在11月8日,美国联邦调查局 FBI和爱沙尼亚警方在趋势科技和其他伙伴的合作下攻破了一个历史悠久,控制了超过四百万台计算机的僵尸网络/傀儡网络 Botnet,在这次的行动,被美国联邦调查局称为「Operation Ghost Click」,有两个位于纽约和芝加哥的数据中心被搜索,一个由100多台服务器所组成的命令与控制(C&C)基础网络被断线。在这同时,爱沙尼亚警方也在塔尔图逮捕了数名成员。这里是联邦调查局的新闻稿。
这个僵尸网络/傀儡网络 Botnet由中毒计算机所组成,这些计算机的DNS设定都被改成国外的IP地址。DNS服务器能将易读好记的域名解析成IP地址。大部分网络用户都会自动使用网络服务业者的DNS服务器。
而DNS变更木马会偷偷地修改计算机设定,去使用国外的DNS服务器。这些 DNS服务器是由恶意人士所设立,用来将特定的网域解析成恶意网站的IP地址。因此,受害者会在不自觉的情况下被引导到恶意网站。
犯罪集团可以透过很多方法来利用这个DNS Changer僵尸网络/傀儡网络 Botnet赚钱,包括更换受害者所访问的网站广告,劫持搜寻结果或是植入其他恶意软件等.
趋势科技在2006年就发现了谁最有可能是这DNS Changer僵尸网络/傀儡网络 Botnet的背后主脑。我们决定先保留这些数据而不公开,以便让执法机构可以对这背后的犯罪集团采取法律行动。
现在主事者已经被逮捕,僵尸网络/傀儡网络 Botnet也被移除了。我们可以分享一些过去5年来所收集的详细情报。
Rove Digital
这个网络犯罪集团控制了每一个环节,从植入木马到透过中毒的僵尸计算机来赚钱。它是一间爱沙尼亚的公司,名为Rove Digital。Rove Digital是许多其他公司(像是Esthost、Estdomains、Cernel,UkrTelegroup和许多较无人知的空壳公司)的母公司。
Rove Digital看起来是一个位于塔尔图的正常IT公司,一个每天早上都有人来上班的办公室。但实际上,这个在塔尔图的办公室控制着数以百万计,位于世界各地的中毒计算机,每年都可以靠这些僵尸网络/傀儡网络 Botnet获取数百万美金的不法所得。
Esthost,一家提供网站代管服务的经销商,曾经在2008年的秋天上过新闻。当时它在旧金山的供货商
–Atrivo被迫关闭,而它也因此而断线。大约也在同一时间,Rove Digital的一家网域注册公司 Estdomains也被ICANN取消了权限,因为它的所有人
– Vladimir Tsastsin在他的家乡爱沙尼亚因为信用卡诈欺而被定罪。
僵尸网络集团Rove Digital的 CEO
