揭开面纱：警方如何打击莎士比亚式网络盗贼 - 彭博社

插图：路易斯·鲁伊巴尔### 第一幕：发现

加尔·弗里什曼在互联网上寻找大多数人试图避免的东西——恶意软件，这些软件被发送出来进行间谍活动或盗窃。2011年8月25日，他坐在特拉维夫的办公桌前，发现了一些他从未见过的东西。

这是一种银行木马，旨在潜入计算机并掏空你的银行账户。这种木马具有奇特的生存本能。它可以隐藏或装死，给人一种已被删除的印象，随后又重新安装自己。

“他们有一些非常创新的东西，”弗里什曼说。他开始工作，兴奋地成为第一个看到这种新物种的恶意软件研究员。很快他注意到了一些更奇怪的东西。莎士比亚的破碎片段，来自 《威尼斯商人》，埋藏在程序文件中。

给我你的祝福，我是兰斯洛特，你的男孩

在接下来的几天里，弗里什曼和他在计算机安全公司 Trusteer 的同事们进入了他们所称的“战斗模式”，从早到晚工作，解开恶意软件的谜团并绘制其DNA。他们在九月发布了一份报告，并将他们的发现命名为“夏洛克”，以莎士比亚戏剧中的复仇放贷者命名。

根据BAE系统应用情报公司位于伦敦的网络威胁情报负责人阿德里安·尼什的说法，使夏洛克如此危险的是它抵抗移除尝试的方式，他花了多年时间研究它。“它能够自我复活，”他说。

到2014年，Shylock已经感染了超过100,000台计算机，主要在英国，但也在美国和意大利。这种恶意软件每年将数百万英镑从毫不知情的银行客户转移到创建它的讲俄语的计算机黑客团伙手中。2013年，BAE系统公司的一份 报告称Shylock是“网络犯罪分子今天所带来的最复杂和增长最快的威胁之一。”

尽管这只是估计每年因网络犯罪损失的4000亿美元的一小部分，但这起盗窃的规模引起了执法机构的注意。2013年底，FBI和英国国家犯罪局的高级官员会面，决定由于大多数受害者是英国人，国家犯罪局应主导消灭Shylock的行动。

国家犯罪局的网络专家保罗·霍尔被选中负责该行动。霍尔是一位身材魁梧的前侦探，他的眼睛在谈论网络盗贼时会微微眯起。“我不会说我对他们有一种勉强的尊重，”他在国家犯罪局的采访中说。“他们是有组织的犯罪分子。”

霍尔决定摧毁Shylock的最佳方法是同时从多个角度发起攻击。他召集了来自美国、英国、德国、荷兰、法国、波兰和土耳其的警察，并联系了微软公司，因为该恶意软件使用了其操作系统。

“争议行动”是由欧洲人主导的第一次恶意软件清除行动，于2014年7月8日在荷兰海牙的欧洲刑警组织总部开始。这是它的故事。

第二幕：打击行动

这次行动的成功取决于能否将罪犯与Shylock隔离足够长的时间，以便彻底消灭它。恶意软件的变种需要不断进化以生存。它们通过不断呼叫罪犯使用的计算机服务器来发送指令和更新。

霍尔和他在欧洲刑警组织的团队计划夺取这些服务器，并阻止允许它们与感染的个人电脑通信的网络域名。

由于该团伙在全球注册了数百个域名，夺回控制权将非常困难。有些是美国的.com域名，其他的是来自旧苏联的.su域名。还有一些以.cc结尾，意味着它们是在科科斯群岛上设置的。Shylock的创建者错误地认为警方无法接触到位于澳大利亚海岸的小岛群的注册机构。

经过数小时紧张的延误，大约在晚上7点，霍尔收到了他在西雅图等待的确认。微软已向美国域名注册机构VeriSign Inc.发出了法院命令，指示将所有指向Shylock美国域名的互联网流量转移到微软设立的“沉没洞”，以收集数据。

这是微软的数字犯罪团队首次能够看到有多少感染的计算机在外面，并将该信息传送到欧洲刑警组织指挥中心。这个数字是130,000，并且还在上升。

晚上8点，霍尔下达了命令。他的团队成员在行动的内部通讯系统上输入了一条消息——“所有执法打击行动——开始。”

