1. 格时财经首页
  2. 新闻
  3. 资讯

利用暗网勒索软件,我轻松入侵了老板的电脑(上)

编者按:在公众的想象中,黑客是恶魔般的专家。但现在一个普通人,无需精通编程,只要买下一个勒索软件,就可以利用它实施数字盗窃了。这是一篇普通人尝试数字盗窃的“黑图灵测试”,证明网络犯罪已经发展到了这样一个地步,即软件辅助的无知与真正的技能是无法区分的。本文分上、下两篇,上篇主要回顾黑客攻击发展历史,以及探讨黑客入侵前两个环节:找勒索软件准备黑客攻击以及找到攻击目标,下篇主要介绍黑客攻击的最后一环节—勒索收款。原文作者Drake Bennett,原文标题“I Used Dark Web Ransomware to Sabotage My Boss”。

相关阅读:利用暗网勒索软件,我轻松入侵了老板的电脑(下)

利用暗网勒索软件,我轻松入侵了老板的电脑(上)

利用暗网勒索软件,我轻松入侵了老板的电脑(上)

利用暗网勒索软件,我轻松入侵了老板的电脑(上)

利用暗网勒索软件,我轻松入侵了老板的电脑(上)

如你所了解的,网上有钱可赚。当然,问题是如何做到这一点。

并不是每个人都具备独一无二的技术,足以扭曲现实;也不是每个人都有斯坦福大学的人脉关系,成为独角兽企业的早期雇员;也不是每个人都对阳光漠不关心,可以成为世界级游戏“堡垒之夜”的玩家;并不是每个人都生活在软件工程报酬丰厚且机会众多的那几个地方,这样的地方还是相对较少的。

如果你愿意触犯法律,至少是美国的法律,或者选择一个你自己可能不会称之为家的国家,那么你的选择范围就会扩大。

你可以盗取信用卡号码,也可以批量购买它们。你可以劫持银行账户,给自己汇钱,也可以劫持电子邮件账户,骗过别人给你汇钱。你还可以在交友网站上欺骗孤独寂寞的人。

然而,所有这些商业冒险都需要这样或那样的资源:比如说,一种用别人的信用卡买单的销售方式,一个愿意把你的赃款变现的“帮凶”,或者有说服别人的天赋和对长期欺骗的耐心。通常还需要一些编程技巧。但如果你没有这些,总还有勒索软件的。

勒索软件攻击规模扩大,医院警局等市政机构成诱人目标

恶意软件对计算机或服务器上的数据进行加密,勒索软件允许攻击者勒索付款以换取解密密钥。在美国的过去一年里,黑客袭击巴尔的摩政府, 新奥尔良,和一大批较小的城市,摧毁了城市电子邮件服务器和数据库,警察事故报告系统,在某些情况下甚至911调度中心。由于依赖重要的、对时间敏感的数据流,医院已经被证明是特别诱人的目标。同样,专注于远程管理小型企业和城镇的IT基础设施的公司也是如此——攻击它们意味着对所有客户进行有效的黑客攻击。

随着袭击次数的增加,受害者和赎金的规模也在增加。联邦调查局网络部门的一位科长HerbStapleton说:“勒索软件最初是针对个人的。后来,它开始瞄准那些没有强大互联网安全保护的小公司,现在它们的目标已经演变成了规模更大的公司和市政机构。”在2019年,法国媒体集团M6的天气频道和航运服务公司皮特尼鲍斯公司,都被击中了。去年夏天,佛罗里达的两个小城镇花了110万美元来解锁他们的数据。据英国广播公司(BBC)报道,欧洲取证公司Eurofins Scientific也向攻击者支付了赎金,不过该公司尚未证实这一点。通联旅游有限公司(Travelex Ltd.)也不愿透露是否支付了数百万美元的赎金,不过在我写这篇文章的时候,这家全球外汇兑换商网站在遭到攻击一个月后仍处于瘫痪状态。

不用懂编程,普通人也能实现数字盗窃?

