1亿美元的机器人休息

W.母鸡它涉及到利用计算机窃取金钱，很少能接近匹配俄罗斯黑客叶夫根尼Bogachev的成功。在$ 3百万赏金联邦调查局提供了Bogachev的捕捉比曾经被用于提供网络罪犯，但和任何较大仅代表他通过僵尸网络GAMEOVER的ZeuS偷了钱的一小部分。¹在2012年和2013年的高度，Gameover Zeus或Goz，包括在世界各地的500,000到100万台损失的计算机之间，博加乔夫可以远程控制。多年来，Bogachev使用了这些机器来扩展恶意软件，使他允许他窃取银行凭证和犯下在线敲诈勒索。²没有人知道Bogachev从他的数千名使用GOZ受害者究竟多少钱偷走，但FBI的保守估计，这是超过1亿$。²与此同时，Bogachev在豪华轿车，两个法国别墅和一个大型游艇上度过了奢华的奢华。¹

博加乔夫住在黑海沿岸的度假小镇阿纳帕。多年来，俄罗斯官员一直拒绝在那里逮捕他或将他引渡到美国。事实上，俄罗斯政府从他的犯罪活动中受益。虽然博加乔夫利用他庞大的电脑网络和证书获得了经济利益，但俄罗斯政府官员有时也会利用他的网络和电脑入侵来进行自己的间谍活动。¹但是，虽然在2014年夏天，在2014年夏天，FBI无法逮捕Bogachev，但在2014年夏天，他们与几家公司和研究人员合作，试图关闭Goz并从他的控制下从数以万计的计算机中切断博音狗。。Goz Takedown努力是一个前所未有的执法努力，以便在其范围，技术复杂性和复杂性方面对抗网络犯罪。它包括德国，英国，荷兰和新西兰的参与者，以及美国，并暗示国际合作和公私伙伴关系，以加强网络安全和攻击刑事基础设施。

它被称为操作托瓦尔。

Criminals who infect users’ computers and harness those machines to create botnets typically control those bots through a centralized command and control server that sends messages to the infected machines telling them what to do—for instance, when to send packets to a particular destination as part of a denial-of-service attack, or what emails to send. Since identifying all of the infected machines in a large bot and getting their owners to remove the bot’s malware is a slow and largely ineffective process, takedown efforts often center on shutting down these command and control servers, or cutting off their communication channels with the infected computers they are issuing orders to. The genius of the GOZ design lay primarily in its ability to hide and even change this command and control component of the bot, so that law enforcement struggled to identify a centralized control server, and the GOZ operators could quickly and easily shift to a new server in the event that their current one was discovered and cut off. To make it harder for anyone to figure out which servers were controlling the bot, GOZ-infected devices did not all communicate with a single centralized command and control server. Instead, the bot operated on a peer-to-peer architecture, so each new infected device maintained connections to other infected machines, some of which served as intermediate “proxy nodes,” relaying commands from GOZ operators and sending encrypted data back to their “master drop” servers.²这些代理节点使其相当多的困难，但不是不可能，追踪机器人回单控制服务器，因为GOZ运营商并没有与大多数他们控制受感染机器的直接通信。

Bogachev可以将其受害者的薪水重定向，以直接存入他的选择。

点对点架构并不是博加乔夫在设计他的机器人时采取的唯一预防措施。为了防止执法人员最终能够追踪到他用来控制GOZ的服务器，他还编写了GOZ恶意软件，让它每周自动联系1000个其他互联网地址，并向位于这些地址的任何机器发出指令，以防他需要建立一个新的命令和控制服务器。GOZ恶意软件包括一个域名生成算法，即DGA，它每周生成1000个新域名，每个都属于6个顶级域名中的一个:。com、。net、。org、。biz、。info或。ru。每周，每台感染GOZ的机器都会浏览那一周的列表，并试图联系每一个域名。因此，如果博加乔夫的服务器受到威胁，他需要建立一个新的命令和控制服务器，他可以在适当的一周内使用这些域中的任何一个来重新建立与所有受感染机器的通信，并重新获得对机器人的控制。这意味着任何拆卸努力针对他的指挥和控制服务器通常最脆弱的元素的一个程序可以很大程度上是无用的,自1000年Bogachev会建立一个新的机会每周这样的服务器,也没有办法预测哪些域DGA会在给定的时间。

