黑客,在地下犯罪论坛颇有威望,同时也是Andromeda(仙女座)木马程序和一个知名黑客论坛“Damage Lab”的管理员。

安全人员根据一些线索推断“Ar3S”可能是Jarets Sergey Grigorevich,虽然白俄罗斯执法当局在公布的信息中并没有透露罪犯的真实名字。

关键证据

  • “Ar3S”是公认的恶意软件开发、逆向工程、网络安全和反病毒技术方面的专家。在一些知名的技术论坛上,他不仅是一个非常有信誉的交易担保人,还是一个分析师。基于“Ar3S”在这些论坛的活动轨迹、语言模式和照片等资料的分析,研究人员认定他就是Sergey Jarets或jaretz,一个33岁定居在白俄罗斯(戈梅利州雷奇察地区)的男性。
  • 调查材料显示,联邦调查局(FBI)的卧底从白俄罗斯的黑客手里购买到了恶意软件,并确定了“Ar3S”和Andromeda(仙女座)恶意软件之间的关系。该恶意程序源代码经安全专家验证并确认的确是恶意的。
  • 根据发布新闻稿显示,调查人员收集了“Ar3S”实施欺诈活动和参与黑客组织其他犯罪活动的铁证:恶意软件卖家、服务器所有者以及工具的使用者。
  • 除此之外,研究人员还监控了很多的网络犯罪论坛,根据收集到的信息,可以高度肯定被捕人就是“Ar3S”。

Ar3S”的背景

“Ar3S”,俄罗斯语是“Арес”,其他化名为“ch1t3r”或“Sergey Jaretz”/“Sergey Jarets”,是一个最受人尊敬的和历史最悠久的黑客社区的成员。“Ar3S”至少从2004年起就在讲俄语的地下论坛中开始活跃了。

“Ar3S”于2011年创建了功能强大的Andromeda(仙女座)bot和Win32/Gamarue HTTP bot,并因此而声名鹊起。有人认为“Ar3S”也是Windows SMTP Bruter v.1.2.3(一款SMTP暴力破解工具)的制作者。

根据执法机构发布的声明,每份Andromeda(仙女座)恶意软件样本的售价为500美元,另外支付10美元可以获得一个恶意软件的后续更新版本。

威胁分析

根据研究人员的分析并观察“Ar3S”近期的活动,发现其最后一次访问Damage Lab的时间是11月22日,这可能也是他被逮捕的日期。犯罪团体的很多其他成员对此事非常紧张,因为“Ar3S”至少从2017年11月20日开始就一直反应迟钝。

结合上述事实以及其他“巧合”因素(例如:居住在白俄罗斯的戈梅利地区、出生日期以及Damage Lab网络犯罪论坛管理员的身份),可以断定被逮捕的就是“Ar3S”。

继续跟踪“Ar3S”的网上痕迹,发现其曾用ICQ号码“5777677”作为他的一个主要的联系方式,这个号码关联了一个名为“Sergey Jaretz”(非常类似于俄罗斯语 “Арес” 的拼写,与Jaretz /Ярец是一致的)的互联网用户,这个用户从2005年起就注册在多个white-hacker和技术型的论坛,并混迹其中。

在 “Sergey Jaretz”和ICQ号码的基础上继续追查,我们发现,白俄罗斯移动运营商MTC的电话号码(+ 375)29-735-56-11绑定在一个名为Sergey Jarets或Jaretz(俄语:СергейГригорьевичЯрец)的白俄罗斯的人身上,这个人在一个名为“Televid”(电视广播)股份公司上班,位于白俄罗斯戈梅利州的雷奇察地区。

根据公开的网络搜索以及“Jaretz”的LinkedIn页面可知,Jaretz自2003年一来,一直担任“Televid”公司的技术总监,负责该公司计算机网络的采购和维护、电视台的维护、技术合同签订、OSHA法规和员工管理工作。他在LinkedIn上的个人资料显示,Jaretz曾就读于戈梅利国立技术大学(2010-2012年)并获得了软件工程学位。

Sergey Jarets的LinkedIn页面

Sergey Jarets的白俄罗斯背景,也与地下犯罪社区的其他成员经常称“Ar3S”为“Belarusian(白俄罗斯人)”的线索相匹配。此外,“Ar3s”在2011年8月注册的Twitter账号,也显示其位于白俄罗斯。

展望

2016年,国际执法机构曾合作成功取缔了Avalanche(“雪崩”)这一大型犯罪网站,而今又成功撤除了市场上影响最大的僵尸网络之一Andromeda(仙女座),并逮捕了幕后操纵者“Ar3S”。

这些影响广泛的执法行动表明,国际机构、各国执法机构和跨国公司合作,通过高级别的联合行动,并充分利用执法人员和私营企业安全专家的专业知识,有助于打击甚至根除顽固的网络犯罪。

原创文章,作者:猫小编,如若转载,请注明出处:http://www.mottoin.com/108039.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code