近期,西方执法部门加大了针对匿名托管服务、DDoS攻击服务等网络犯罪源头的打击力度。“暗网下/AWX”注意到,多家存在了许久的大型网站或者平台服务已经被国际执法合作摧毁。
美国当局取缔防弹托管提供商Lolek Hosted 著名的防弹(bulletproof)托管平台Lolek Hosted已被美国和波兰警方关闭,以限制欺诈者使用支持匿名在线行为的工具。
该行动逮捕了五人,并没收了涉嫌为Netwalker勒索软件攻击和其他恶意活动提供便利的服务器。此次行动是美国当局在过去几年中积极努力阻止防弹托管服务运营的结果,这些努力基本上取得了成功,其中包括对这些平台的重要运营商判入狱等重大成功。
Lolek将自己宣传为“100% 隐私托管”服务,并实行无日志政策,这意味着他们不会在其服务器或路由器上记录任何可能用于指控客户的活动。
Lolek平台为黑客提供了匿名性,并经常用于恶意活动,例如恶意软件分发和协助网络攻击。
联邦调查局和美国国税局早在周二就在Hosted网站(lolekhosted[.]net)上展示了一条扣押横幅。
横幅上写着:“该域名已被联邦调查局和国税局刑事调查局扣押,作为针对Lolek Hosted采取的协调执法行动的一部分。”
Lolek Hosted的历史 自2009年以来,Lolek Hosted是一家知名的防弹托管服务商,总部位于英国,数据中心位于欧洲。Lolek是暗网上的一个热门供应商,在有关匿名托管服务的报道中经常提到该网站。
该服务将自己定位为臭名昭著的CyberBunker服务的竞争对手,后者已于2019年关闭。
虽然承诺保护客户的身份安全,但该防弹托管提供商却对用户发布的内容视而不见。
这些企业因向犯罪分子出租IP地址、服务器和域名而臭名昭著,犯罪分子利用它们传播恶意软件、建立僵尸网络大军以及进行与欺诈和网络攻击相关的其他活动。
近年来美国当局一直在打击参与防弹托管服务的个人 近年来,美国执法部门一直致力于追查防弹托管公司的运营者,追究个人责任并处以严厉处罚。
美国司法部于今年6月判处39岁的Mihai Ionut Paunescu三年联邦监禁,罪名是他协助管理防弹托管公司PowerHost[.]ro。
爱沙尼亚30岁的帕维尔·斯塔西(Pavel Stassi)和立陶宛33岁的亚历山大·肖罗杜莫夫(Aleksandr Shorodumov)均因经营一家防弹托管公司、在2009年至2015年间协助对美国目标发动攻击而被判处两年以上监禁。
俄罗斯公民亚历山大·格里奇什金(Aleksandr Grichishkin)因创立和经营防弹托管业务而于2021年被判五年徒刑。
伊利诺伊州一名33岁的居民也因拥有和运营DDoS 促进网站DownThem.org和AmpNode.com而被判入狱,这两个网站还为用户提供防弹服务器托管。
该打击行动更多内幕被欧洲刑警组织和美国司法部公开 虽然联邦调查局和美国国税局本周早些时候拒绝就调查发表评论,但欧洲刑警组织和司法部宣布查获 Lolek,并在波兰逮捕了五名管理员。
“本周,波兰中央网络犯罪局(Centralne Biuro Zwalczania Cyberprzestępczości)在卡托维兹地区检察官办公室(Prokuratura Regionalna w Katowicach)的监督下对LolekHosted.net采取了行动,这是犯罪分子用来发动网络攻击的防弹托管服务世界各地。”欧洲刑警组织的公告中写道。
“五名管理员被捕,所有服务器被查封,LolekHosted.net网站已无法使用。”
欧洲刑警组织表示,Lolek被抓获是因为网络犯罪分子利用其服务器发起DDoS攻击、分发信息窃取恶意软件、托管命令和控制服务器、托管虚假在线商店以及开展垃圾邮件活动。
接着,美国司法部的一份公告揭示了警方行动的更多信息,该公告称,一位名叫Artur Karol Grabowski的波兰人昨天因运营LolekHosted而受到指控。
虽然尚不清楚Grabowski是否是在波兰被捕的管理员之一,但司法部表示,他允许客户使用假名注册、频繁更改服务器IP地址以及通知客户进行法律咨询,从而促进了网络犯罪。
