研究人员发警告称,处于地球两个不同半球上的网络犯罪分子正在进行合作,以改进用于网络攻击的恶意工具、软件和技术。
卡巴斯基实验室发现,相隔上万公里的巴西和俄罗斯网络犯罪分子克服了时区和语言障碍等重大困难,相互借用对方的技术以加快恶意软件的开发。
此为勒索软件和其他形式恶意软件的发展趋势,此类恶意软件以前都是独立开发的,其网络攻击技术是为所在地的目标量身定制的,因而带有攻击区域色彩。例如,两年里盗窃了40亿美元的Boleto恶意软件是针对巴西的恶意软件,Boleto恶意软件的捕获对象是巴西的一种名为Boletos的汇票支付。
但研究人员现在发现,巴西和俄罗斯的网络犯罪分子开始进行合作,他们互相访问各自的地下犯罪论坛,并从对方购买和向对方出售自己的恶意软件,以及相互提供服务和为对方出主意。
卡巴斯基安全研究人员Thiago Marques在一博文里表示,“我们有足够的证据表明,巴西犯罪分子与制造宙斯、SpyEye的东欧团伙及该地区制造其他恶意软件的团伙有合作关系。”
卡巴斯基一开始注意到一俄语地下论坛里两国黑客合作的迹象,一名为Doisti74的用户表示对购买巴西“负载”有兴趣,所谓的巴西“负载”是指在处于巴西的电脑里安装恶意软件。同一用户也在巴西网络犯罪论坛上出现过,该论坛是他们传播自己的勒索软件给巴西受害者的地方。
“Doisti74”频繁现身于俄罗斯和巴西网络犯罪论坛
这只是巴西和俄罗斯网络犯罪分子合作的一个例子,卡巴斯基实验室掌握了许多类似案例的资料。在另一个案例里,俄罗斯银行木马Crishi用到一种生成托管域的算法,而仅仅几个月后, Boleto后台的巴西犯罪分子也使用了相同的基础架构。
研究人员认为,假如两个国家的黑客之间没有某种形式的合作,这是不可能发生的,而且,该技术使得巴西恶意软件更难对付。
Marques 表示,“几年前,针对巴西银行的恶意软件很容易检测。但随着时间的推移,恶意软件制造者采用了各种回避检测的技术,包括代码混淆、根和Bootkit功能等等,现在要对付他们的恶意软件很难、很复杂。这都是由于俄国罪犯开发的恶意技术造成的。”
他还表示,“我们相信这些只是冰山一角,这一类的交流还在不断增加,巴西的犯罪分子在不断壮大,他们在寻找新方法攻击企业和普通人。”
而且,这种交流并不是单一方向的,巴西网络犯罪分子也在帮俄罗斯的同行。例如,巴西黑客有一段时间里大量用到PACS技术,将受害者引向假银行页面窃取资料。现在此技术被俄国网络犯罪分子用在木马软件上,用来攻击俄罗斯的银行。
对于Marques和卡巴斯基而言,对付网络犯罪国际合作之战只有一个答案;即,执法人员和安全研究人员亦需采用同样的方式。
他得出的结论是,“我们认为,解决这种国际威胁的较好办法就是对这些活动展开国际联合侦查。网络犯罪没有国界,侦查也不应该有 国界。 “