在某种程度上,勒索软件的兴起是注定的。简单,可扩张,低风险等特点,让它造成了一个特别整齐的网络犯罪。

一些最成功的勒索软件变体被认为是从前苏联国家出现的,在那里,精通科技的年轻人可以得到高质量的教育,却得不到一份与之相称的工作。这种结合催生了一个行业,无论从大的方面还是小的方面来说,他们都是科技业的亡命之徒。

利用暗网勒索软件,我轻松入侵了老板的电脑(上)

如今,潜在的攻击者不必制造自己的勒索软件,他们可以买到了。如果他们真的不知道如何使用它,还可以订阅服务,获得软件客服支持,这将有助于协调他们的攻击。软件即服务(科技术语中的SaaS)是一个庞大的全球产业,涵盖了从Salesforce.com客户关系管理软件到Slack的工作场所消息平台,再到Dropbox的云存储。

在兼具论坛和集市功能的暗网聊天室中,搜索“勒索软件即服务”或“RaaS”,你可以一页又一页地点击浏览。在公众的想象中,黑客是恶魔般的专家,但其实他们不必这样,不必用勒索软件。网络安全公司Flashpoint的情报总监克里斯托弗·伊莉森(Christopher Elisan)表示:“你可能是一个普通人,只是买下了这些东西,然后你就可以利用它创办一家洗劫软件公司。”

你甚至可能是一名受过文科教育的作家,对iPhone或互联网的工作方式有一种原始的、科技土鳖式的理解,经常发现自己站在办公室的技术支持高手的手边,再次询问如何找到共享驱动器。换句话说,你也可以是我。但你真的可以吗?开始写这篇文章的时候,我并没有打算尝试一下勒索软件。然而,几周后,我突然意识到,如果像我这样的人能够成功实施一场数字盗窃,它将起到一种“黑图灵测试”(hacking Turing test)的作用,证明网络犯罪已经发展到了这样一个地步,即软件辅助的无知与真正的技能是无法区分的。作为一名记者,我花了数年的时间写一些人的故事。这些人做的事情,如果换成我去做,我是做不到的。现在这是我被扔上竞技场的机会了。

世上第一个勒索软件,艾滋病木马病毒

1989年末,世界各地的医学研究人员和计算机爱好者打开他们的邮箱——他们的实际邮箱——发现了一张5.25英寸的软盘,里面有一个互动程序,可以评估一个人感染艾滋病的风险,在当时艾滋病还是未经检查,致命的流行病。总共有2万张来自“PC Cyborg公司”的磁盘从伦敦邮寄到欧洲和非洲各地。但是这些磁盘负载着可激活病毒,这是一个额外的文件,一旦加载到工作站上,就会隐藏文件并加密它们的名字,然后用一个红色的盒子填满屏幕,要求189美元的“软件租赁”。银行汇票、出纳支票或国际汇票要邮寄到巴拿马的一个邮局信箱。

后来人们知道了这就是艾滋病木马病毒,它是世界上第一个勒索软件。

几周后,一位名叫约瑟夫·波普(JosephPopp)的美国人在从肯尼亚参加艾滋病会议返回美国的途中被拦下。波普是一位专门研究狒狒的进化生物学家,由于他的古怪行为,他在阿姆斯特丹的Schiphol机场引起了保安人员的注意。根据《克利夫兰诚实商人报》(the Cleveland Plain Dealer)后来发表的一篇报道,波普确信自己被国际刑警组织(Interpol)的特工给下了药,他在某人的行李袋上写了“波普博士被下毒了”,然后把它举在头上。当他自己的行李被搜查时,当局发现了一只PC Cyborg公司的印章。

波普被从他的家乡俄亥俄州引渡到伦敦,但最终被裁定不适合接受审判:除其他因素外,他还开始在胡须上戴卷发器以防止辐射。他回到家中,自己发表了一份宣言,敦促人们多繁衍后代,2006年他去世时他正在纽约州奥内翁塔创办一个蝴蝶保护区。

虽然波普的动机和心理健康仍然是争论的主题,但他的勒索软件的有效性却毋庸置疑。

大多数磁盘的接收者甚至没有将有害的文件加载到他们的计算机上。在那些加载了有害文件的人中,只有一小部分支付了赎金。首先,这就是一种痛苦,你需要去一趟银行和邮局。这不是必要的。一位名叫EddyWillems的比利时人,是一家跨国保险公司的计算机系统分析师。他说:“我不是一个密码学家,但我能够很容易地看清它的作用,我能在10到15分钟内把所有东西都放回去。” Willems和其他安全研究人员迅速传播免费的艾滋病木马解密程序,也用软盘。

这证明了波普的想象力(和可能的狂热),他试图用他可以自行控制的工具完成这个计划。把被盗数据卖给出价最高者的想法并不新鲜,但正如芬兰网络安全公司F-Secure的首席研究官米科·海珀宁(Mikko Hypponen)所说,波普的创新之处在于“意识到,在许多情况下,出价最高的人是信息的原始所有者。”

