巴西和俄羅斯的網(wǎng)絡(luò)犯罪地下市場是安全研究人員接觸最多的地下黑市,因?yàn)檫@些地下市場相對來說比較開放,而且活躍程度高,同時(shí)有大量在線論壇供網(wǎng)絡(luò)罪犯進(jìn)行交流。歷史上,這兩個(gè)地下市場各自獨(dú)立發(fā)展,都創(chuàng)造出了適用于本區(qū)域情況的網(wǎng)絡(luò)攻擊技術(shù)(例如巴西的“Boleto”惡意軟件,或者是俄羅斯的針對手機(jī)銀行的惡意軟件)。但是,卡巴斯基實(shí)驗(yàn)室研究人員經(jīng)過調(diào)查發(fā)現(xiàn),巴西和俄羅斯的網(wǎng)絡(luò)罪犯在最近幾年已經(jīng)建立起一套合作系統(tǒng)。巴西的網(wǎng)絡(luò)罪犯會在俄羅斯地下論壇尋找惡意軟件樣本,購買最新的犯罪軟件和ATM/PoS惡意軟件,或者提供自己的服務(wù)。這種交易是雙向的,通過這種合作,加快了惡意軟件的演化和發(fā)展。
我們在一個(gè)俄羅斯網(wǎng)絡(luò)罪犯經(jīng)常使用的地下論壇上發(fā)現(xiàn)了合作的跡象。在其中的一個(gè)帖子中,一個(gè)用戶名為Doisti74的用戶表示想要購買巴西“loads”,這是網(wǎng)絡(luò)罪犯之間使用的一種黑話,意識是在位于巴西的計(jì)算機(jī)用戶的系統(tǒng)上成功安裝惡意軟件。
卡巴斯基實(shí)驗(yàn)室的研究人員注意到在巴西的網(wǎng)絡(luò)犯罪地下論壇中同樣有一個(gè)使用這一名稱的用戶,而且該用戶在這些論壇上相當(dāng)活躍,并最終證實(shí)該用戶正在大肆傳播用戶感染巴西用戶的勒索軟件。
另外一個(gè)案例則顯示了網(wǎng)絡(luò)罪犯是如何共享惡意基礎(chǔ)設(shè)施的。在一種俄羅斯的網(wǎng)銀木馬家族(Crishi)開始在烏克蘭的反濫用托管服務(wù)中使用一種算法生成域名幾個(gè)月后,巴西的Boleto惡意軟件幕后網(wǎng)絡(luò)罪犯也開始使用這種基礎(chǔ)設(shè)施。如果Boleto幕后的網(wǎng)絡(luò)罪犯和域名生成算法幕后的網(wǎng)絡(luò)罪犯之間沒有合作的話,研究人員和執(zhí)法機(jī)關(guān)就不可能對網(wǎng)絡(luò)罪犯所使用的命令和服務(wù)器進(jìn)行定位,或者將非常難以查找。
網(wǎng)絡(luò)罪犯之間還會互相借鑒惡意技術(shù)。例如,至少在2011年之前,巴西的網(wǎng)絡(luò)罪犯一直在使用PAC技術(shù)。這是一種過時(shí)的技術(shù),但是有些瀏覽器仍然支持這一技術(shù),將受害者重定向到假冒的銀行網(wǎng)頁。之后過了不到半年,卡巴斯基實(shí)驗(yàn)室研究人員在Capper惡意軟件檢測到同一技術(shù)。而這種Capper惡意軟件是一種網(wǎng)銀木馬,攻擊目標(biāo)是俄羅斯的銀行,起編寫者很可能也是俄羅斯的網(wǎng)絡(luò)罪犯。
上述這些案例只是卡巴斯基實(shí)驗(yàn)室研究人員在過去發(fā)現(xiàn)的巴西和俄羅斯網(wǎng)絡(luò)罪犯合作證據(jù)中的一小部分。
卡巴斯基實(shí)驗(yàn)室安全研究院Thiago Marques說: “幾年前,巴西的網(wǎng)銀惡意軟件非常簡單,而且很容易檢測。但是隨著時(shí)間的推移,這些惡意軟件的編寫者采取了多樣的技術(shù)來躲避檢測,其中包括代碼混淆技術(shù)、rootkit和bootkit功能等,使得這些惡意軟件變得更為復(fù)雜,更加難以應(yīng)對。這些進(jìn)步都得利于俄羅斯網(wǎng)絡(luò)罪犯所開發(fā)的惡意技術(shù)。而且他們之間的合作是雙向的.”
“卡巴斯基實(shí)驗(yàn)室在追蹤和對抗俄羅斯和拉丁美洲地下網(wǎng)絡(luò)犯罪組織方面的經(jīng)驗(yàn)是不可比擬的。我們的安全專家能夠在某種威脅趨勢廣泛傳播之前就將其檢測出來,我們目前正在利用這種能力對抗全球方位的區(qū)域威脅。我們認(rèn)為,要打擊這類國際性威脅,最好的手段是對這些攻擊行為進(jìn)行國際調(diào)查。正如網(wǎng)絡(luò)犯罪是無國家一樣,我們所進(jìn)行的調(diào)查應(yīng)當(dāng)也不受國界的限制。”