Lolek托管服务被Netwalker勒索软件团伙使用 美国司法部还表示,Grabowski涉嫌协助现已中断的名为Netwalker的勒索软件业务,其在攻击中租用了50多次服务器,用于入侵网络并存储窃取的数据和黑客工具。
DOJ 声明中写道:“LolekHosted的客户利用其服务对包括佛罗里达州中区在内的世界各地的受害者实施了约50次NetWalker勒索软件攻击。”
“具体来说,客户利用LolekHosted的服务器作为中介,在未经授权的情况下访问受害者网络,并存储从受害者处窃取的黑客工具和数据。”
执法部门于8月8日在FBI和IRS牵头的行动中扣押了这家防弹托管提供商的服务器,欧洲刑警组织提供支持,将可用数据与欧盟境内外的各种刑事案件联系起来,并追踪加密货币交易。
Grabowski现在面临共谋计算机欺诈、共谋电信欺诈和国际洗钱的指控,如果全部罪名成立,可能会被判处45年监禁。
Telegram中著名的DDoS频道DDoS Empire被FBI取缔 8月5日,一家名为”DDoS Empire“的大型DDoS攻击雇佣服务提供商的Telegram频道宣布,其网站与频道被联邦调查局与欧洲刑警组织的联合行动中被接管。
联邦调查局更改了该频道的名称(It was seized by the FBI and the European police force.)和形象(FBI的logo)。
在前几天发布的一份声明中,欧洲刑警组织表示,在一项由欧洲刑警组织协调并涉及9个国家的行动中,执法部门查获了非法暗网市场“Monopoly市场”,缴获了超过5080万欧元(5340万美元)的现金和虚拟货币、850公斤毒品和117支枪支。查获的毒品包括超过258公斤的苯丙胺、43公斤的可卡因、43公斤的摇头丸和超过10公斤的LSD和摇头丸。
这项代号为SpecTor的行动由奥地利、法国、德国、荷兰、波兰、巴西、英国、美国和瑞士的一系列独立的互补行动组成。
情报包作为调查的基础 欧洲刑警组织表示,它一直在根据德国当局提供的大量证据编制情报包,德国当局于2021年12月成功查获了该市场的犯罪基础设施。这些目标包是通过交叉匹配和分析收集到的数据和证据而创建的,作为基础进行了数百次国家调查。
由于警方针对“Monopoly市场”采取的行动而被捕的供应商也活跃于其他非法市场,进一步阻碍了暗网上的毒品和非法商品交易。结果,在欧洲、美国和巴西各地逮捕了288名从事数以万计的非法商品销售的供应商和买家。其中一些嫌疑人被欧洲警察组织视为高价值目标。
逮捕发生在美国(153人)、英国(55人)、德国(52人)、荷兰(10人)、奥地利(9人)、法国(5人)、瑞士(2人)、波兰(1人)和巴西(1人)。
一些旨在查明暗网账户背后其他人的调查仍在进行中。随着执法当局获得供应商广泛的买家名单,全球数以千计的客户现在也面临被起诉的风险。
暗网上的非法市场 在此协调SpecTor行动之前,德国和美国当局还于2022年4月关闭了“Hydra市场”,这是收入最高的暗网市场,估计收入为12.3亿欧元。在针对“Hydra市场”的捣毁行动中,德国当局缴获了2300万欧元的加密货币。
就逮捕人数而言,该行动甚至比之前代号为DisrupTor(2020年)的行动更成功,逮捕人数为179人,Dark HunTor(2021年)为150人。这再次表明,警察当局之间的国际合作是打击暗网犯罪的关键。
欧洲刑警组织执行主任凯瑟琳·德博勒(Catherine DeBolle)在评论SpecTor行动时说:“我们跨越三大洲的执法机构联盟证明,当我们一起工作时,我们都做得更好。这次行动向暗网中的犯罪分子发出了一个强烈的信息:国际执法部门有办法和能力查明你的非法活动并追究他们的责任,即使是在暗网上也是如此。”
欧洲刑警组织的作用 欧洲刑警组织的欧洲网络犯罪调查中心促进了设在荷兰海牙的欧洲刑警组织总部主办的网络犯罪联合行动工作组(J-CAT)框架内促进了信息交流。在通过欧洲刑警组织的数据库交叉检查证据后,欧洲刑警组织的分析人员准备了目标包和交叉匹配报告,其中包含有价值的数据,以确定暗网的供应商。欧洲刑警组织还协调了国际执法行动。
欧洲刑警组织总部位于荷兰海牙,支持27个欧盟成员国打击恐怖主义、网络犯罪和其他严重的有组织犯罪形式。欧洲刑警组织还与许多非欧盟伙伴国家和国际组织合作。从各种威胁评估到情报收集和业务活动,欧洲刑警组织拥有在使欧洲更安全方面发挥作用所需的工具和资源。