正如博加乔夫将他的命令和控制服务器隐藏在受感染的代理机器的背后，他也通过通过其他人转移被盗资金来保护自己的银行账户。沙丘状积砂恶意软件设计不仅利用机器它感染Bogachev的机器人,还偷银行和工资凭证从这些机器主要由登录的所有用户的击键,所以所有类型(包括密码)将被捕获并送回机器人的操作符。然后，博加乔夫可以利用这些被盗凭证，从受害者那里发起欺诈性的电汇，或者将他们的工资直接存入他选择的账户。拥有大量员工和预算的医院工资系统是GOZ的一个常见目标;联邦调查局估计博加乔夫仅从医院就以这种方式窃取了数十万美元。²GOZ甚至可以访问银行账户与双因素认证保护，需要用户输入不只是一个密码，但也通过短信或物理令牌又推出了一个一次性密码。使用中间人攻击的受害者和他们的银行网站之间拦截的消息，GOZ将展示其受害者，看起来相同的银行真实的登录网页假冒的登录窗口。人们试图用双因素身份验证来登录将获得他们的第二验证码在自己的手机或令牌，然后直接将其输入到假的登录字段。该GOZ恶意软件会捕获认证码，并立即将其发送回使用即时通讯服务的Jabber的GOZ运营商控制的服务器，然后GOZ运营商可以利用窃取的口令结合起来，以获得通过双因素认证保护的目标客户。^3.

直接向其自己的账户发送直接存款付款或欺诈转移将对Bogachev进行风险。Even if law enforcement officers in the U.S. were unable to arrest him, they would likely have been able to trace his accounts, block, or at least flag, transfers to them, and restrict any money being paid to them from the U.S. So instead, Bogachev mirrored the proxy structure of his bot by building a small army of money mules whose accounts he could route money through before the stolen funds ultimately reached his organization. The mules were recruited via spam email campaigns sent out by the GOZ bot itself—“If you are taking a career break, are on a maternity leave, recently retired or simply looking for some part-time job, this position is for you,” the emails said. These mules—based in the U.S. so that their accounts and transactions would not attract suspicion—received wire transfers and salary payments directly from the victims, kept a sum as their payment (“Starting salary is $2,000 per month plus commission, paid every month”), and sent the rest along to another account, presumably belonging to the GOZ operators.²

钱骡的这个网络在自己家中躲藏安全，坐在自己的电脑，已经显著风险更小比人走动的现金和支付卡数量的大量资金。但是这种设置不符合Bogachev长。一方面，它需要收集具体的财务信息，并从受害者的凭证，而且，对于另一个，它依靠潜在的易受攻击或不忠诚钱骡的一个巨大网络。所以Bogachev的组织测试赎金方案，设计另一块恶意软件的所谓Cryptolocker，它蔓延到几百上千使用GOZ BOT基础设施的计算机。

Cryptolocker首次出现于2013年中期，也被设计用来偷钱，但方式与GOZ证书盗窃恶意软件不同。Cryptolocker不会获取金融账户凭证，而是加密受感染电脑的硬盘驱动器，然后要求受害者支付赎金，如果他们想再次访问他们的文件。Cryptolocker勒索软件要求支付数百美元，有时高达750美元，并给受害者72小时的付款窗口，在受害者收到设备的解密密钥之前，使用匿名预付现金凭证或难以追踪的加密货币比特币支付。(许多受害者很难弄清楚如何进行比特币支付，因此博加乔夫和他的同谋者帮助建立了一个客户服务网站，提供了详细的说明。)与重定向工资账户不同(重定向工资账户需要提供支付款项应发送到的新目的地账户的潜在可追踪信息)，这些赎金支付的性质意味着它们不能轻易与美国执法部门可以控制或监控的特定金融账户挂钩，减少了对钱骡的需求，也降低了博加乔夫账户被识别和冻结的风险。与所有元素GOZ-directed金融犯罪,没有多少钱的确凿证据Cryptolocker设法敲诈的受害者,但一个比特币日志的分析表明,只有一个两个月期间,2013年10月15日至12月18日ransomware程序中赚取约2700万美元。²

