一個秘密聊天室裡,一名駭客談到了一項醫院攻擊計劃,字裡行間充滿了興奮。按照那項計劃,400餘所美國醫院會遭到攻擊並陷入癱瘓。「到時候會出現恐慌的。」這名駭客用俄語寫道。管理這個聊天室的是一群網路犯罪分子,而他們與俄羅斯有關聯。
這一幕發生在2020年,當時正值新冠疫情十分嚴重之際,而這伙人打算劫持諸多醫院的電腦系統——這當中有很多醫院正在努力救治新冠病人。
本文為風傳媒與華爾街日報正式合作授權轉載。欲看更多華爾街日報全文報導,請訂閱特別版華爾街日報VVIP方案,本方案僅風傳媒讀者專屬,以低於原價3折以下之全球最優惠價,即可無限暢讀中英日文全版本之華爾街日報全部內容。
後來,美國當局和網路安全研究人員挫敗了此次計劃的大部分,他們在駭客安裝勒索軟體前,預先向醫院發出了警示。不過,根據最近在網上曝光的一批數據及文件,駭客們並沒有把這次行動的失敗太放在心上。
自2018年起,這個被美國聯邦檢察官稱作Trickbot Group的駭客組織及其附屬團隊發動過多次網路攻擊,導致許多急診室、市政府和公立學校的系統關閉,他們因此牟利數億美元。
2020年那次醫院攻擊計劃失敗後,Trickbot組織中一名化名「target」的駭客在發給該組織頭目、幕後金主「stern」的一條資訊中說,「我覺得這一切很好玩。」
Trickbot也許是世界上最大且最危險的有組織網路犯罪集團。其內部運作得以如此敞開地被曝光在世人眼前,是俄烏戰爭帶來的一個意想不到的結果。先前,一名自稱是烏克蘭人的匿名研究者滲入到該組織的伺服器中,並於2月27日將數據發布到Twitter上。「烏克蘭會崛起的!」他在一條3月2日的推文中寫道。
網路安全研究人員和美國官員說,針對通過勒索軟體作案的犯罪組織,這些內部對話提供了迄今為止外界對其運作機制所能掌握的最全面且最直接的資訊。儘管美國當局一直在追蹤Trickbot,但在上述文件曝光前,外界對該組織運作方式及內部細節始終知之甚少。
Trickbot的450名管理者、員工及商業夥伴自2020年6月以來互通的20餘萬條資訊揭示了一個組織嚴密的犯罪集團,而且它可能與俄羅斯情報機構存在關聯。這些資料還展現了組織的韌性,它使得Trickbot在遭到國際執法聯盟反擊後,可以迅速重整旗鼓;此外,該組織有著不小的野心,不僅希望實現多元化發展,甚至想開發一種加密貨幣。
Trickbot的內部日常時而「危險」,時而「平凡」。有時,管理者會醞釀宏大的計劃,比如開設一個親俄羅斯的間諜部門,有時,他們則要安排成員的休假,以及緩和員工間的衝突。
--------------------------------------------------------------------------
聊天記錄
二級管理者「Target」指派對美國多家醫院發動協同攻擊
2020年10月26日,Target對Troy說,
(05:32:20)
在美國
(05:32:21)
將會出現一場恐慌
(05:32:29)
428家醫院
(05:32:34)
兩到四名協調聯繫人
(05:32:47)
現在一切都靠你了
據兩名與揭秘者相識的人說,今年2月俄羅斯入侵烏克蘭促使這名研究人員將資訊曝光。這兩人可以證實他為了截獲Trickbot的通信資料並將其交給西方網路安全專家所做的工作。這名研究人員沒有回覆記者通過一名中間人向他轉達的置評請求。
美國執法官員尚未公開證實這些材料。網路安全研究人員及前安全官員表示,聊天記錄和其他洩漏的文件似乎是真實的。美國聯邦調查局(Federal Bureau of Investigation,簡稱FBI)拒絕置評。
根據《華爾街日報》(The Wall Street Journal)對上述數據的研究,數據中包含的技術細節與利用勒索軟體Conti發動的網路攻擊相符,而先前Trickbot曾聲稱這款軟體歸它所有,不僅如此,其中的技術細節與另一起網路破壞事件也對得上,安全專家曾將那次事件歸因於Trickbot開發的另一款勒索軟體Ryuk。
一名參與聊天的惡意軟體開發人員使用了一個暱稱,該暱稱在一份聯邦起訴書中曾被認定是Trickbot的程式員。根據網路安全研究人員及網路安全博主布萊恩·克萊布斯(Brian Krebs)稱,聊天記錄中的空白時期正好是眾所周知Trickbot的計算機基礎設施被執法部門或情報機構破壞的那段時間。
