金融行业最通缉黑客的追踪 - 彭博社

Dune Lawrence

2015-06-18

在任何全球疫情中，识别“零号病人”是很重要的。在电影中，你会看到一位腿长的格温妮斯·帕特洛。在这场持续了九年的在线疫情中，它帮助创造了我们所知的网络犯罪，你会看到“fliime”。

这是一个人在2006年10月11日凌晨2:24在在线论坛Techsupportguy.com上使用的名字，他说他在他姐姐的电脑上发现了一些坏代码。“有人能看看这个吗？”他写道。

Fliime可能没有意识到这正在创造历史。但这个潜入PC的恶意程序是一种新型，能够在一天内收集到的用户登录和网站密码比竞争对手的恶意软件在几周内收集到的还要多。随着不断的增强，这种恶意软件及其后代成为了网络银行抢劫的巨头——将数百万台计算机变成了被犯罪分子奴役的全球僵尸机器网络。对其收获的保守估计达到数亿美元。

研究代码的调查人员只知道其创造者的别名，这些别名几乎和恶意软件本身一样频繁地变化：A-Z、Monstr、Slavik、Pollingsoon、Umbro、Lucky1235。但这个神秘的编码者给他的产品起了一个有持久力的名字；他称之为ZeuS。就像希腊神话中以繁殖为目的的神一样，这个ZeuS孕育了强大的后代——并成为现代网络犯罪产业的案例研究。

这是一个恶意代码的故事，以及对其创造者的追踪。

摄影师：Asger Carlsen为彭博商业周刊拍摄；布景设计：Dave Bryant在ZeuS首次出现在fliime的姐妹电脑上几个月前，唐·杰克逊在戴尔安全工作室找到了他的梦想工作，这是一家与美国政府和财富500强公司密切合作的网络安全公司。他在亚特兰大的蓝十字蓝盾公司从事信息安全工作已有八年。这相当于从社区巡警毕业到精英特警队成员。

杰克逊是阿拉巴马州人，讲话速度谨慎，毫无自负，准备充分。作为日常工作的副项目，他自学了俄语的读写，并开始频繁访问网络论坛，这些论坛在网络犯罪分子中颇受欢迎，假装成一个不正当的程序员。

在那里，ZeuS引起了立即的轰动；杰克逊从未见过对一款新恶意软件如此强烈的兴趣。编写恶意代码并不比创建合法软件容易。如果做得马虎，你的恶意软件会通过减慢受害者的计算机速度、干扰其他程序或崩溃整个系统来警告他们。杰克逊说，ZeuS运行得非常顺畅。更重要的是，它的作者保持着疯狂的改进速度。

“这简直就是畅销书，”杰克逊说。“人们就是喜欢它。这是一个活生生的编码项目，拥有所有最先进的功能。”

到2007年中，ZeuS已经演变成类似企业软件的东西，将所有工具打包在一起，供DIY网络盗窃操作使用。关键是，这个软件包包括跟踪和管理被感染机器的功能，使得建立僵尸网络变得更加容易。这些所谓的僵尸网络是各种在线诈骗的基础。它们不仅是从每台计算机收集的数据来源；它们还是黑客用来释放大量垃圾邮件和重型流量以关闭目标网站的力量倍增器。

在其推出的一年内，该软件正在开发方法来对抗恶意软件猎人——包括像杰克逊这样的人工猎人以及自动化的防病毒程序。一旦进入新计算机，ZeuS会重新调整自己的代码，改变防病毒程序会寻找的模式。黑客还可以启用一个功能，通过“代理服务器”发送被盗数据——虚假的位置隐藏了真实的路径和目的地，复杂化了检索任务。

杰克逊跟踪了这一切，因为SecureWorks的客户感染了病毒并寻求公司的帮助，发送了他解构和分析的代码样本。到2007年6月，他开始意识到问题的严重性：仅仅两个攻击团伙每天就从10,000台感染机器中收集超过一千兆字节，或约十亿个字符的被盗数据，他在当月的一份报告中写道。

“没有人知道有多少人购买了木马代码，有多少攻击正在进行，以及有多少攻击是计划中的，”杰克逊写道。“与此同时，企业PC和家庭PC用户正在以千兆字节的速度泄露敏感信息。”

