duwang0 2017-12-08
逍遥许久终被逮捕,目前,臭名昭著的 Andromeda 恶意软件已被成功移除。
近日,网络安全公司 Recorded Future 报道称,白俄罗斯已经成功逮捕了 Andromeda,即仙女座僵尸网络的一位幕后操纵者。国际执法机构也正式宣布,他们已破解了这个古老的、广泛传播的僵尸网络。
Recorded Future 是美国的一家安全公司,通过分析大量的网站、博客、Twitter 帐户信息来找到人们、组织、活动和事件之间的关联性。僵尸网络是指被程序感染的计算机网络,会向主机发送垃圾邮件、感染目标用户 、同时还会向已感染用户二次传播恶意软件。
“仙女座”僵尸网络
Andromeda,即仙女座僵尸网络,有 464 个不同的僵尸网络、80 个相关联的恶意软件系列、1214 个域名和 IP 地址的僵尸网络 C&C 服务器——这使得它非常灵活,能够很高效地分发恶意软件,且难以跟踪。
Andromeda 于 2011 年首次出现,是市场上最大的僵尸网络之一。犯罪分子使用它发布了多个恶意软件系列,包括 Dridex 银行木马病毒和 GamaPoS 恶意软件等等,过去六个月期间更是以每个月感染一百万台机器的速度大肆传播。
将僵尸网络租借给其他不法人群可以牟取暴利,根据版本的不同,其在网络犯罪市场中的销售价从 10 美元到 500 美元不等。
Ar3s,享有盛名的黑客之一
报道称,被捕的人名叫 Sergey Jarets,是一位居住在白俄罗斯 Gomel 区 Rechitsa 的33岁男性,在网上他被称为“ Ar3s ”,是网络犯罪中享有盛名的黑客之一。
事实上除了 Andromeda,Ar3s 还是 Win32/Gamarue HTTP bot 病毒、Windows SMTP Bruter v.1.2.3 和“ Swf-Inj Service ”(利用恶意软件劫持网络流量)的开发者。
Recorded Future 分析师 Andrei Barysevich 和 Alexandr Solad 在博客中写道,“ Ar3s 是恶意程序开发和逆向工程、网络安全、杀毒技术领域公认的顶尖专家”。在一些技术论坛上,他是信誉良好的交易担保人,也有信息证明他还是一名成功的分析师。
Ar3s 的 ICQ 社交号码是“ 5777677 ”。ICQ 也许很多人并不了解,不过提起 QQ 的前身 QICQ 可能会有所耳闻,其正是 ICQ 的仿品。通过简单的谷歌搜索可以发现, 这个号码还曾多次出现在科技论坛中署名“ Jaretz ”的名字下。
Barysevich 和 Solad 拨通了这个号码,发现对方是一位名叫 Sergey Jarets 的人。研究人员又通过分析 Ar3s 的论坛活动、语言模式和照片资料,识别出他就是 Sergey Jarets。LinkedIn 信息显示,他自 2002 年起担任了 OJSC "Televid" 技术总监,2012 年获得了软件工程学位。
白俄罗斯警方公布的一组视频中显示 Sergey Jaretz 已被逮捕,但是尽管有多个执法人员参与了这起逮捕事件,却并没有任何人对被捕者的身份予以正面回应。
Andromeda 被移除并非偶然
Andromeda 的开发人员以美国近年来大热的支付卡行业为侵略目标,一本万利之下自然伴随着高风险,也难怪引起了有关部门的注意。
信息表明,Andromeda 被移除并非偶然。除去这次的 ICQ 暴露事件,还要归功于去年移除的一个名为“ Avalanche ”(雪崩)的大型犯罪网络。该网络可以用来驱动大规模全球恶意软件攻击和资金招募,上面托管了 21 个恶意软件家族的分发基础设施(包括 Andromeda)。
通过监视 Andromeda 和搜集数据,有关部门获取到了 Avalanche 平台所使用的 1500 个域名,从而通过 sinkholing 技术来分析其流量并跟踪受感染的系统。根据调查,英国、白俄罗斯、新加坡、中国台湾等国家/地区普遍遭到 Andromeda 和 Avalanche 僵尸网络的影响。