Bên trong Chiến Dịch Đánh Bại Một Trung Tâm Xóa Phần Mềm Độc Hại Nổi Tiếng

Hầu hết các chương trình quét virus tham gia vào trò chơi mèo và chuột cổ điển: Chúng hoạt động bằng cách kiểm tra phần mềm trên một danh sách thường xuyên được cập nhật về mối đe dọa tiềm ẩn. Như một phản ứng, một ngành công nghiệp nguyên đã phát triển để hỗ trợ che giấu và giấu diếm các công cụ hacker. Điều này bao gồm các dịch vụ tự động hóa quá trình kiểm tra mọi loại công cụ, từ phần mềm độc hại đến các URL độc hại, trước hàng chục máy quét phòng thủ để xem liệu chúng có bị chặn hay không. Phản hồi giúp những kẻ xấu biết được nên điều chỉnh thêm cái gì và cái gì đã sẵn sàng sử dụng.

Những công cụ kiểm tra malware này, được biết đến là "dịch vụ chống lại phần mềm diệt virus" hoặc "máy quét không phân phối," đã trở thành một trọng tâm ngày càng lớn đối với cả những nhà nghiên cứu bảo mật và lực lượng chức năng. Vào thứ Tư, một vụ án đối với các nhà điều hành của một trong những trung tâm xóa phổ biến nhất này, Scan4You, đã kết thúc. Sau khi công ty an ninh Trend Micro mang đến FBI dữ liệu chi tiết về dịch vụ, và cơ quan chức năng điều tra, một trong những người sáng lập Scan4You đã thú nhận tội và người kia đã bị tòa án Virginia tìm thấy có tội hôm nay.

Mèo và Chuột

Trong mùa hè năm 2012, các nhà nghiên cứu của Trend Micro nhận thấy một số hoạt động bất thường xuất hiện trên máy quét theo dõi mối đe dọa của họ. Các nhà nghiên cứu đang điều tra một công cụ phân phối malware được gọi là "g01pack." Họ nhận ra rằng một nhóm địa chỉ IP Latvia liên tục kiểm tra các URL liên quan đến g01pack trên hệ thống danh tiếng web của Trend Micro - một công cụ theo dõi hoạt động web và có thể chặn các trang web độc hại cho khách hàng. Đào sâu hơn, các nhà nghiên cứu phát hiện rằng các địa chỉ IP Latvia thực sự đang khởi tạo những kiểm tra này cho mọi loại URL. Các nhà nghiên cứu đang nhìn vào một kho thông tin quý giá về cách hoạt động nội tại của một công cụ kiểm tra malware nổi tiếng.

"Một dịch vụ như Scan4You mang lại ưu thế cho những tội phạm này," nói Ed Cabrera, giám đốc an ninh mạng chính tại Trend Micro. "Đó là một công cụ quan trọng để các chiến dịch này thành công toàn cầu, và bạn thấy ảnh hưởng khi bạn triệt hạ một trong những cá nhân hoặc nhóm quan trọng này. Có một hiệu ứng lan truyền."

Sau khi theo dõi hoạt động của Scan4You trong vài năm và thu thập thông tin về khách hàng của dịch vụ, Trend Micro mang thông tin đến FBI vào mùa xuân năm 2014. Công ty thường xuyên hợp tác với các cơ quan chức năng khi họ tiến hành điều tra về tội phạm mạng. Tháng 5 năm 2017, Scan4You ngừng hoạt động sau khi FBI bắt giữ và dẫn độ hai người đàn ông tại Latvia nghi ngờ vận hành dịch vụ quét malware. Jurijs Martisevs, 36 tuổi, công dân Nga, đang ở Latvia khi bị bắt. Tháng 3, ông đã thú nhận tội tại tòa án Virginia về các tội danh liên quan đến âm mưu và việc hỗ trợ và kích thích xâm nhập máy tính. Nghi can khác, Ruslans Bondars, đã bị tòa án tìm thấy có tội vào thứ Tư về âm mưu vi phạm Đạo luật Lạm dụng Máy tính và Vi phạm Luật Dây điện với ý định gây thiệt hại. Bondars được tòa án tìm thấy không có tội một cáo buộc.

Khi quét malware chính nó, các diễn viên xấu có thể thực hiện hầu hết các kiểm tra antivirus ở cấp địa phương - giảm cơ hội rằng họ có thể vô tình tiết lộ quá nhiều về bản thân và công cụ của họ cho người phòng thủ. Nhưng các nhà nghiên cứu chú ý rằng cách duy nhất để những kẻ tấn công kiểm tra tính hợp lệ của các URL độc hại của họ là nhập chúng vào các công cụ trực tuyến như những gì Trend Micro cung cấp. Scan4You cho phép người dùng kiểm tra công cụ hacking của họ trên đến 40 sản phẩm antivirus cùng một lúc, một rủi ro cuối cùng đã tiết lộ quá nhiều về hoạt động.