然而，情况迅速恶化，除了杰克逊和他的同事外，几乎没有人意识到这一点。大多数科技界的人都忙于iPhone的发布，苹果公司于2007年6月29日推出了这款产品。几乎立即，消费者开始收到承诺提供免费iPhone屏幕保护程序链接的电子邮件。那些点击链接的人最终却得到了最新的ZeuS变种。当杰克逊拿到新代码时，他简直不敢相信自己的眼睛。

该代码现在允许黑客插入到在线银行会话的中间。首先，他们会仔细检查被盗数据，以识别可以访问商业银行账户的感染机器，即使是大额转账也不会引起警报。每当这样的机器登录到银行网站时，黑客可以在ZeuS工具包中捆绑的管理界面上看到它，并搭便车进入合法会话。受害者可能会在屏幕上看到一页因维护而延迟的页面，或一个要求输入PIN码或社会安全号码的框，而黑客则利用被盗的访问权限清空账户。这对银行安全来说是场噩梦；受害者已经登录，因此会话看起来是100%合法的。

竞争的恶意软件试图使用被盗的凭证做同样的事情，但由于未能足够接近地模仿人类的请求而触发了欺诈警报，杰克逊说。这段代码显然是一个严肃程序员的作品，某人将新的严谨性带入了恶意软件的创建。

杰克逊知道，有人声称自己是ZeuS的作者，常常在一个名为Mazafaka的私人论坛上活动，使用的昵称是A-Z。在假装购买A-Z的商品的幌子下，调查员开始了通信。杰克逊了解到，A-Z拥有一艘船，喜欢航海，并渴望拥有一辆梅赛德斯-奔驰SLR。黑客提到过莫斯科的一所大学和圣彼得堡的学校，但从未明确他是否接受过正式培训或有合法的工作。

他的产品价格昂贵，基本型号约为3000美元，附加功能的费用更高。那个夏天，期待服务与价格相匹配的客户变得不安。留言板上充满了对A-Z未能跟上的投诉，竞争对手开始对代码进行逆向工程，以低价或免费的盗版复制品冲击市场。到2007年8月，A-Z在网上宣布他将关闭商店并停止ZeuS的销售。

这被证明是一个假动作。ZeuS在2008年重新出现，在混乱的恶意软件世界中带来了罕见的东西：最终用户协议。不得重新分发，不得研究代码，不得发送给杀毒公司。目前尚不清楚是否有人违反了这些规则，也不清楚ZeuS的制造者是否曾追究过任何人的责任，但这表明他对保护自己的知识产权是认真的。到2009年，恶意软件的保护演变为基于硬件的许可证：每个买家获得一个加密文件，只有用其计算机独特的密钥才能解锁。将不允许共享。

没有人确切知道重新出现的ZeuS是否是最初引入它的同一个编码者的作品。但创新的驱动力始终存在。使用别名Monstr和Slavik，作者仅向一小部分可信客户传播新的测试功能。他主要与一个名为JabberZeuS的团伙合作，该团伙的名称源于代码中包含的基于IM软件Jabber的聊天模块，该模块自2009年起实时通过即时消息发送被盗凭证。现在，黑客们还可以选择虚拟控制受害者的计算机——这就像技术支持远程进入你的PC以解决问题一样。仅这个附加功能就要花费10,000美元，这是绕过需要任何银行活动来自预定计算机的高安全设置的价格。

这种编排可能很复杂，但效果极其显著。在肯塔基州的布利特县，位于路易斯维尔以南，JabberZeuS黑客感染了县财政官的计算机，窃取了县银行账户的登录名和密码。然后，他们更改了县银行账户的密码以及记录中的联系电子邮件——这意味着安全代码将直接发送给他们。他们在县的工资单上添加了虚构的员工，然后授权自动转账给这些虚假员工，根据后来的诉讼文件，转走了超过400,000美元。钱骡子——被雇来假装是收取虚假薪水的假员工的人——拿走了这些钱并将其运走。

