情境示意圖,圖片來源/國際刑警組織Interpol

Google周二(12/17)宣布,已聯手網路基礎設施及代管供應商,關閉了殭屍網路Glupteba所使用的伺服器及網址,還貼上了警告頁面,亦已追蹤到Glupteba幕後兩名俄羅斯駭客的姓名,並向美國法院提出了告訴。

Glupteba殭屍程式主要鎖定全球的Windows與IoT裝置,估計約有超過100萬裝置受到感染,而且每天還以感染數千個新裝置的速度增加中,主要的功能包括竊取使用者的憑證與資料,在受到感染的裝置上植入挖礦程式,或是設定代理人以用來展開服務阻斷攻擊,受害者遍布美國、印度、巴西與東南亞。

根據Google威脅分析小組(Threat Analysis Group,TAG)的調查,Glupteba多半透過Pay Per Install廣告網路、向流量散布業者購買流量,或是藏匿在破解軟體中進行散布(如下圖),而且還利用區塊鏈打造了備份服務,當已進駐在受害者上的惡意程式無法存取駭客所建立的命令暨控制(C&C)伺服器時,就會透過特定的比特幣錢包位址,存取已加密的備份網域,企圖重新建立與C&C伺服器的連線。

圖片來源_Google

此外,駭客還對外出售Glupteba服務,包括以盜來憑證存取虛擬機器的能力、代理裝置存取權,或是信用卡號碼,而這些遭竊的信用卡號碼則被用來執行其它的詐騙行動,例如在Google Ads上支付廣告費用,或是購買其它的Google服務。

太歲頭上動土的結果是讓TAG與Google的網路犯罪調查小組(CyberCrime Investigation Group)聯手針對Glupteba展開了調查,特別是涉及Google服務的詐騙部份。

在這一年來,Google已經關閉了6,300萬個用來散布Glupteba的Google Docs文件,也終止了1,183個Google帳號,908個雲端專案,以及870個與Glupteba有關的Google Ads帳號,還有350萬個用戶在準備下載惡意檔案時,收到Google Safe Browsing的警告。

而最近幾天,Google則與網路基礎設施及代管服務供應商合作,關閉了Glupteba所使用的伺服器及網址,並在這些網站上張貼了警告訊息。

在追蹤Glupteba的過程中,Google發現了兩名疑似Glupteba背後藏鏡人的俄羅斯人Dmitry Starovikov與Alexander Filippov,並向紐約南區地方法院提出了訴訟,控告Starovikov及Filippov違反《反勒索及受賄組織法》(Racketeer Influenced and Corrupt Organizations Act)、電腦詐欺及濫用法案(Computer Fraud and Abuse Act,CFAA)、《電子通訊隱私法》(Electronic Communications Privacy Act,ECPA),以及干擾商業關係與不當得利等。

Google指出,目前駭客已無法操縱Glupteba殭屍網路,雖然區塊鏈的分散式特性讓Glupteba殭屍網路可以快速復活,但Google將與產業及政府密切合作,共同打擊這類的行為,即便之後Glupteba死而復生,網路也能獲得更好的保護。


熱門新聞

Advertisement