趨勢科技協助 FBI 破獲的駭客集團 Esthost/ Rove Digital,首腦面臨六年徒刑

 

Esthost/Rove Digital看起來是一個位在塔爾圖的正常 IT公司,一個每天早上都有人來上班的辦公室。但實際上,這個辦公室控制著數以百萬計,位在世界各地的中毒電腦,每年都可以靠這些「Botnet傀儡殭屍網路」,獲取數百萬美金的不法所得。首腦終於在美國聯邦法官面前對許多項指控認罪。將會在美國聯邦監獄裡待上最多六年。

 

2011年11月,趨勢科技協助 FBI 破獲史上最大殭屍網路: DNS Changer(域名系統綁架病毒)與數百萬美金的不法所得,透過被稱為「Operation Ghost Clock」的FBI行動,超過100台屬於Esthost/Rove Digital集團的伺服器被下線。這集團在紐約和芝加哥的資料中心被突擊,超過400萬名的受害者花了半年以上變更到非惡意的DNS伺服器

在這破獲行動經過近四年之後,這網路犯罪集團的首腦Vladimir Tsastsin已經在美國聯邦法官面前對許多項指控認罪。將會在美國聯邦監獄裡待上最多六年。

假防毒軟體軟體是集團重要的收入來源之一

Esthost/Rove Digital騙局的運作原理其實相當簡單:植入DNS變更惡意軟體到使用者電腦上,將對熱門網域的查詢導向惡意伺服器。這讓攻擊者可以重新導向針對這些熱門網域的流量,進行難以偵測但卻有極大利潤的攻擊,像是劫持搜尋結果和置換網站廣告。除此之外,假防毒軟體軟體也是這集團重要的收入來源。

攻擊者會對這些方法青睞有加是因為它們較難被偵測,而且可以維持很長一段時間。然而,該集團的活動早在2006年就被趨勢科技所察覺;自那時起我們就開始追蹤他們的活動。

趨勢科技是加入終結Esthost/Rove Digital行動的唯一防毒軟體公司。

在2009年,愛沙尼亞和美國的執法單位開始與其他組織共同行動來終結Esthost/Rove Digital;趨勢科技是加入此一聯合行動的唯一防毒軟體公司。

趨勢科技的研究報告 – 破獲Rove Digital將我們對這一集團的了解總結在一份文件中。

趨勢科技的研究是破獲Esthost/Rove Digital的重要部分,對於將Tsastsin送入監獄是不可或缺的。

犯罪行動曝光前的過去 4年每天都有人到駭客集團所成立的 Esthost/Rove Digital 公司上班,主要業務:控制數以百萬計中毒殭屍電腦,獲取​數百萬美金的不法所得,圖為犯罪集團的首腦Vladimir Tsastsin,將面臨六年的徒刑

圖說:犯罪行動曝光前的過去 4年每天都有人到駭客集團所成立的 Esthost/Rove Digital 公司上班,主要業務:控制數以百萬計中毒殭屍電腦,獲取數百萬美金的不法所得,圖為犯罪集團的首腦Vladimir Tsastsin,將面臨六年的徒刑 Continue reading “趨勢科技協助 FBI 破獲的駭客集團 Esthost/ Rove Digital,首腦面臨六年徒刑”

讓 57 萬台電腦遇駭的駭客集團 ROVE DIGITAL (DNS Changer開發者) 近 10 年的起落

去年趨勢科技協助 FBI 破獲史上最大殭屍網路DNS Changer(域名系統綁架病毒)之後, FBI發現若是直接關掉駭客犯罪用伺服器,中毒的 50 多萬電腦將無法連上網路。因此美國政府設立了替代伺服器,讓尚未修復的電腦可以正常上網,。FBI原先預定在今年3月8日關閉替代伺服器,但美國聯邦法院要求繼續提供DNS服務,給感染電腦多一點緩衝時間處理,但礙於經費,FBI已決定美國時間7月9日關掉伺服器,屆時數十萬尚未清除病毒的中毒電腦就會連不上網路。

趨勢科技呼籲大家立即檢查是否感染DNS Changer,因為FBI即將於7月9日關閉服務遭感染電腦所使用的DNS伺服器,屆時未修復的設備將無法上網。至於為何清除電腦上的DNS Changer(域名系統綁架病毒)很重要?請<看這裡>

ROVE DIGITAL的起落

DNS Changer(域名系統綁架病毒)是由Rove Digital這個網路犯罪集團控制,Rove Digital看起來是一個位在塔爾圖的正常IT公司,一個每天早上都有人來上班的辦公室。但實際上,這個在塔爾圖的辦公室控制著數以百萬計,位在世界各地的中毒電腦,每年都可以靠這些「Botnet傀儡殭屍網路」,獲取數百萬美金的不法所得。

當某些網路犯罪份子只想賺快錢的時候,有些則有更長遠的目標。ROVE DIGITAL已經運作超過六年了。讓我們看看他們是怎麼開始,最後又怎麼結束的。

過去四年每天都有人到駭客集團所成立的 Rove Digital 公司上班,主要業務:控制數以百萬計中毒殭屍電腦,獲取​數百萬美金的不法所得
過去四年每天都有人到駭客集團所成立的 Rove Digital 公司上班,主要業務:控制數以百萬計中毒殭屍電腦,獲取​數百萬美金的不法所得

2002-2004 早期階段

ROVE DIGITAL的起落
ROVE DIGITAL的起落

惡意活動

出租伺服器給網路罪犯客戶,主要做為垃圾郵件僵屍網路的C&C伺服器,或是代管資料竊取木馬、釣魚網站和DNS Changer(域名系統綁架病毒)。

基礎架構

在紐約(PILOSOFT),洛杉磯(ATRIVO)和愛沙尼亞(ELION)的三個資料中心承租伺服器。

地理位置:愛沙尼亞        美國

業務模式:一開始是網域註冊商 Continue reading “讓 57 萬台電腦遇駭的駭客集團 ROVE DIGITAL (DNS Changer開發者) 近 10 年的起落”