安全專家繪製令人震驚的多網絡犯罪關係圖

　　上週，安全專家突然襲擊斷開了Troyak的互聯網連接，Troyak是一家東歐ISP，它是全球電腦犯罪活動的老巢。在過去的7天中，據傳安全社區大量的不知名人員開始與Troyak玩起了打地鼠遊戲，試圖尋找下一個合法ISP作為跳板，重新連入互聯網。

　　安全專家說已經預料到Troyak會採取應對措施，實際上它是一個精心構建，具有循環備份和冗餘網絡的網絡運營商，所有這些都是為了保持龐大的有組織的網絡犯罪，因此把Triyak的網絡直接斷掉是對網絡犯罪的致命打擊。

　　但安全公司RSA相信Troyak是清白的，因為Troyak僅僅是包圍8個所謂「防彈網絡」老巢的5個上游ISP之一，RSA說這8個防彈網絡託管了互聯網上最多的惡意軟件，包括銀行密碼竊取木馬，如Zeus和Gozi，以及由這些木馬和臭名昭著的俄羅斯釣魚團隊RockPhish竊取到的個人信息和財務數據。

　　根據RSA前幾天發佈的一份報告稱，這8個防彈網絡直接連接到Troyak和其它4個上游ISP，形成了一個合法外衣包圍中的惡意網絡，如圖1 所示，這種包圍結構掩蓋了真正的惡意軟件託管艦隊，為惡意軟件服務器正常運行提供了可靠的保證。此外，Troyak和其它4個上游ISP(上圖中橙色部分)彼此之間都有聯繫，這4個上游ISP都連接到一到多個合法ISP(上圖中綠圈)，這些合法ISP是可以連接到全球互聯網的，這樣隱藏在後面的8大防彈網絡可以說非常隱蔽。

　　事實上，RSA說Troyak最初在3月9日就被斷網了，因為幾個區域ISP(圖中左側綠色部分)同時拒絕為其提供服務，據推測，這些ISP切斷Troyak的網絡是迫於安全研究人員不斷施加的壓力，安全研究人員列舉了Troyak支持網絡犯罪的大量事實。

　　現在的問題是，其它4個以Troyak為中心的上游ISP也都有到合法ISP的連接，因此主要依賴於Troyak的整個防彈網絡主機現在必須轉換到其它上游ISP。在上圖中綠色的圈表示區域ISP，RSA稱他們為合法的ISP，但反垃圾郵件組織Spamhaus在週二的垃圾郵件黑名單中列出了Troyak的主要區域ISP —— 位於俄羅斯的NLINE，主要原因是NLINE多次縱容垃圾郵件犯罪團夥。

　　RSA在Troyak斷網事件報告中說「最重要的是要弄明白，雖然這個關係圖中的部分連接可能會被斷開，但這些防彈網絡通過其它上游供應商仍然能夠恢復活力，大多數都可通過備用連接又重新上線，觀察上週發生的事情就不難理解，這種冗餘機制是保證惡意軟件服務器總能逃過一劫的關鍵」。

　　RSA並不是唯一繪製惡意ISP關係圖的公司，在最近一篇由三名大學研究人員發表的論文中，研究人員使用來自多個垃圾郵件，惡意軟件，機器人和釣魚黑名單的數據來確定惡意網絡，來自橡樹嶺國家實驗室和印第安納大學的研究人員確定了多個可能有問題的ISP，特別是Ukraine和Turkey，它們過渡容忍來自它們網絡的犯罪活動，過渡放縱就等於認同和支持，因此這些ISP就被定性為惡意ISP。

　　研究人員在試圖找出ISP中的惡意網絡時，主要關注那些至少有三個合作夥伴網絡的ISP，他們發現有22個網絡中所有客戶全都是惡意用戶，另外有194個網絡，其中至少有50%的客戶應歸於惡意用戶。

　　隱藏在背後的網絡犯罪集團一定不會死心，即使Troyak倒下了，還會催生更多的Troyak出現，網絡安全人員的責任任重而道遠!