网络钓鱼网站和比特币让勒索软件获得巨大成功

15年后,科技终于赶上了波普的洞察力,以互联网的形式率先出现。

2005年,安全研究人员开始发现他们称之为Gpcode的勒索软件。(在网络安全分类法中,习惯上给同一种恶意软件及其背后的匿名团伙起同样的名字。)Gpcode将自己作为看似合法的电子邮件的附件偷偷地植入电脑,这种技术被称为“网络钓鱼”,如果它是按大规模进行的,或者是“鱼叉式网络钓鱼”:也就是针对单个目标植入的,一封定制的电子邮件。Gpcode的后续版本还使用了更强的加密来打乱文件的内容。唯一真正的弱点是支付环节:赎金通过预付的信用卡或礼品卡结算,因此是在被全球金融体系高度监管的管道流动。随着时间的推移,在执法部门的帮助和推动下,支付处理者在发现赎金支付方面,和收回至少部分款项方面做得越来越好。

从勒索者的角度来看,“赎金支付”这个问题是通过比特币解决的。到2013年,这种加密货币已经成为主流,以至于一个勒索团伙决定尝试一下,其变体后来被称为“密码锁定器”(CryptoLocker)。比特币在技术上并不是不可追踪的,特别是当人们将比特币兑换成美元、欧元或另一种法定货币时。不过,取证仍然是困难和耗时的,因为“滚筒式”和其他匿名措施使得交易通过公共区块链的路径变得复杂。而且,执法部门也没有要求关闭它的支付处理器。所有这些都使它成为勒索软件的理想选择。

唯一的问题是,大多数人仍然不熟悉购买和发送加密货币的机制–勒索软件攻击者常常会鼓励受害者在这个过程中寻求帮助,而他们也是乐于施以援手的。

利用暗网勒索软件,我轻松入侵了老板的电脑(上)

Cryptolocker取得了巨大的成功。三名意大利计算机科学研究人员追踪了,共771笔与勒索软件有关的,流入比特币钱包的款项,总计1226比特币(当时为110万美元),这可能是一个非常保守的数字。而Cryptolocker式的密码锁定配方(网络钓鱼,强加密,比特币)仍然是今天勒索软件的主要模板。但也有其他的:一些攻击是假装来自一个执法机构,因为在那里发现了非法材料,而封锁了你的机器。(一些人会通过事先下载真实的儿童色情制品来确保非法材料的存在。)一些攻击者一开始就把受害者引诱到一个的受感染的网站上,在该网站上,有一个软件“漏洞攻击工具包”可以通过他们浏览器的漏洞将恶意软件悄悄潜入受害者的机器。有些攻击最终证明根本不是勒索软件:NotPetya2017年在全球范围内造成了数十亿美元的损失,但却缺乏任何手段来逆转其加密。人们普遍怀疑,它是俄罗斯制造的一种网络武器,既不是为了窃取信息,也不是为了索取赎金,而是为了摧毁它。

美国联邦调查局(FBI)的斯特普尔顿(Stapleton)表示:“我们发现,在一些更为复杂的网络犯罪组织中,勒索软件只是他们利用网络活动牟利的另一种工具。” 帕洛阿尔托网络公司(Palo Alto Networks Inc.)副总裁瑞安奥尔森(Ryan Olson)记得,在黑客找到入侵途径后,他曾为客户监控过一台电脑。首先,他们寻找信用卡号码。然后,他们搜索密码或登录凭据,用来接管网络。“然后他们做的最后一件事,就是安装一些勒索软件,并加密所有的文件。”

四处采购勒索软件 深入暗网优劣难辨

去年10月,当我开始为我的勒索软件服务四处采购时,整个社区仍在为甘地蟹(GandCrab)悲痛欲绝。2018年初推出的“甘地蟹”并不是第一款RaaS,但它的巨大成功证明了这种模式的商业潜力。据网络安全公司BitDefender估计,“甘地蟹”曾一度占据全球勒索软件攻击事件的一半。“甘地蟹”团伙帮授权他们的软件给“分公司”,这些“分公司”是黑客同伙,他们可以入侵被盗用的计算机,或者提供一份电子邮件地址列表进行“网络钓鱼”,作为交换,他们将获得一定比例的收入。计算机安全研究员布赖恩·克雷布斯(BrianKrebs)表示,他们一直致力领先于杀毒程序员,发布了5个主要的软件更新。

