乌克兰安全局[ SSU ]逮捕了一名黑客,该黑客创建并管理了一个强大的僵尸网络——一个由 100,000 多个假账户组成的自动化网络{该网络由超过 100,000 个被奴役的设备组成}。通过它,他进行了 DDoS 和垃圾邮件攻击,检测网站中的漏洞并对其进行黑客攻击。
随着 SSU 网络专家设法建立,攻击者原来是伊万诺-弗兰科夫斯克地区的居民。除了网络攻击和黑客攻击,他还在远程平台上获取邮箱密码,即所谓的“暴力破解”。
他在封闭的论坛和 Telegram 聊天中找到客户,并通过乌克兰禁止的电子支付系统向“客户”付款。这些付款是通过 WebMoney 进行的,WebMoney 是一个在乌克兰被禁止的俄罗斯汇款平台。
同时,根据调查,Prykarpattia居民是俄罗斯即时支付电子系统Webmoney的代表,该系统受到国家安全和国防委员会的制裁。
他制作并向用户颁发了用于交易的受制裁支付系统的证书。
在对犯罪分子的注册地址和实际居住地址进行搜查时,查获了具有非法活动证据的计算机设备。
目前,僵尸网络组织者正在根据艺术第 2 部分准备一份怀疑报告。
361-1(为使用、分发或销售恶意软件或硬件及其分发或销售目的而创建)和艺术。
乌克兰刑法典第 363-1 条(通过大量传播电信信息干扰电子计算机(计算机)、自动化系统、计算机网络或电信网络的工作)。
伊万诺-弗兰科夫斯克地区的 SSU 与乌克兰国家警察网络警察部伊万诺-弗兰科夫斯克地区的网络犯罪部门、伊万诺-弗兰科夫斯克国家警察总局共同对犯罪进行了侦查和记录科洛米亚地区检察官办公室的程序指导下的地区。
几周前,电信运营商 Rostelecom 的子公司俄罗斯网络安全公司 Rostelecom-Solar 披露,它已将部分Mēris DDoS 僵尸网络下线,该僵尸网络已将估计 250,000 台主机加入其网状网络。
该公司表示,通过拦截和分析用于控制受感染设备的命令,它能够“检测到 45,000 个网络设备,识别它们的地理位置并将它们与僵尸网络隔离”。
超过 20% 的受攻击设备位于巴西,其次是乌克兰、印度尼西亚、波兰和印度。
在Solar JSOC CERT网络威胁早期检测中心的帮助下,来自国家计算机事件协调中心 (NCCCI) 和 Rostelecom-Solar 的专家已经识别并阻止了黑客企图将 45,000 多台新设备卷入网络Meris僵尸网络。据专家介绍,这个特殊的僵尸网络被用于最近对Yandex的DDoS攻击,堪称Runet历史上规模最大的一次。Meris 的估计规模为 200,000 台设备,因此,由于新的攻击,它可以将其能力提高 20%。
多亏了 Solar JSOC CERT 蜜罐网络,Rostelecom-Solar 专家能够接收和分析用于控制受感染设备的命令。在其中发现的错误使 Solar JSOC CERT 专家能够检测 45,000 个网络设备,识别它们的地理位置并将它们与僵尸网络隔离。
据推测,Meris 僵尸网络主要由 MikroTik 硬件组成,家庭用户广泛使用它来连接互联网。MikroTik 固件的某些版本包含严重漏洞,利用这些漏洞,黑客可以控制设备并将它们组合成一个或多个中心控制下的网络。此类僵尸网络用于进行大规模网络钓鱼、DDoS 和其他网络攻击。根据 Rostelecom-Solar 获得的数据,攻击者在攻击 MikroTik 设备时,会尝试利用已知漏洞以及暴力破解路由器访问密码。
超过 20% 的受攻击设备位于巴西。在 Meris 这一部分存在的前 5 个地理区域中 – 乌克兰、印度尼西亚、波兰和印度。来自俄罗斯的受感染设备占僵尸网络的比例不到 4%。
来自 Rostelecom-Solar 的 Solar JSOC CERT 专家将受感染设备列表交给了 NKTsKI,NKTsKI 立即通知外国政府网络攻击响应中心有关其国家存在僵尸网络段的情况。俄罗斯电信运营商在其基础设施中发现了受感染节点,也收到了这一事件的通知。
基于研究结果的技术细节将在即将发布的报告中提供,该报告将发布在 Rostelecom-Solar 和 NKTsKI 的 Solar JSOC CERT 信息资源上,并由 NKTsKI 根据既定程序。
转载请注明出处及链接