一家安全公司Damballa估计，ZeuS在2009年感染了360万台美国计算机，使其成为最大的僵尸网络威胁。根据SecureWorks的说法，JabberZeuS僵尸网络在那一年造成了至少1亿美元的银行损失——超过所有传统的非网络犯罪对银行造成的损失总和。

在2009年5月，一系列来自银行的欺诈电子支付促使FBI采取行动。随后的调查被称为“三叉戟突破行动”，发现了长长的受害者名单，包括芝加哥的一群方济各修女和马萨诸塞州的埃格雷蒙特镇。经过一年半的时间，2010年9月30日，美国、乌克兰和英国的执法部门逮捕或拘留了150多人。

马克·帕特森，他的建筑公司Patco在2009年被ZeuS木马盗走了588,000美元。摄影师：克雷格·迪尔格/《纽约时报》通过Redux根据FBI的说法，被捕者是一个乌克兰帮派的星系的一部分，该帮派入侵了390家美国公司的计算机，并使用了超过3,500名“洗钱者”。总的来说，受害者的银行账户损失达7000万美元。

在JabberZeuS调查期间，杰克逊发现了一个重要线索——不是关于编码者是谁，而是关于他在哪里。杰克逊发现了一台曾用作临时僵尸网络控制中心的计算机。上面有一张戴着太阳镜的男子的照片，他在胸前竖起三根手指。在他身后，通过窗户可以看到一棵棕榈树。杰克逊将这张图片传给了他遇到的一位空军研究员。一个月后，答案回来了：看起来这张照片是在俄罗斯的阿纳帕拍摄的，一个黑海度假小镇。

该程序的作者并不在被捕者之中，但在执法部门采取行动几天后，网络犯罪界又遭到了一次震惊：ZeuS及其最大的竞争对手SpyEye计划合并。SpyEye的创造者，名为哈德曼或格里博德门，最初因将其恶意软件宣传为“ZeuS杀手”而声名鹊起。现在他宣布他将接管他的竞争对手。

“你好！”他在一个黑市论坛上用俄语发布。 “我将从今天开始为Zeus产品提供服务。从现在开始，我已经免费获得了源代码，以便购买软件的客户不会失去技术支持。Slavik不再支持该产品。……他让我转达他很高兴能与大家合作。”

这是一种有效的消失把戏，尽管交易证明是短暂的。在2011年5月，ZeuS源代码泄露到网上。一些研究人员认为是Gribodemon泄露了源代码，一些人推测是ZeuS的作者本人。无论是偶然还是故意，ZeuS现在实际上是一个开源项目——这被证明是一个很好的商业策略，芬兰网络安全公司F-Secure的安全顾问肖恩·沙利文说。之前，ZeuS的作者有一个他无法扩展的业务，因为这样会让自己成为执法部门的目标。（见JabberZeuS的逮捕。）泄露使他能够专注于新的赚钱项目，而调查人员则被新一代ZeuS后代所分散注意力。

“所以现在执法部门无法看清大局，”沙利文说。

ZeuS的创造者的复出在2011年底开始形成一个私人僵尸网络的计划，这引起了警报。与其将恶意软件出售给犯罪分子以建立自己的僵尸网络，他和他的新团伙建立了自己的僵尸网络，并向其他犯罪分子出租部分僵尸网络以获取费用。这样，编码者可以成为自己僵尸网络的管理员，并自己控制操作的安全性。

在2012年1月，FBI向公司发出警告，提醒他们注意一种通过电子邮件传播的新ZeuS变种，这些邮件声称来自政府机构，包括联邦储备和联邦存款保险公司。根据FBI的说法，这种恶意软件被“恰当地称为‘Gameover’”，因为“一旦罪犯进入你的银行账户，肯定就是‘游戏结束’。”这种恶意软件具有一些卑鄙的新功能，包括发起拒绝服务攻击以分散银行安全的注意力，并延迟发现欺诈交易。到7月，Gameover僵尸网络扩展到估计160万台计算机。

随着银行在抵御ZeuS的侵害方面变得更加出色，Gameover团伙开发了一种新颖的商业模式来补充银行抢劫：勒索。

这种新恶意软件在2013年通过Gameover僵尸网络发送的垃圾邮件中传播。那些不知情的人点击电子邮件中的链接后收到了一个不祥的消息：你所有的文件刚刚被加密；支付几百美元的赎金，否则你将永远无法再次访问。其他形式的勒索软件基本上是大虚张声势——文件并没有真正被加密。这个版本被称为Cryptolocker，确实如此，研究人员找不到任何破解的方法。