然后,在2019年5月31日,在俄语论坛上的一篇文章,宣布了“甘地蟹光荣退休”。作者声称,在过去的15个月里,该公司的分公司已经赚了20亿美元,其中1.5亿美元流入了创作者手中。潜在的分公司一个接一个地问对方,“下一个甘地螃蟹”会是什么。

我不打算说出我最终在哪个论坛上找到我的Raas;我不认为这篇文章的很多读者都是有抱负的勒索软件企业家,我也不想让对此感兴趣的人更易上手。和大多数类似的网站一样,它在暗网(dark web)上,暗网是互联网上的一个区域,被设置成普通浏览器无法访问的。

论坛的标志是一个灰绿色DOS骷髅。这些帖子都是用英语写的,但很显然英语不是许多作者的第一语言,而且如果你在一个极年轻的男性环境下待过一段时间,你就会对这些习惯用语很熟悉。以“这可能是个愚蠢的问题,但是…”开始一个帖子,以“这是一个非常愚蠢的问题。” 回复帖子。然而,让我感到震惊的是,参与者愿意详细回答问题,或者在一系列犯罪恶作剧的话题上,鼓励匿名陌生人。一篇10月的帖子这样写道:“以下是一个惊人的资源列表,它可以查阅最好的书籍,提供给黑客练习攻击目标的一些网站,一个免费的虚拟网络练习列表等等”

利用暗网勒索软件,我轻松入侵了老板的电脑(上)

我不是网站上唯一一个没有头绪的人。8月31日的一篇文章的标题是“想要轻松使用勒索软件”。另一条则写道:“我正在浏览资源以获取勒索软件之类的东西。我具体需要什么来学习使用这些东西?”

一些论坛成员把这些“菜鸟”和“脚本小子”视为嘲讽的对象,另一些人则视之为机会。在黑客生态系统中,脚本小子的天敌是“开膛手”(ripper),一个卖假货的人,或者只是拿走菜鸟的比特币付款然后消失的人。论坛上的许多讨论,都集中在兜售这个或那个软件或服务的人,是否值得信任。

当然,我是一个菜鸟中的菜鸟,只有一种意识保护着我,那就是我知道的太少了,而且我的野心也很小。我和我的编辑麦克斯·查菲金(Max Chafkin)制定的计划是,我要勒索一个目标:他。我作为记者,某种程度来说,他也是我的老板。

合理地说,麦克斯当然不希望自己的真实个人信息受到威胁,也不希望我们的雇主的个人信息受到威胁。我们的雇主为世界上最富有的金融机构处理敏感数据。所以我俩买了一个廉价的笔记本电脑,并小心翼翼地不让它们在任何时候连接到我们的工作互联网。麦克斯在他的笔记本上放了一大包文件:一些维基解密的文件;穆勒报告的pdf版;一些随机的猫、船和猴子的图片;以及他对我描述的“一堆罗马尼亚学术论文”。

然后,他为我的进攻做好了准备,我打算提前告诉他。虽然这个计划和实际的黑客攻击不太一样,但它是为了演示黑客如何攻击电脑的,希望我们不会被解雇。

我们也不希望被捕。有几个州明确宣布勒索软件攻击为非法,而马里兰州的立法者则在最近提出了一项法案,把仅仅是持有勒索软件就足以定为刑事罪。还有更广泛的联邦计算机欺诈法规,在2018年对两名伊朗黑客的起诉中使用了这些法规,据称这两名黑客是攻击亚特兰大、纽瓦克和几家大型医院系统的幕后黑手。勒索软件被起诉的案例仍然很少,但我与大多数攻击者不同,我实际上是在美国。

尽管如此,到目前为止,法律条文需要意图攻击一个不知情、不合谋的受害者。密歇根法律规定:“任何人不得在未经他人授权的情况下,故意持有勒索软件,并意图使用或使用该勒索软件。”我的受害者充分知情,实际上是同谋——我们只是两个自愿在互联网上冒险的成年人。(如果麦克斯想装作不一样的话,我有电子邮件在手。) 我们采访的彭博社(Bloomberg)律师基本上同意这一点。

译者:白兰芷

本文来自36Kr,本文观点不代表格时财经立场,转载请联系原作者。

免责声明:作为区块链信息平台,本站所提供的资讯信息不代表任何投资暗示。鉴于中国尚未出台数字资产相关政策及法规,请中国大陆用户谨慎进行数字货币投资。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

联系我们

邮件:dgwindow@qq.com

QR code