Shylock的创建者错误地认为警方无法接触到位于澳大利亚海岸的小岛群的注册机构

“除了被攻击的网站，Shylock还使用Skype作为其复制的方法”

BAE系统应用智能### 第三幕：烤面包机和针织品

对于一些在线欺诈，比如彩票骗局，受害者常常会感到自己怎么会这么愚蠢。但Shylock的受害者并非如此。它的创建者黑入了大约500个合法网站，并利用这些网站向任何访问者传播恶意软件。

这些网站看起来很正常，出售普通英国人喜欢购买的东西：烤面包机、咖喱和苏格兰针织品。还有当地的体育团队、一位政治家和一个关于母亲身份的博客。

一旦Shylock进入计算机，它会等待有人尝试进行在线银行转账，然后更改目的地，以便团伙获得钱款。该程序有巧妙的方法来分散注意力。它会显示看似有用的弹出窗口，警告“异常账户活动”。

Shylock甚至更改了银行网站上显示的服务热线号码。如果客户打电话询问发生了什么，他们永远无法联系到银行，而是接通了团伙设置的收费热线，并听到录音信息：“您要联系的人目前无法接听。”

这是来自主要Shylock模块的重建代码段，可以为感染的系统提供完全的后门访问

来源：BAE系统应用智能### 第四幕：打地鼠

即使在霍尔启动争议行动时，Shylock团伙也开始反击。警察刚刚关闭一个域名，团伙就迅速建立新的域名。

当霍尔离开控制室，返回酒店时，警方和罪犯仍然在进行一场摔跤比赛，大约是凌晨4点。

他最大的问题是：尽管尝试了几个小时，团队仍然无法联系到旧苏联网站的注册机构。那些.su域名仍然在线，威胁着整个行动。

霍尔抓紧时间睡了几个小时，第二天早上7:30又回到了欧洲刑警组织。苏联注册机构没有回应。“时间越长，情况就越紧张，”霍尔说。

然后，欧洲刑警组织的保罗·吉伦想到了联系尤金·卡巴斯基的主意，这位银发创始人是全球第六大安全软件公司的创始人，他的公司在俄罗斯拥有特殊权限。

卡巴斯基的恶意软件专家谢尔盖·戈洛瓦诺夫在莫斯科时间晚上8点左右在办公室时收到了老板的紧急电子邮件。在两个小时内，他已请求苏联注册机构暂停75个Shylock域名。

卡巴斯基实验室“非常迅速。拯救一天的迅速，”吉伦说，他后来离开了欧洲刑警组织，加入了巴克莱银行。“我们开始重新占据上风。”

霍尔最终在7月9日晚上9点关闭了行动室。到周末，新域名停止出现。看起来Shylock团伙已经放弃了。

插图：Luis Ruibal### 第五幕：通缉，夏洛克团伙

行动争议几乎消灭了野外的夏洛克恶意软件。霍尔表示，自那以后，国家犯罪局没有收到任何银行损失的报告。微软在五月表示，它在大约11,000个IP地址上检测到了该程序，比去年减少了90%以上。

根据负责该局匹兹堡网络部门的特别探员基思·穆拉尔斯基的说法，在行动争议一个月后，乌克兰警方与FBI合作，搜查了该国的财产并查获了计算机。

FBI和英国国家犯罪局表示，他们正在积极追捕嫌疑人，并拒绝提供具体细节。然而，夏洛克团伙仍然在逃。

大多数人认为他们会再次出击。根据卡巴斯基的恶意软件专家戈洛瓦诺夫的说法，网络盗贼不会轻易放弃并找一份正常的工作。“他们是罪犯，他们仍然自由。他们需要赚钱。”

该团伙为何决定在代码中散布莎士比亚的作品仍然是个谜。“我不知道他们为什么这样做，”欧洲刑警组织的吉伦说。

至少还有两种已知的恶意软件变种包含了莎士比亚的引用。可能是同一个团伙负责，或者这可能是黑客社区中的一种典故。

发现夏洛克的弗里什曼想起了编程的早期阶段，当时程序员会在他们的作品中留下独特的东西——一个名片。“也许这是一种遗物，”他说。