O.peration托瓦尔开始了，当英国执法当局提供关于在英国可疑服务器信息提供的FBI的服务器托管的密码保护的网站名为visitcoastweekend.com与读取（在俄罗斯）一个常见问题页面：

从9月开始，我们将通过你们现在可以找到自己的小组进行工作。[欺诈]资金转移和掉[钱骡]经理正在通过我们的小组同步他们的工作，这使工作流程得到了更大的优化，并提高了我们的工作效率。从现在开始，所有与我们合作的(资金骡)经理和所有与我们合作的(欺诈的)资金转移者都将通过这个小组进行工作。我们祝愿大家工作顺利、富有成效。²

该网站还包括有数百个金融交易的详细列表，日期，公司名称，金额和转移类型。联邦调查局承担了核实这些转移确实与歌毒病毒相关的艰苦工作。代理商采访了宾夕法尼亚州西区的复合材料公司的代表，以确认2011年10月21日，来自Sundrust银行账户，其中包含在Ristcoastweekend.com分类帐中列出的详细信息，在事实，凭据从歌声感染机器中偷走的凭据。“对于所有上市公司而言，联邦调查局手动审查了分类账中的信息，并将其与来自任何现场访谈或银行欺诈报告的信息进行了比较，信息是一项完全匹配的，”FBI特别代理Elliott Peterson在法庭声明中写道。²

与此同时，联邦调查局发现并采访了由Goz运营商招募的几个金钱骡子。海蒂·尼尔森在2009年失去工作后描述了如何，并在线发布她的简历，她被声称为一家俄罗斯公司工作的人联系，随后雇用尼尔森接收付款并将其推向俄罗斯。Renee Michelli告诉FBI，一个类似的故事，关于被认为是被认为的俄罗斯软件公司“1C”雇用的，以在美国收到付款，然后将其转移给俄罗斯账户。^3.

由钱骡和visitcoastweekend.com服务器所提供的证据，帮助FBI开始绘制出负责传播GOZ和Cryptolocker的广泛的技术和人力基础设施，但提供了一些线索至于谁是负责操作。要跟踪的头目，联邦调查局转向由安全公司iDefense的约GOZ的使用Jabber的消息传递协议来规避双因素认证的能力进行分析。iDefense公司发现，许多由GOZ窃取的凭证均通过Jabber的传输域incomeet.com，这是在IP地址66.199.248.195主持。这种特定的IP地址进行关联与服务器通过一个名为EZZI.NET公司，总部设在纽约布鲁克林工作。美国联邦调查局采访的EZZI.NET员工谁告诉他们，有问题的服务器已被租给了一家名为“阿列克谢S.”客户谁说，他与一个名为IP的服务器有限公司公司，位于莫斯科的关联。联邦调查局获得搜查令的incomeet.com服务器在布鲁克林的内容，发现其中不同的用户（假名如“坦克”和“AQUA”）交换链接到有关银行的成功偷窃的新闻报道广泛的聊天记录。“这是他们该死的我写的”坦克于2009年7月传递消息lucky12345，引用华盛顿邮报关于从肯塔基州谢赫斯维尔的牛富县财政法院偷来的金钱。^3.在讨论同一篇文章时，aqua给tank写道:“他们描述了整个方案。混蛋……我真的很生气。他们曝光了整个交易。”

