研究人員發(fā)警告稱,處于地球兩個(gè)不同半球上的網(wǎng)絡(luò)犯罪分子正在進(jìn)行合作,以改進(jìn)用于網(wǎng)絡(luò)攻擊的惡意工具、軟件和技術(shù)。
卡巴斯基實(shí)驗(yàn)室發(fā)現(xiàn),相隔上萬公里的巴西和俄羅斯網(wǎng)絡(luò)犯罪分子克服了時(shí)區(qū)和語言障礙等重大困難,相互借用對(duì)方的技術(shù)以加快惡意軟件的開發(fā)。
此為勒索軟件和其他形式惡意軟件的發(fā)展趨勢,此類惡意軟件以前都是獨(dú)立開發(fā)的,其網(wǎng)絡(luò)攻擊技術(shù)是為所在地的目標(biāo)量身定制的,因而帶有攻擊區(qū)域色彩。例如,兩年里盜竊了40億美元的Boleto惡意軟件是針對(duì)巴西的惡意軟件,Boleto惡意軟件的捕獲對(duì)象是巴西的一種名為Boletos的匯票支付。
但研究人員現(xiàn)在發(fā)現(xiàn),巴西和俄羅斯的網(wǎng)絡(luò)犯罪分子開始進(jìn)行合作,他們互相訪問各自的地下犯罪論壇,并從對(duì)方購買和向?qū)Ψ匠鍪圩约旱膼阂廛浖约跋嗷ヌ峁┓?wù)和為對(duì)方出主意。
卡巴斯基安全研究人員Thiago Marques在一博文里表示,“我們有足夠的證據(jù)表明,巴西犯罪分子與制造宙斯、SpyEye的東歐團(tuán)伙及該地區(qū)制造其他惡意軟件的團(tuán)伙有合作關(guān)系。”
卡巴斯基一開始注意到一俄語地下論壇里兩國黑客合作的跡象,一名為Doisti74的用戶表示對(duì)購買巴西“負(fù)載”有興趣,所謂的巴西“負(fù)載”是指在處于巴西的電腦里安裝惡意軟件。同一用戶也在巴西網(wǎng)絡(luò)犯罪論壇上出現(xiàn)過,該論壇是他們傳播自己的勒索軟件給巴西受害者的地方。
“Doisti74”頻繁現(xiàn)身于俄羅斯和巴西網(wǎng)絡(luò)犯罪論壇
這只是巴西和俄羅斯網(wǎng)絡(luò)犯罪分子合作的一個(gè)例子,卡巴斯基實(shí)驗(yàn)室掌握了許多類似案例的資料。在另一個(gè)案例里,俄羅斯銀行木馬Crishi用到一種生成托管域的算法,而僅僅幾個(gè)月后, Boleto后臺(tái)的巴西犯罪分子也使用了相同的基礎(chǔ)架構(gòu)。
研究人員認(rèn)為,假如兩個(gè)國家的黑客之間沒有某種形式的合作,這是不可能發(fā)生的,而且,該技術(shù)使得巴西惡意軟件更難對(duì)付。
Marques 表示,“幾年前,針對(duì)巴西銀行的惡意軟件很容易檢測。但隨著時(shí)間的推移,惡意軟件制造者采用了各種回避檢測的技術(shù),包括代碼混淆、根和Bootkit功能等等,現(xiàn)在要對(duì)付他們的惡意軟件很難、很復(fù)雜。這都是由于俄國罪犯開發(fā)的惡意技術(shù)造成的。”
他還表示,“我們相信這些只是冰山一角,這一類的交流還在不斷增加,巴西的犯罪分子在不斷壯大,他們?cè)趯ふ倚路椒ü羝髽I(yè)和普通人。”
而且,這種交流并不是單一方向的,巴西網(wǎng)絡(luò)犯罪分子也在幫俄羅斯的同行。例如,巴西黑客有一段時(shí)間里大量用到PACS技術(shù),將受害者引向假銀行頁面竊取資料?,F(xiàn)在此技術(shù)被俄國網(wǎng)絡(luò)犯罪分子用在木馬軟件上,用來攻擊俄羅斯的銀行。
對(duì)于Marques和卡巴斯基而言,對(duì)付網(wǎng)絡(luò)犯罪國際合作之戰(zhàn)只有一個(gè)答案;即,執(zhí)法人員和安全研究人員亦需采用同樣的方式。
他得出的結(jié)論是,“我們認(rèn)為,解決這種國際威脅的最好辦法就是對(duì)這些活動(dòng)展開國際聯(lián)合偵查。網(wǎng)絡(luò)犯罪沒有國界,偵查也不應(yīng)該有 國界。 “