根据欧洲刑警组织的说法,参加SpecTor行动的国家包括:
奥地利: 奥地利刑事情报局与各省刑警部门(Bundeskriminalamt und Landeskriminalämter)
法国: 法国海关(Douane)
德国: 联邦刑事警察局(Bundeskriminalamt),奥尔登堡中央刑事调查部(Zentrale Kriminalinspektion Oldenburg),法兰克福总检察院-网络犯罪中心(Generalstaatsanwaltschaft Frankfurt/Main, Zentralstelle zur Bekämpfung der Internetkriminalität),柏林警察局(Polizei Berlin),各警察部门(Dienstellen der Länderpolizeien),德国海关调查(Zollfahndungsämter)
荷兰: 国家警察(Politie)
波兰: 中央网络犯罪局(Centralne Biuro Zwalczania Cyberprzestępczości)
巴西: 皮奥伊州民警(Polícia Civil do Estado do Piauí),联邦区民警(Polícia Civil do Distrito Federal),国家公共安全秘书处-综合行动和情报局-网络行动实验室(Laboratório de Operações Cibernéticas da Diretoria de Operações Integradas e de Inteligência – Secretaria Nacional de Segurança Pública)
根据欧洲刑警组织官方网站消息,欧洲刑警组织关闭了勒索软件团伙使用的由VPNLab.net提供的VPN服务,并发现了即将发生的网络攻击目标的列表。现已有100多家公司接到警方的通知,称它们已成为网络犯罪分子的目标。
这是德国汉诺威警方与欧洲刑警组织共同发布的一份新闻稿的内容。警方长期以来一直在调查VPN供应商VPNLab.net,现已没收了VPNLab在德国、荷兰、加拿大、捷克共和国、法国、匈牙利、拉脱维亚、乌克兰、美国和英国运营的15台服务器。
欧洲刑警组织表示,根据在服务器上发现的数据,他们能够通知100多家公司即将发生的网络攻击(通过Spiegel)。
欧洲刑警组织今天表示:“执法机构正在直接与这些潜在的受害者合作,以减少他们的脆弱性。”
暗网上的OpenVPN提供商 警方注意到VPNLab.net作为跨境虚拟专用网络提供商,在地下犯罪活动中提供服务,并为包括勒索软件团伙在内的各种网络犯罪集团提供VPN代理服务。根据欧洲刑警组织的说法,网络犯罪分子特别使用该基础设施来隐藏他们自己的连接数据,从而在他们的勒索行动中掩盖他们的踪迹。
VPNLab.net的网络服务基于OpenVPN技术,开设于2008年,使用2048位加密和服务网络为其客户加密和匿名连接。该服务价格低廉,每年只需60美元。
关闭用于犯罪目的的VPN服务 欧洲刑警组织欧洲网络犯罪中心负责人Edvardas Šileris表示:“在这次调查中采取的行动清楚地表明,犯罪分子在互联网上掩盖其踪迹的方法越来越少了。关闭VPNLab是执法机构对主要由犯罪集团使用的VPN供应商采取行动的第二个重大案件。欧洲刑警组织和荷兰警方曾在去年6月关闭了DoubleVPN。”
该行动由德国汉诺威警察局中央刑事办公室牵头,在EMPACT安全框架【目标网络犯罪 – 对信息系统的攻击】下进行。汉诺威警察局局长Volker Kluwe说:“这一行动的一个重要方面是表明,当服务提供商支持非法活动并且不提供信息以响应执法机构的要求时,这些服务并不是万无一失的。这次行动显示了国际执法机构有效合作的结果,这使得关闭全球网络并摧毁此类品牌成为可能。”他的部门领导了本次调查。
欧洲刑警组织的欧洲网络犯罪中心 (EC3) 通过其分析项目“CYBORG”为行动日提供支持,该项目组织了60多次协调会议和3次现场研讨会,并提供分析和取证支持。在欧洲刑警组织海牙总部主办的联合网络犯罪行动特别工作组 (J-CAT) 的框架内促进了信息交流。欧洲司法组织组织了一次协调会议,为行动做好准备,并提供支持,以实现所有相关成员国之间的跨境司法合作。