如果博加乔夫在注册账户时更小心一点，不要使用真名，他现在可能不会成为联邦调查局(FBI)头号通缉犯。

联邦调查局发现了负责歌声的人，但他们唯一知道他们是他们的假名。代理商开始梳理犯罪分子讨论和传播恶意软件计划的在线论坛。与另一个调查相关的搜索权证允许他们抓住并搜索一个这样的论坛Mazafaka.Info的内容，在那里他们发现有人在用户名“lastik”下的某人发送函数撰写Goz恶意软件的贷款。“I’m monster, and not his reincarnation ... I’m the author of Zeus,” Lastik wrote in a private message to another user sent through Mazafaka.info on June 5, 2010. In messages to several users on Mazafaka.info, Lastik indicated that he could be contacted at the addresses lucky12345@jabber.cz and bashorg@talking.cc, suggesting that he was also the lucky12345 whose chat transcripts had been found on the incomeet.com server. Furthermore, when registering for his Mazafaka account, Lastik/lucky12345 had provided the email address alexgarbar-chuck@yahoo.com as his contact address. With a search warrant, officers were able to retrieve all of the records related to that email address from a service provider. The service provider gave the FBI all of the information that customer had used to set up his account, including a home address in Krasnodar Krai, Russia, and his name: Evgeniy Bogachev.^3.

Cross-referencing the IP addresses used to access Bogachev’s email account with those used to access visitcoastweekend.com and a Cryptolocker command-and-control server (traced from the U.S. to the U.K. to Luxembourg), the investigators found that there was significant overlap and deduced that Bogachev was involved in both schemes. Moreover, he had high-level administrative access to the GOZ server, leading the FBI to believe he was a “leader of the GOZ conspiracy.”

由于联邦调查局只能通过他们的在线别名（“临时特别”，“Chingiz 911”，“Chingiz 911”，“Chingiz 911”和“Mr。Kyky-Pyky“）。If Bogachev had been more careful about not using his real name when registering for accounts, or masking his IP address when he accessed the GOZ and Cryptolocker servers, he might not now be the FBI’s most wanted cybercriminal—though it’s also possible he felt confident that the Russian authorities wouldn’t turn him over and therefore didn’t go out of his way to hide his identity.

T.他在追逐Bogachev和运行Goz和Cryptolocker的服务器的工作主要是低技术：采访金钱骡子和受害者，交叉引用冗长的数据日志，通过网站和俄罗斯黑客论坛进行梳理。By contrast, the actual takedown efforts to remove the hundreds of thousands of infected machines from Bogachev’s control involved extensive technical expertise—much of which is redacted from the public records of the incident—to cut off the communications between all of GOZ’s complicated layers of peer and proxy nodes while also seizing the servers issuing them commands, including machines in Canada, Ukraine, and Kazakhstan.

法律执行也必须确保Bogachev和他的员工无法使用DGA每周生成的域名通过新服务器通过新服务器重新建立对受感染的机器的控制。联邦调查局与许多安全研究人员一起反转工程师，并弄清楚它是如何每周提供给受感染的计算机的域名列表。这样，联邦调查局会知道每周都会提前选择哪一千个域名。然后，在抛售之前，他们收购了一种临时限制顺序，该临时限制顺序是在美国中要求域名注册表来重定向到替代政府运行服务器的任何尝试联系到替代政府运行的服务器。Since the domains generated by the DGA with the .ru top-level domain were not controlled by registries in the U.S., but rather by companies in Russia, the order also required U.S. service providers to block any connection requests to the .ru domains generated by the DGA.