通常來說,勒索軟體會鎖定目標計算機網路的文檔,直到支付贖金才會解鎖文檔。近年來,勒索軟體已演變為一種犯罪組織。美國財政部去年秋天表示,2021年前六個月,被美國國內銀行標記的美國企業支付的勒索軟體贖金較上年同期增長了近一倍,達到近6億美元。
去年夏天,美國總統拜登(Joe Biden)開始向俄羅斯總統普京(Vladimir Putin)施壓,要求他採取行動限制源自俄羅斯的勒索軟體。網路安全研究者和政府官員指出,當今世界有許多網路犯罪——包括勒索軟體犯罪——都源自那裡或是東歐。
美國曾指責俄羅斯國家安全機構參與了網路犯罪或是對其持容忍態度,但俄方予以否認。位於華盛頓的俄羅斯駐美國大使館沒有回覆記者的置評請求。記者還向Trickbot聊天記錄中出現的22名對話參與者的電子郵箱發去詢問郵件,也沒有得到回覆。
官員們說,網路犯罪組織可能會將美國作為攻擊對象,以此報復西方支持烏克蘭反抗俄羅斯入侵。美國國家安全局(National Security Agency)局長、美國網路司令部(U.S. Cyber Command)司令保羅·中曾根(Paul Nakasone)上將在3月的一場參議院聽證會上警告說,隨著烏克蘭衝突繼續,俄羅斯運用勒索軟體或發動其他強力網路攻擊的可能性或許會增大。
3月28日,烏克蘭軍方使用的一家該國網路服務供應商遭遇大規模網路攻擊,導致服務中斷。官方沒有指出誰應為此事負責。
拜登3月下旬表示,不斷更新的情報顯示,克裡姆林宮正尋求對美國發動網路攻擊,以此回應它所遭受的懲罰性經濟制裁。
據熟悉美國財政部觀點的人說,美國官員正在考慮是否制裁Trickbot。一旦實施制裁,美國企業向Trickbot支付贖金將被視為非法。
拜登政府已將勒索軟體集團——尤其是在俄羅斯境內運作的那一類——視為國家安全的頭號威脅,因為它們有能力破壞關鍵性的基礎設施,如去年油氣管道公司Colonial Pipeline Co.遭到網路攻擊後,汽油供應一度中斷。3月24日,美國司法部公布了對四名俄羅斯人的指控,指控他們對能源設施實施了長達一年的駭客攻擊。
最常用的勒索軟體
根據網路安全公司Palo Alto Networks旗下駭客追蹤團隊Unit 42的網路威脅研究人員,Trickbot是發動攻擊次數最多、也是最令人畏懼的勒索軟體組織之一,到目前為止,它的勒索軟體Conti是2021年使用最多的勒索軟體。Trickbot還運行著一個附屬計劃,根據該計劃,其他犯罪分子能夠以合夥人形式簽約,繼而使用該組織的勒索軟體、伺服器,甚至是經過培訓的贖金談判人員,作為交換,他們拿到的每一份贖金都要抽出一定比例上交Trickbot。
根據FBI,去年針對美國應急響應機構(包括醫院和911呼叫中心)的網路攻擊事件中,有16起運用了Trickbot的勒索軟體Conti。此外,愛爾蘭國家醫療保健系統遭受的網路攻擊中也有Conti的身影,受其影響,該國醫生被迫取消了對一些中風及癌症病人的治療。自2018年以來,Trickbot的另一款勒索軟體Ryuk曾被用於攻擊至少235家美國綜合性醫院及其他醫療設施。
--------------------------------------------------------------------------
聊天記錄
醫院攻擊計劃洩漏後,Target向Stern報告最新情況,並敘述了他為堵漏所做的事。
2020年10月30日,Target對Stern說
(03:20:11)
我覺得這一切很好玩,但Igla和Troy都很忙。
(03:21:13)
已反覆檢查所有東西,個人電腦上什麼也沒留下,沒有資訊洩漏
2月27日,那位匿名研究人員將近兩年的數據公之於眾,包括私人聊天資訊、財務資訊、源代碼及其他技術細節。據他說,這些數據屬於勒索軟體Conti的運營者。
安保公司Trellix的網路調查負責人約翰·福克(John Fokker)說,此次洩漏事件描繪出了行業頂端一家高度職業化且極其冷酷的勒索軟體組織的形象。「他們不會區別對待攻擊目標,即便攻擊的是醫院,他們也不在乎。」他說,「一切都是為了賺錢。」
據網路安全分析師亞力克斯·霍爾登(Alex Holden)說,近年來,少數網路安全分析師一直在秘密潛入Trickbot的基礎設施,此次洩漏數據的匿名曝光者就是這批研究人員中的一員。研究人員在未被發現的情況下記錄了私人聊天內容,並在該組織入侵受害者網路時提醒後者,從而破壞了Trickbot的部分計劃。霍爾登的公司Hold Security會監視東歐地區的網路犯罪以及Trickbot的動向。