以下部门参与了此次行动: 德国:汉诺威警察局 (Polizeidirektion Hannover) – 中央刑事办公室和维尔登检察官办公室荷兰:荷兰国家高科技犯罪部门加拿大:加拿大皇家骑警、联邦警察捷克共和国:网络犯罪科 – NOCA(国家有组织犯罪局)法国:中央司法警察局打击网络犯罪分局 (SDLC-DCPJ)匈牙利:RSSPS 国家调查局网络犯罪部拉脱维亚:拉脱维亚国家警察 – 中央刑事警察局 乌克兰:乌克兰国家警察 – Cyberpolice Department 英国:国家犯罪局美国:联邦调查局欧洲司法欧洲刑警组织:欧洲网络犯罪中心 (EC3)
根据欧洲刑警组织官方网站消息,11月4日,罗马尼亚当局逮捕了两名涉嫌部署Sodinokibi/REvil勒索软件的网络攻击者。据称,他们对5000次感染负责,总共勒索了500万欧元的赎金。自2021年2月以来,执法当局已经逮捕了Sodinokibi/REvil的其他三个分支机构和两个与GandCrab有关的嫌疑人。这些是GoldDust行动的部分结果,该行动由17个国家、欧洲刑警组织、欧洲司法组织和国际刑警组织共同开展。所有这些逮捕行动都是在国际联合执法工作之后进行的,包括识别、窃听和扣押Sodinokibi/REvil勒索软件家族使用的一些基础设施,该家族被视为GandCrab的继承者。
欧洲成立反REvil团队 自2019年以来,多家大型国际公司面临严重的网络攻击,这些攻击部署了Sodinokibi/REvil勒索软件。法国、德国、罗马尼亚、欧洲刑警组织和欧洲司法组织于2021年5月成立了一个联合调查小组,加强了针对该勒索软件的行动。Bitdefender与执法部门合作,在No More Ransom网站上提供了一个工具,可以帮助Sodinokibi/REvil的受害者恢复他们的文件,只要是2021年7月前的攻击。10月初,在美国发出国际逮捕令后,Sodinokibi/REvil的一个分支机构在波兰边境被捕。这名乌克兰人被怀疑实施了Kaseya攻击,该攻击影响了多达1500家下游企业,Sodinokibi/REvil向其索要约7000万欧元的赎金。此外,2021年2月、4月和10月,韩国当局逮捕了涉及GandCrab和Sodinokibi/REvil勒索软件家族的三名关联方,涉及超过1500多名受害者。11月4日,科威特当局逮捕了另一名GandGrab关联公司,这意味着自2021年2月以来,共有7名与这两个勒索软件家族有关的嫌疑人被捕。他们涉嫌总共攻击了约7000名受害者。
Golddust与GandCrab的联系 自2018年以来,欧洲刑警组织一直支持一项由罗马尼亚牵头的调查,该调查针对GandCrab勒索软件家族,并涉及英国和美国等多个国家的执法部门。GandCrab是全球最多产的勒索软件家族之一,全球有超过100万受害者。这些联合执法努力的结果是,通过No More Ransom项目发布了三种解密工具,迄今已挽救了49000多个系统和避免了超过6000万欧元的未付赎金。调查还着眼于GandCrab的附属机构,其中一些被认为已经转向Sodinokibi/REvil。GoldDust行动也是根据之前针对GandCrab的这一调查线索建立起来的。
无需赎金即可解密 事实证明,网络安全公司、部门的支持对于最大程度地减少勒索软件攻击造成的损害至关重要,勒索软件攻击仍然是最大的网络犯罪威胁。许多合作伙伴已经通过No More Ransom网站为多个勒索软件家族提供了解密工具。Bitdefender积极支持这项调查,在整个调查过程中提供了关键的技术见解,同时为这两个高产的勒索软件家族提供解密工具,帮助受害者恢复他们的文件。KPN和McAfee Enterprises是另外给予支持的合作伙伴,他们也通过向执法部门提供技术专业知识来支持此次调查。
目前,No More Ransom拥有GandCrab(V1、V4和V5到V5.2版本)和Sodinokibi/REvil的解密工具。Sodinokibi/REvil解密工具帮助1400多家公司解密了他们的网络,为他们节省了近4.75亿欧元的潜在损失。为这两个勒索软件家族提供的工具实现了50000多次解密,网络犯罪分子为此要求支付约5.2亿欧元的赎金。
