Google破壞Glupteba僵尸網(wǎng)絡，控告兩名俄羅斯黑客

Google周二（12/7）宣布，已聯(lián)手網(wǎng)絡基礎(chǔ)設施及托管供應商，關(guān)閉了僵尸網(wǎng)絡Glupteba所使用的服務器及網(wǎng)址，還粘貼了警告頁面，也已關(guān)注到Glupteba幕后兩名俄羅斯黑客的姓名，并向美國法院提出了告訴。

Glupteba僵尸程序主要鎖定全球的Windows與IoT設備，估計約有超過100萬設備受到感染，而且每天還以感染數(shù)千個新設備的速度增加中，主要的功能包括竊取用戶的憑證與資料，在受到感染的設備上植入挖礦程序，或是設置代理人以用來開展服務阻斷攻擊，受害者遍布美國、印度、巴西與東南亞。

根據(jù)Google威脅分析小組（Threat Analysis Group，TAG）的調(diào)查，Glupteba多半通過Pay Per Install廣告網(wǎng)絡、向流量傳播企業(yè)購買流量，或是藏匿在破解軟件中進行傳播（如下圖），而且還利用區(qū)塊鏈打造了備份服務，當已進駐在受害者上的惡意程序無法訪問黑客所創(chuàng)建的命令暨控制（C&C）服務器時，就會通過特定的比特幣錢包地址，訪問已加密的備份域名，企圖重新創(chuàng)建與C&C服務器的連接。

圖片來源_Google

此外，黑客還對外出售Glupteba服務，包括以盜來憑證訪問虛擬機的能力、代理設備訪問權(quán)，或是信用卡號碼，而這些遭竊的信用卡號碼則被用來執(zhí)行其它的詐騙行動，例如在Google Ads上支付廣告費用，或是購買其它的Google服務。

太歲頭上動土的結(jié)果是讓TAG與Google的網(wǎng)絡犯罪調(diào)查小組（CyberCrime Investigation Group）聯(lián)手針對Glupteba展開了調(diào)查，特別是涉及Google服務的詐騙部分。

在這一年來，Google已經(jīng)關(guān)閉了6,300萬個用來傳播Glupteba的Google Docs文件，也終止了1,183個Google賬號，908個云計算項目，以及870個與Glupteba有關(guān)的Google Ads賬號，還有350萬個用戶在準備下載惡意文件時，收到Google Safe Browsing的警告。

而最近幾天，Google則與網(wǎng)絡基礎(chǔ)設施及托管服務供應商合作，關(guān)閉了Glupteba所使用的服務器及網(wǎng)址，并在這些網(wǎng)站上發(fā)布了警告消息。

在關(guān)注Glupteba的過程中，Google發(fā)現(xiàn)了兩名疑似Glupteba背后藏鏡人的俄羅斯人Dmitry Starovikov與Alexander Filippov，并向紐約南區(qū)地方法院提出了訴訟，控告Starovikov及Filippov違反《反勒索及受賄組織法》（Racketeer Influenced and Corrupt Organizations Act）、計算機欺詐及濫用法案（Computer Fraud and Abuse Act，CFAA）、《電子通信隱私法》（Electronic Communications Privacy Act，ECPA），以及干擾商業(yè)關(guān)系與不當?shù)美取?/p>

Google指出，目前黑客已無法操縱Glupteba僵尸網(wǎng)絡，雖然區(qū)塊鏈的分布式特性讓Glupteba僵尸網(wǎng)絡可以快速復活，但Google將與產(chǎn)業(yè)及政府密切合作，共同打擊這類的行為，即便之后Glupteba死而復生，網(wǎng)絡也能獲得更好的保護。