FBI观察这个僵尸网络增长了两年，却不知道如何攻击它，匹兹堡FBI网络部门的监督特别探员托马斯·格拉索说。看起来罪犯们建立了一个不可攻破的堡垒。

在之前的ZeuS僵尸网络中，最薄弱的环节是命令和控制服务器，黑客通过这些服务器向感染的计算机发出命令，而计算机则将被盗数据发送回去。这些服务器给调查人员提供了类似固定地址的目标，通常通过硬编码到恶意软件中的域名进行追踪。Gameover ZeuS通过不断改变其在互联网上的位置并通过多达2000个代理服务器转移流量来隐藏指挥中心。Gameover还部署了一种去中心化结构：感染的计算机可以在彼此之间传递命令，而不是每台计算机单独与指挥服务器通信。

“他们查看了好人过去所做的事情，包括执法部门和私营部门，以影响僵尸网络，他们以一种不易被攻破的方式构建了这个，”Grasso说。“说实话，我们真的认为它是安全的。”

Grasso说，突破发生在2013年秋季，当时包括SecureWorks在内的私人合作伙伴想出了打破僵尸网络的方法。Grasso帮助协调了大约10名FBI特工和来自20多家不同公司的私人研究人员组成的团队，通过逐步在系统内部安插内奸，慢慢地用政府控制的计算机和服务器替换恶意的计算机，并控制代理地址。然后，他们获得了法院命令，允许他们接管并重定向僵尸网络的管理到他们自己的服务器上。2014年6月2日，FBI和司法部宣布了这一行动，并公布了另一条消息：他们称之为ZeuS创造者的人的名字。

来源：FBI通过彭博社当天解封的法院文件显示，他并不是被自己的代码背叛，而是被一个人类叛徒出卖。举报者向FBI提供了一个由Gameover ZeuS管理员使用的电子邮件地址。这使他们找到了Evgeniy Mikhailovich Bogachev，一个30岁、光头的男子。

是的，他是安纳帕的居民，这个黑海度假胜地有着杰克逊多年前发现的标志性棕榈树。当ZeuS首次出现在Techsupportguy.com时，Bogachev才22岁。他仍然在逃。

他的部分编码兄弟一个接一个地落入执法部门的手中。美国在2013年7月当SpyEye的作者亚历山大·帕宁通过亚特兰大机场时逮捕了他。他认罪，等待判刑——可能长达30年。帕宁和博加乔夫均无法联系以发表评论。

联邦调查局网络安全助理主任约瑟夫·德马雷斯（右）在华盛顿外国记者中心的简报会上，听取宾夕法尼亚州西区美国检察官大卫·希克顿的发言，时间是2月24日。

摄影师：布伦丹·斯米亚洛夫斯基/法新社/盖蒂图片社在2月份，联邦调查局宣布了一项300万美元的奖励，以获取可能导致他被捕的信息，这是对网络犯罪分子开出的最大悬赏。

“我们不会允许人们犯罪而逍遥法外，仅仅因为抓捕他们很困难，”宾夕法尼亚州西区的美国检察官大卫·希克顿说，他负责提出指控。

与此同时，ZeuS已成为网络地下世界的永久礼物。SecureWorks记录了针对超过80个国家的1400多家金融机构的攻击——仅在2014年至2015年3月期间。根据SecureWorks的说法，自ZeuS源代码泄露以来，几乎所有银行恶意软件都已纳入其特性。

杰克逊去年搬到南卡罗来纳州查尔斯顿，成为PhishLabs的威胁情报主任，这是一家网络安全公司。去年6月，在被摧毁后不久，他对ZeuS作者避开抓捕的能力感到惊讶。

“创造一个自诞生以来可能造成十亿美元损失的工具，并且到目前为止仍然逃避逮捕，这让我感到惊讶，”杰克逊说。“在他被拘留之前，以及他被拘留在一个他会继续被拘留的地方，我认为我们不会看到事情的最后。”