報復計劃
據現任與前任官員以及其他熟悉相關行動的人說,2020年9月,美國網路司令部及其他部門的美國官員成功地讓數千部電腦擺脫了駭客控制。他們說,在網路攻擊前,這些電腦預先受到了感染。
大約在同一時候,微軟(Microsoft Corp.)與一個全球科技企業聯盟合作,攔截了Trickbot租來運行後台業務的八家美國主機託管公司的伺服器。
Trickbot的聊天記錄顯示,反擊給內部人員帶來了短暫的挫敗感。「這些離線程式會影響所有人的士氣。」一名Trickbot管理者談到被入侵的電腦突然停止接收Trickbot的指令。
聊天內容顯示,該組織立即開始重建聽命於它的電腦機群,數周之內,它就完全恢復了實力,並啟動了一項危險的復仇計劃。這群駭客開始系統性侵入美國的醫院,他們打算在這些醫院疲於應對不斷上升的新冠感染病例之際,讓數百家醫院的系統同時癱瘓。
--------------------------------------------------------------------------
聊天記錄
Mango分享了被盜數據的一種變現設想——在暗網上將其拍賣
2021年4月9日,Mango對Professor說
(18:59:51)
向阿飛致敬!我睡覺的時候,想到了一個很酷的數據拍賣點子。
長期追蹤Trickbot的網路安全研究人員對美國當局發出警告,美國國土安全部也向醫院敲響了警鐘。與此同時,網路安全專家也在努力將損失降到最低。
美國網路安全與基礎設施安全局(Cybersecurity and Infrastructure Security Agency,簡稱CISA)下屬新冠工作組前首席策略師約書亞·科曼(Joshua Corman)說, 「我覺得我從沒像那個星期那樣害怕過。」CISA隸屬國土安全部,其新冠工作組的成立目的是為了在疫情期間為醫療保健行業提供保護。
聊天記錄顯示,醫院攻擊計劃遭到反擊後,Trickbot的管理者開始尋找洩密原因。Trickbot的一名成員向「stern」報告,「已反覆檢查所有東西,個人電腦上什麼也沒留下,沒有資訊洩漏。」
儘管針對醫院的協同攻擊沒有得逞,但在其他行業,仍有非法資金從絕望的受害者手中流入Trickbot的荷包。
根據區塊鏈研究公司Chainalysis,2020年Trickbot的Conti勒索軟體業務共獲得7,000萬美元的贖金,2021年更是超過2億美元。該公司稱,截至今年3月初,Trickbot通過勒索軟體Conti拿到的贖金已達1,350萬美元。
瞄準那些反對俄羅斯的人
聊天記錄中,有很多地方都提到了Trickbot集團與俄羅斯安全官員之間可能的聯繫。
網路安全公司Mandiant負責網路犯罪分析的主管金伯莉·古迪(Kimberly Goody)說,「我們可以看到一些對話中帶有暗示性極強的資訊,表明這群危險人物中至少有一小部分可能與俄羅斯情報部門或俄羅斯政府機構存在某種關係,」駭客們或許在為政府獲取情報。
去年10月,一位名叫「kagas」的Trickbot成員帶來消息,稱在美方官員的要求下,俄羅斯將對該組織重新展開調查。
「調查方解釋了為什麼要重啟調查——美國方面正式要求獲得有關俄羅斯駭客的資訊,不單是我們,總的來說是在國內被抓的駭客……調查人員傳喚我們下周二去談話,不過目前來看,只是作為證人。」
去年早些時候,該組織成員曾討論要專門針對「反對俄羅斯聯邦的人,」而不是像以往那樣,將攻擊對象限定在付得起巨額贖金的大公司。
聊天記錄顯示,一名Trickbot駭客聲稱自己侵入了開源調查組織Bellingcat一名記者的電子郵箱,此外,針對俄羅斯非軍事情報機構聯邦安全局(FSB)對2020年該國反對派領導人阿列克謝·納瓦爾尼(Alexei Navalny)神經毒劑中毒一事的調查,這名駭客也說自己搜尋了相關資訊。「我們當然是愛國者。」另一名Trickbot成員寫道。
俄羅斯入侵烏克蘭的行動激發了一些Trickbot成員的愛國熱情。「節日快樂,網路軍團!」該組織一名成員2月23日寫道,這天是俄羅斯的祖國保衛者日,也是俄軍進入頓巴斯(Donbas)的日子;一天後,俄軍發動了更大規模的入侵。「讓我們打倒美國人!」