Các nhà nghiên cứu của Trend Micro theo dõi Scan4You, mà lần đầu tiên bắt đầu hoạt động vào năm 2009, tăng đột biến về mức độ phổ biến trong những năm gần đây. Dịch vụ chống lại phần mềm diệt virus rất phức tạp để xây dựng và duy trì, và hầu hết tội phạm không có nguồn lực để phát triển các nền tảng kiểm tra một cách tự nhiên. Nhưng với Scan4You, họ có thể kiểm tra malware của họ với giá 15 xu mỗi lần quét, hoặc 30 đô la cho 100,000 lần quét. Đó là một sự mua bán tốt, đặc biệt khi Scan4You chứng minh được nó là một dịch vụ đáng tin cậy.

Martisevs xác nhận trong một tuyên bố rằng, "Suốt thời kỳ hoạt động, dịch vụ này đã có hàng nghìn người dùng và đã nhận và quét hàng triệu tệp độc hại." Scan4You xử lý mọi loại công cụ độc hại bao gồm keyloggers, malware kits, remote access trojans, và bọc kín số (đôi khi được gọi là crypters) được thiết kế đặc biệt để che giấu mã độc hại. Martisevs nói rằng Bondars, một cư dân Latvia, là nhà phát triển kỹ thuật và quản lý cơ sở hạ tầng cho dịch vụ, trong khi Martisevs cung cấp hỗ trợ kỹ thuật cho khách hàng trên các nền tảng giao tiếp như ICQ, Jabber, Skype, và qua email. Martisevs cũng chạy các chiến dịch tiếp thị của Scan4You trên diễn đàn web tối và các diễn đàn tin tội phạm.

Nâng cấp Giáng Đầu

Mặc dù Scan4You đang kinh doanh khá nhiều, giá thấp của dịch vụ có lẽ có nghĩa là nó không mang lại nhiều lợi nhuận. Dựa trên quan sát về những người vận hành, nhóm nghiên cứu Trend Micro cho rằng dự án này có lẽ chỉ là một điểm neo cho các dự án khác. Các nhà sáng tạo có thể đã xây dựng Scan4You từ đầu, các nhà nghiên cứu cho biết, để sử dụng trong các dự án tội phạm trực tuyến khác. Phân tích của Trend Micro đã tìm thấy liên kết giữa Martisevs và nhóm lừa đảo nổi tiếng Eva Pharmacy ngoài việc liên quan đến Scan4You. Nền tảng cũng bán các sản phẩm khác. Nếu một lần quét trả về nhiều tín hiệu đỏ, ví dụ, Scan4You sẽ quảng cáo crypter của riêng mình để người dùng mua với hy vọng cải thiện sự không phát hiện của malware.

Sau khi Martisevs và Bondars bị bắt giữ và lưu lượng của Scan4You giảm xuống không, nhóm nghiên cứu Trend Micro mong đợi khách hàng bị dịch chuyển đến một số lựa chọn đáng tin cậy, đặc biệt là dịch vụ chống lại phần mềm diệt virus có tên VirusCheckMate. Tuy nhiên, đến nay, họ chưa thấy sự tăng lên như vậy. Không rõ liệu khách hàng của Scan4You đã bắt đầu cố gắng tự thực hiện kiểm tra hơn, hay chỉ đơn giản là tập trung vào che giấu malware của họ. Một số chiến dịch quét malware lớn khác, như chiến dịch phổ biến Refud.me vào năm 2015, dường như đã đẩy nhiều hoạt động vào âm phủ.

"Điều đặc biệt về cuộc điều tra này là quy mô và phạm vi của tội phạm dưới dạng dịch vụ," Cabrera nói. "Nhưng đây không phải là cơ hội truyền thống nơi họ thực sự đang thực hiện các tội ác cho bạn, như thực hiện một cuộc tấn công dữ liệu hoặc phân tích và bán dữ liệu. Điều này là việc bán khả năng làm cho các chiến dịch tội phạm khác trở nên thành công hơn nhiều. Nó nói lên về mức độ khả năng của thế giới ngầm tội phạm."

Mặc dù những kẻ tấn công sẽ không thể tránh khỏi cách làm mất Scan4You, loại bỏ nền tảng này là một cách hiệu quả để tạo ra vấn đề cho rất nhiều tội phạm trên toàn thế giới, và có thể thậm chí khiến họ mất mát một số tiền.

Những Câu Chuyện Tuyệt Vời Nhiều Hơn từ Mytour

• Những thanh niên đã hack đế chế Xbox của Microsoft - và đã đi quá xa

• Ketamine mang lại hy vọng - và gây ra tranh cãi - như một loại thuốc chống trầm cảm

• ESSAY ẢNH: Muốn săn bắt người ngoài hành tinh? Hãy đến khu 'vùng yên tĩnh' công nghệ thấp ở West Virginia

• Cách văn hóa red-pill vượt qua hàng rào và đến được với Kanye West

• Vụ tai nạn xe tự lái của Waymo làm tái phát những câu hỏi khó khăn