欧洲刑警组织的支持 欧洲刑警组织促进了信息交流,支持了GoldDust行动的协调,并提供了业务作分析支持,以及加密货币、恶意软件和取证分析。在行动日期间,欧洲刑警组织向每个地点部署了专家,并启动了一个虚拟指挥所来协调地面活动。国际合作使欧洲刑警组织能够简化与其他欧盟国家的受害者缓解工作。这些活动防止私营公司成为Sodinokibi/REvil勒索软件的受害者。
欧洲刑警组织的联合网络犯罪行动特别工作组(J-CAT)支持了这次行动。这个常设小组由来自不同国家的网络联络官组成,他们在同一个办公室开展备受瞩目的网络犯罪调查。
*参与国家:澳大利亚、比利时、加拿大、法国、德国、荷兰、卢森堡、挪威、菲律宾、波兰、罗马尼亚、韩国、瑞典、瑞士、科威特、英国、美国
*参与组织:欧洲刑警组织、欧洲司法组织和国际刑警组织
司法部副部长丽莎·摩纳哥周二表示:“暗网毒品收入已超过Covid-19疫情前的水平,其中大部分销售发生在社交媒体平台上。” 美国司法部周二宣布,在一项针对暗网非法贩卖毒品的大规模国际执法行动中,横跨三大洲的150人被逮捕并被指控从事贩毒和其他非法活动。
暗猎者(Dark HunTor)行动是在包括联邦调查局及其在澳大利亚和欧洲的同行在内的跨国机构的合作努力下进行的,目标是澳大利亚、保加利亚、法国、德国、意大利、荷兰、瑞士、英国和美国各地的暗网毒贩和其他犯罪分子。
暗网是互联网的一部分,无法被搜索引擎索引,必须通过使用特殊浏览器才能访问。由于执法部门难以监控,销售非法物品或服务的网站在暗网上大量涌现。
美国司法部和欧洲警察当局表示,他们逮捕了150名在暗网论坛上买卖毒品和武器的人,使用的证据来自1月份被取缔的世界最大的非法在线市场。
在为期10个月的行动中,执法机构在全球查获了超过3,160万美元的现金和虚拟货币以及大约234公斤毒品,包括安非他明、可卡因、阿片类药物和摇头丸。司法部表示,调查人员还收集了超过20多万粒摇头丸、芬太尼、羟考酮、氢可酮和甲基苯丙胺。
欧盟执法机构欧洲刑警组织副执行主任让-菲利普·勒库夫(Jean-Philippe Lecouffe)表示:“通过此类基于信息共享、合作伙伴之间的信任和国际协调的行动,我们正在向暗网上的这些犯罪分子发出一个强有力的信息:没有人可以逃脱法律的制裁,即使在暗网上也是如此。”
司法部副部长丽莎·摩纳哥(Lisa Monaco)周二在宣布此次行动时表示,仅在美国查获的数十万颗药丸中,90%含有危险的假冒阿片类药物和麻醉剂。
摩纳哥说:“我们来这里是为了揭露那些试图利用互联网的阴影在全世界兜售杀人药片的人。”
官员们称,暗猎者行动是多国机构针对阿片类药物和暗网犯罪联合执法历史上规模最大的缉获行动,仅在美国就逮捕了65人,其中许多人被控贩运含有非法和危险物质的毒品。
德克萨斯州居民Kevin Olando Ombisi和Eric Bernard Russell Jr在一份10项罪名的起诉书中被指控销售假药、分销受控物质和洗钱。他们被指控使用暗网向包括田纳西州在内的各个司法管辖区出售和邮寄阿片类药物的混合物,有时将危险的麻醉品虚假地描述为更常规的药物,并将其出售给客户。
根据法庭文件,从2019年4月到2021年2月,德克萨斯州男子使用在线昵称“CARDINGMASTER”分发含有伪装成Adderall的甲基苯丙胺的药丸,以换取加密货币。他们邮寄的一些药丸上印有美国食品和药物管理局认可的“AD”字样,看起类似于Teva制药公司生产的药物。
根据联邦调查局的一份起诉书,这些人曾在暗网帝国市场上为Adderall投放广告。“美国超快运输免费的额外药丸促销”,促销活动中写着。卧底缉毒局特工从市场上购买了3次,发现这些药丸和Adderall一样是橙色的,并且带有似乎与处方安非他明上的标记相匹配的标记。但DEA对这些药丸的测试表明,它们不是苯丙胺,而是甲基苯丙胺,属于第二类受控物质。
在Covid-19疫情期间,暗网上的非法活动只会增加,因为越来越多的人利用它来获取毒品,在许多情况下,这些毒品含有危险的致命物质。
“他们现在在每个有智能手机或电脑的房间里,在每个拥有智能手机或电脑的家庭中运作,”行政长官安妮米尔格拉姆说,“这些是导致美国用药过量危机的药物。”