它只会是一个时间问题之前，他会想办法调整它，感染更多的机器，并取回业务。

所有的顶点这些努力，在它产生的域DGA逆向工程和先发制人的限制，的Cryptolocker命令和控制服务器检遍布世界各地，该法庭命令的任何GOZ感染机 - 授权连接尝试的重定向came in June 2014 and the coordinated takedown delivered a significant blow to the bot’s operations. Operation Tovar was touted by the FBI as a massive and multilayered strike against every element of the infrastructure underlying GOZ and Cryptolocker, a triumph of international cybercrime fighting and public sector/private industry collaboration, a victory of law enforcement sleuthing and technical ingenuity over the increasingly sophisticated online criminal world. In a statement posted by the FBI on their website on June 2, 2014, FBI Executive Assistant Director Robert Anderson called GOZ “the most sophisticated botnet the FBI and our allies have ever attempted to disrupt,” and U.S. Deputy Attorney General James Cole praised the operation’s combination of “traditional law enforcement techniques and cutting edge technical measures necessary to combat highly sophisticated cyber schemes targeting our citizens and businesses.”^4.一个月后，也就是2014年7月11日，司法部报告称，由于执法部门的干预，感染GOZ恶意软件的电脑数量减少了31%。^5.

在某种程度上，所有联邦调查局的索赔都是真正的托尔瓦尔是违法行为的胜利，这是美国执法的一个例子，有效地与行业和国际官员合作，这是一个非常技术上复杂的努力。但它在很大程度上依赖于歌德运营商的粗心和他们的钱骡子而不是经营博伽克耶夫的技术漏洞已经建立。So even though the FBI had dealt a significant—if temporary—setback to GOZ, Bogachev’s criminal model was still solid, and it would only be a matter of time before he, as well as numerous other copycats, would find ways to tweak it, infect more machines, and get back to business.

根据FBI的估计，2014年，正如托瓦尔的托瓦尔，一个新的赎金软件，被称为加密，并继续索取大约1800万美元的赎金。（通过比较，在其运作过程中，Cryptolocker被认为已经纳入了至少300万美元。）在2014年下降，在澳大利亚的计算机上检测到一对Cryptolocker CopyCats，Dubbed Cryptolocker 2.0和Cryptolocker.f很快蔓延到世界其他地方。

五月2017年，被称为WannaCry一个巨大的勒索软件攻击而瘫痪在医院，银行，政府和企业约20万个的电脑系统在世界范围内，俄罗斯内政部英国国民健康服务，以警察部门在印度。锁定的计算机显示的苛刻赎金的消息，但据估计，袭击者由于许多受影响的组织再没从这些需求超过约50,000 $选择寻找技术性修复，而不是工资为每个受感染的设备。^6.然而，这次袭击对受影响的组织及其客户、病人和公民造成的损害仍然很大。

几个月后，有证据表明，Wannacry源于朝鲜，美国本身公开指责朝鲜政府发动袭击事件。^7.这归因于一个国家的政府，而不是刑事操作投是否WannaCry曾经被主要作为金融利润的手段不确定性。朝鲜的参与建议的攻击可能，而不是已经意味着更多的作为一种尝试肆虐该国的许多敌人于仅仅作为一个额外的好处任何财务收益。勒索似乎已经超越了它的根作为经济动机的犯罪的工具，并发展成为毫不逊色，即使它在肇事者较小数额带来了成本的受害者更普遍的攻击模型。

Josephine Wolff是罗彻斯特理工学院公共政策和计算机安全部门的助理教授。她也是哈佛伯克曼克莱因互联网和社会互联网和社会中心的教师助理，并为新美国网络安全倡议进行了编写《石板》《大西洋月刊》《科学美国人》和其他出版物。

参考文献

1.俄罗斯间谍活动与网络罪犯的黑客行为有关。纽约时报（2017）。

2.支持申请紧急临时限制令和证明理由为初步禁令的命令的声明。(2014年5月27日，美国宾夕法尼亚州西部地区法院)。

3.克雷格，J.K.美国诉evgeniy bogachev，第2：14-cr-00127-una（2014年5月30日宾夕法尼亚州西区的地区法院）。

“”GraveOver Zeus Botnet中断了。国际合作伙伴中的协作努力，“2014年6月2日FBI声明”。

5.“律政司提供有关GAMEOVER宙斯和Cryptolocker中断，更新” FBI声明，2014年7月11日。

6. Kharpal，A WannaCry勒索黑客只能让比特币的$ 50,000个值得。CNBC（2017）。

7.博塞特，T.P.，官方消息:朝鲜是“想哭”的幕后黑手。华尔街日报（2017）。