俗话说“法网恢恢疏而不漏”,但法网似乎与如今的线上犯罪网络难以交织。作为密码学技术无心插柳的果实,勒索软件近年横扫互联网,使得下至小白网民上至各国政府无不闻风丧胆。在对受害者系统和主机入侵之后,勒索软件全盘扫描并加密特定类型的文件,对勒索受害者的筹码,也从给这些文件“解密”,发展为不给钱就“泄密”,倒是很符合昨天万圣节“不给糖就捣乱”的主题。
原本只能通过写破坏性病毒“炫技”的黑客们,在这种浪潮下找到了变现的途径,一个必要的契机,是加密货币的流通。以比特币为代表,加密货币原生具备匿名性,通俗说就是即便交易链路和历史都完全公开,但交易信息中的钱包地址和背后真实世界的人(在网络空间,“人”基本等同于IP地址)之间,完全没有任何关联和可追溯性。既然难以被定位稽查,勒索犯罪发起者自可高枕无忧。
德国时间28日,德国时代周报网络版(ZEITONLINE)刊发了编辑Kai Biermann的文章:《Coremember of ransomware gang identified》,整理了巴伐利亚广播的相关报道,公开了对臭名昭著的REvil勒索组织一关键成员的定位、跟踪和确认历程。这里我们特意根据公开的信息进行二次整理和解读,为读者呈现一个略显凑巧但又必然的故事:一个技术上完全匿名无从追踪的犯罪分子,是如何由“炫富”显形的。
当我们将勒索软件攻击背后那些看不见的人,笼统称为“勒索组织”时,已经高估了我们故事主人公的能力边界,但也低估了勒索犯罪这黑色产业的成熟度。
以文件加密为核心的勒索行为,实质只是完成复杂的脆弱分析、爆破渗透、横向移动和攻击持久化的完整入侵链路都完成后,一个简单的后入侵动作。一个犯罪组织独立完成完整的系列行动,对技术全面性要求很高,包括目标选定的广撒网的技术、历史与最新漏洞甚至0day漏洞的整合利用与迭代的系统工程,但某种程度上讲,也是传统的、模板化的体力活。
在高利润助推下,勒索进入产业分工合作化,形成所谓“勒索即服务”(Ransomware as a service,RaaS)形式。传统专精于入侵的组织是直接勒索攻击的主体,而勒索软件由专门的组织作为武器弹药供给;如此一来,勒索软件开发商专注于通过技术和代码的组合变化,保证弹药的持续有效,不被反病毒这种主机的最后一道防线防御甚至感知;而作为不直接发起攻击的后端,他们完全隐匿在重重迷雾后面,坐收其买家勒索成功所得赎金的分成。在某些事例中情况甚至更复杂:在勒索软件开发者和攻击黑产中间还产生所谓“代理商”,作为黑市的中间人,隐藏交易双方,同时加强供需要求的传递。
在RaaS模式下,勒索行动和组织无法简单根据所用勒索软件进行分类,因为多个组织可能采买具有相关性的软件,同一个供给和攻击者也可能改用完全不一样的弹药。而对后端不显山不露水的勒索软件供应商的定位和取证,也成了一个重要但几乎不可能的事情。
REvil即是这样一种勒索软件产物。不同时期不同发现该家族的反病毒机构对其有不同的命名,其它包括Sodinokibi等名字,同时也与其它某些家族,如Gandcrab,存在不能排除的同源可能。单此一个狭义定义的病毒家族样本相关的勒索攻击据信已经在世界范围内获利数十亿美金以上,攻击目标没有明确类型,包括政府组织、非营利组织甚至医疗机构。
在Zeit Online供稿中作者迫不及待地祭出目标嫌疑人的种种疑团,给人以“舍他其谁”的感觉,但是我们不妨从正向来看一下作为调查人员,面前摆的是怎样的证据链和猜疑网。
首先,虽然每一笔比特币交易的信息是公开的,但不是所有勒索攻击的受害者,甚至交付了赎金的单位,会选择上报其受害信息,因此无法根据受害者和攻击负载文件,明确刻画勒索组织与比特币钱包地址的对应关系。2019年德国斯图加特一家剧院受到Gandcrab勒索攻击,并据信支付了价值15,000欧元的赎金,且有一定证据证明Gandcrab勒索即是REvil的前身,根据此笔比特币交易,此处形成了疑似勒索组织比特币钱包地址的第一条弱证据。
顺着该钱包地址,调查人员定位到发布该地址的一个Telegram即时通讯应用账号,该账号关联到一个位于俄罗斯的手机号码,这个号码是与一些特定网站关联的大量手机号码之一,而其中一个或多个网站注册信息中给出了一个电子邮箱地址。证据链重重推演至这一步,在每一个环节都形成了一团由多个不可靠分支组成的迷雾;到最后这一步,可能衍生的可疑邮箱已经有较大集合,而这个邮箱地址值得注意的是——它在社交媒体上被一个俄罗斯用户关联,这就引向了报道中的主人公:Nikolay K. (化名)。
但是,仅仅根据目标的国籍吻合,以及重重猜疑的关联信息,显然是无法给出任何足以置信的结论的;这样的证据网络可能在每一例网络犯罪中被构建出来,又只得存档封存。
当锁定一个包括Nikolay K.在内的嫌疑人之后,调查人员就可以在合理的成本内,进行足够证实或证伪的取证。对于黑产从业人员,这种证据几乎肯定是不会有任何痕迹的;这也是本例故事的戏剧性所在。