--------------------------------------------------------------------------
聊天記錄
大老闆Stern與一名中層管理者聊天時,抱怨員工質量
2021年7月5日,Stern對Mango說,
(13:59:01)
我這兒有100個人,其中一半人都不去做必需的事
(13:59:09)
只會要錢,因為他們覺得自己他媽的很有用
而其他時候,Trickbot的成員就像是HBO電視劇《矽谷》(Silicon Valley)裡的書呆子和陰謀家。從聊天記錄中可以看到,一些成員會向高級管理者推銷自己鍾愛的計畫和新的變現方案。「我睡覺的時候,想到了一個很酷的點子。」一位名叫Mango的中層管理者寫道,隨後便提出一套小額支付拍賣系統——若受害人拒絕合作,Trickbot將以零散方式將他們的被盜數據賣掉。
看牙醫
據網路安全公司AdvIntel首席執行官維塔利·克萊米茲(Vitali Kremez)說,Trickbot在莫斯科設有辦公室,曾用來招募員工,但和其他公司一樣,疫情期間也轉為了遠程辦公模式。克萊米茲根據自己收集的情報得出了上述推論。
他談到,總體來說,這個組織極其分散。「除非大規模抓人,否則沒法端掉他們。」克萊米茲說,「除了人員上的故障點,它沒有什麼單一故障點。」
聊天內容顯示,駭客們會在休息時去看牙醫,而且該組織似乎也有自己的人力資源員工。平日,他們會聊起招募技術人才是多麼不易,會講笑話,也會抱怨假期,甚至還聊著推出自己的加密貨幣區塊鏈。
--------------------------------------------------------------------------
聊天記錄
Elroy在新年前夜許下的願望
2021年12月31日,Elroy對所有人說,
(13:21:35)
新年快樂,朋友們。過去的一年非常有趣。發生了很多事情
(13:21:35)
我希望新的一年:
我們的行政人員有耐心。
我們的軟體有活力。
我們的加密貨幣堅挺。
我們百折不撓。
我們的程式員聰明能幹。
我們的測試人員獲得關注。
我們的合作夥伴賺到利潤。
我們的經理人好心善。
我們的管理層富有耐心。
(13:21:35)
好運,先生們,祝我們所有人,以及那些我還不認識的人
談到伊隆·馬斯克(Elon Musk)時,他們的言語中帶著崇敬。「願他健康。」2020年8月,一名成員在聊到馬斯克的衛星網路服務Starlink的潛在好處時說。
去年,FBI在邁阿密逮捕了艾拉·維特(Alla Witte),這名拉脫維亞人被指是網路犯罪集團Trickbot的主要開發人員之一。後來,駭客們想辦法為維特聘請了一名律師,還商量利用贖金利潤為辯護提供資金。他們的策略是將維特描繪成對該組織罪行並不知情的同謀,「Mango」寫道:「我們要把她塑造成一名受害者,只是在網上找了份工作,她並不知道自己在與誰合作。」
Trickbot試圖引導受害者選擇該組織喜歡的勒索軟體談判公司,還會運用各種策略,迫使受害者接受愈加嚴苛的贖回條件。在一段聊天記錄中,Trickbot的運營者宣稱他們僱傭了一名記者(其姓名和所屬機構均未透露),此人會向受害者施壓,威脅他們若不從命,將對入侵事件進行負面報導。通過這種方式,該記者可以拿到贖金的5%作為佣金。
2月底,Trickbot宣布將支持克里姆林宮,並表示對於任何針對俄羅斯的網路攻擊,它都將給予強有力的回應。「如果有人決定組織針對俄羅斯的網路攻擊或任何戰爭行為,我們將動用一切可用資源,對敵方的關鍵基礎設施展開反擊。」Trickbot通過一篇帖子向暗網上的一個網站表示,它通常利用該網站來公布受害人的私人數據。
據Hold Security的安全分析師霍爾登說,這促使那位研究人員將他在監控Trickbot期間收集的數兆字節的聊天記錄、代碼以及文件資料公之於眾。
「現在這個集團內部一片混亂。」霍爾登說,至少目前來看,洩漏事件擾亂了該組織的運作。「我們看到他們還有點想重新集結的意思,但眼下他們沒有任何有意義的重建方式。」
3月初,就在上述大規模洩漏事件發生後,當初曝光文件的同一名研究人員又對Trickbot內部的聊天記錄進行了一次較小規模的曝光,其中的對話記錄了駭客們對洩漏事件的反應。聊天內容顯示,事發後,Trickbot慌忙破壞了他們的基礎設施,並銷毀了電子證據。「是誰泄的密?」一名成員問道。