经过目标人员画像,Nikolay K.与妻子住在俄罗斯一南部城镇,其可查的唯一合法收入来源仅是其所在城市一较新建筑内开办的小型酒吧,装潢简陋,主要服务于体育**。与如此简单甚至佛系的为生方式形成对比,Nikolay K.住所坐拥泳池,配备宝马超跑——而这还只是现实中的冰山一角。
在社交媒体上,Nikolay K.夫妇展示了极致奢华的生活方式。其本人账号并未公开,仅明示了他对于数字加密货币近乎宗教信仰一般的信念。但他的妻子Ekaterina K.似乎并不仅满足于获取高消费的感官感受:她社交媒体中的花花世界从迪拜的五星级酒店,到黑海的克里米亚半岛,再到马尔代夫;最新的一段视频展示了在土耳其南部海滨城市安塔利亚,二人组织的奢华游艇聚会,仅游艇的日租金就高达1300欧元。
虽然Nikolay K.本人可能在网络世界有意识低调,但在其妻子丰富的资料中,他日常身着Gucci T恤和太阳镜,痴迷宝马跑车。特别值得注意的是,从几个月前开始,他都戴着VanguardEncrypto奢侈手工定制腕表,价值至少七万欧元。支撑这极致奢华又无迹可踪的巨大财富,将他置于极大的怀疑之中。
而这块七万欧的腕表也就成了调查人员最终将Nikolay K.确认为关键嫌疑对象的证据。因为Vanguard Encrypto定制的首要噱头,就是会将所有者的比特币钱包地址二维码激光蚀刻在表盘上。如此极客的土豪,赤裸裸地宣誓了Nikolay K.对于从加密货币中攫取财富的得意。而对涉及加密货币的黑产交易中由匿名性带来的线上线下关联难的问题,似乎也很容易不攻自破:一旦到案,只需要翻过他的手腕,一切谎言和迷雾都将不再有效。
说到底,最终还是嫌疑人虽然克制但仍然漫溢的炫富欲望,变成了“此地有银三百两”的一声吆喝啊。
在以上证据链形成后,调查人员和当事调查记者为了坐实猜疑,通过社交网络联系到了这个神龙见首不见尾的Nikolay K.。具体的试探消息我们不得而知,但是后者很快在社交媒体上撤回了他个人相关的信息:这将准星牢牢地套在了他的头上,但同时也不可避免地打草惊蛇了。
根据报告所述,这场调查持续了相当长的时间,据信至少在已经明确了目标的嫌疑之后,NikolayK.还在2020年内有过一次到土耳其的旅游,但出于未知原因,德国警方却并没有从土耳其将其引渡逮捕。至今Nikolay K.仍然逍遥法外,虽然记者显然仍然等待他下一次旅行到与德国有引渡条例的国家,但这至今再也没有发生——特别是在REvil基础设施被攻破之后,这趟可以让当事人和警方都感到兴奋的旅行,可能再不会发生了。
上图是Nikolay K.在社交媒体上发布的照片,德国警方定位到他的位置是在土耳其的安塔利亚,虽然德国和土耳其存在引渡条约,但是遗憾的是最终没能实现成功抓捕。这张照片同时也是Nikolay K.社交软件的Profile照片,当他嗅到被调查的风险后,他将所有照片一删而净。
尽管在本例事件中,调查人员几乎是像中彩票一般,关联到了这个本不可能被定位到的嫌疑人实人,但他的持续逍遥法外,仍然火辣辣地昭示着对于这种极端复杂的跨国网络空间犯罪中,对嫌疑人的逮捕是一件多么艰巨的挑战。预期中通过端掉勒索集团人员来根除祸患的结果没能出现,但我们仍然看到国际社会的一些合作与进展。根据10月21日路透社报道《EXCLUSIVEGovernments turn tables on ransomware gang REvil by pushing it offline》,在多方行动中,REvil组织的服务器基础设施遭到“反制”入侵和控制,勒索网站、支付渠道和服务被迫下线。这被官方与安全专家称为“标志性、毁灭性的行动”。但类似的反制行动在7月13日曾经成功实施过,当时该组织网站与支付渠道曾被迫下线;之后很快REvil就得以死灰复燃且更新迭代。对于这些以隐藏自身、不断更新为安身立命核心本领的犯罪对象,似乎在其人员落网或者赚的盆满钵满金盆洗手之前,反制与打击已经成了“杀不死他只会让他更强”的东西。
可以说,如今各国政府和安全行业与勒索组织之间的攻防,已经进入了无法速战速决的拉锯战态势,要打击收敛这个问题需要旷日持久的投入。直到决胜的方法和局面出现之前,我们仍然需要再三向所有依赖线上基础设施和资产的个人和企业用户进行明确:永远相信没有不能被攻破的系统,且你的系统不可能是其中最坚固的城池;只有采取任何可信的防护系统与机制、实时关注你的安全建设和最新安全态势,才能降低你成为下一个勒索软件受害者的“赔率”。
参考索引
文中援引德国时代周报网络版(ZEIT ONLINE)媒体原始报道,可参见:《Core member of ransomware gang identified》
https://www.zeit.de/digital/internet/2021-10/ransomware-group-revil-member-hacker-russia-investigation
本文作者:YDclub
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/168743.html