马克西姆·谢尔盖耶维奇·加罗奇金非常喜欢上网。在他的工作聊天中,41岁的他日夜给同事发信息。他抱怨在加密货币交易中赔钱,说他“他妈的沉迷于”金属乐队,并同意一位同事的看法,即犯罪惊悚片是一部完美的周末电影。Galochkin向一名队友透露,他更喜欢在办公室工作,而且在那里更容易集中精力——他在家的时候,他的妻子会“责骂”他。他知道自己想要什么。
“我有远大的目标,”他在2021年9月对一位同事说。“我想变得富有。一个百万富翁。”他更理想主义的同事称金钱是“扯淡的目标”。但伽罗奇金有一个计划。“不,”他回答说,“钱是一种安排我想要的东西的手段。”
加罗奇金可能看起来像一个典型的上班族,但他实际上是在正确的工作中赚大钱。根据多名网络犯罪研究人员的说法,他是臭名昭著的俄罗斯网络犯罪集团Trickbot的主要成员,该组织近年来发动了数千次网络攻击,破坏了世界各地的企业、医院甚至政府。在Trickbot内部,他的同事们都知道他的网名:Bentley和Manuel。
《连线》杂志对加罗奇金进行了长达数月的调查,多名网络安全和俄罗斯网络犯罪专家将他与“宾利”这个绰号联系起来。该分析包括对勒索软件团伙泄露并发布在网上的大量数据的详细评估。这项调查还进一步揭示了Trickbot网络犯罪集团的内部运作,将其主要成员与更广泛的网络犯罪领域联系起来,并揭示了这些犯罪团伙与俄罗斯政府之间的联系。
2022年3月,一个名为“Trickleaks”的推特账户公布了该组织大约35名成员的数千份在线聊天记录。Trickbot群体的总规模很难估计,但研究人员估计它有100到400个成员。这位匿名泄密者公布了25万条Trickbot内部信息和一系列自制情报档案,揭露了据称是该团伙背后的人。这些信息包括真实世界的姓名、照片、社交媒体账户、护照号码、电话号码、居住的城镇和城市,以及涉嫌团伙成员的其他个人信息。缓存还包括2500个IP地址,500个加密货币钱包,以及数千个域名和电子邮件地址。
总的来说,这些文件构成了网络犯罪集团有史以来最大的数据转储之一。在这些文件于2022年初发布时,公众在很大程度上忽视了这些文件,因为全球的注意力都集中在俄罗斯对乌克兰的全面入侵以及康蒂勒索软件组织的另一次重大泄密事件上。研究人员表示,康蒂勒索软件组织与Trickbot有很强的联系。
Trickleaks并没有逃过全球执法部门的注意,他们已经对这些数据进行了评估。去年,在美国和英国共同努力破坏、点名、羞辱和制裁俄罗斯网络罪犯的背景下,这款软件发布了,其中包括一些Trickbot成员,但不包括Galochkin或其他一些Trickbot关键员工。但这些政府调查往往落后于当前的活动数年,而且涉及长期的战略协调。
揭露宾利
对于寻求匿名的网络罪犯来说,与同事保持距离至关重要。但当你们整天都在互相发信息时,即使是最注重隐私和安全的人也可能会泄露一些个人信息。研究人员说,对于加罗奇金来说,这些失误无意中揭示了他的真实身份。
例如,在2020年6月,一名名为Defender的Trickbot成员向宾利询问了即时通讯服务Jabber的地址,这样他们就可以在小组内部频道之外进行交流。网络安全公司Nisos的研究人员应《连线》的要求调查了宾利的身份,他们表示,宾利将用户名volhvb@exploit.im发给了他的同事。
Nisos首席研究员Vincas ?i?iūnas将Jabber联系人与电子邮件地址volhvb@gmail.com和一个同名的YouTube帐户联系起来,该帐户发布了详细介绍俄罗斯加密货币交易的视频。YouTube账户“Mrvolhvb”发布的一段视频显示,该用户还在另一个窗口登录了volhvb@exploit.im Jabber账户。“他在很多地方都使用‘volhb’这个手柄,”?i?iūnas说。长期关注康蒂和Trickbot的网络安全研究人员维塔利·克雷米兹(Vitali Kremez)也注意到了视频中的这个漏洞。克雷梅兹于去年年底死于一场明显的水肺潜水事故,他在2022年3月表示,“马克斯”·加洛奇金是宾利车把背后的真实身份。
通过俄罗斯手机行业信息、泄露的数据泄露和Nisos审查的其他情报,Gmail账户与加罗奇金的一个电话号码相关联。这种联系帮助揭开了加罗奇金的线下身份。Nisos看到的记录将加洛奇金的电话号码与俄罗斯南部城市阿巴坎的一个地址联系起来。该公司的进一步调查显示,他出生于1982年5月,他的税号显示他之前的合法名字是马克西姆·谢尔盖耶维奇·斯普金。尼索斯发现,加罗奇金和斯普金有着相同的出生日期和俄罗斯护照号码。
其他跟踪和监控Trickbot的网络安全研究人员也认为,加罗奇金是宾利手柄的幕后黑手。Hold security公司总裁兼首席信息安全官、多年来一直关注Trickbot的研究人员亚历克斯·霍尔顿(Alex Holden)表示,有关宾利身份的数据与他之前的发现“非常一致”。
同样,安全公司Cybernite Intelligence的首席执行官拉多耶·瓦索维奇(Radoje Vasovic)分析了Trickleaks的数据并进行了开源研究,他相信加罗奇金就是宾利。2022年12月,一家德国报纸也发表了一份对康蒂的调查,其中包括将宾利称为“马克西姆·g”。
揭开伽罗奇金的面纱意义重大。霍顿说,宾利是操作Trickbot的“关键人物”之一,这在一定程度上要归功于他在网络犯罪领域的经验和人脉。虽然俄罗斯有多个网络犯罪团伙构成了重大的全球威胁,但Trickbot因其罪行的严重性而引起了特别的关注和报复。例如,在2020年美国大选之前,美国网络司令部进行了一次不同寻常的公开攻击行动,旨在破坏Trickbot僵尸网络。在接下来的几周里,包括微软在内的公司采取了法律和技术行动来破坏Trickbot的网络,作为保护投票和其他关键基础设施的努力的一部分。
网络犯罪分子通常通过保持匿名和匿名来逃避责任。但有了伽罗奇金,就有可能建立起他在Trickbot内部和外部活动的详细画面。在Galochkin的GitHub和Gravatar个人资料上的一张照片中,一个男人看起来身材魁梧,有着浓密的深棕色眉毛和与之相配的深棕色山羊胡。他留着灰白的长发,背着登山背包,穿着牛仔裤和白色t恤,在山边摆姿势。目前尚不清楚这张照片是何时拍摄的。
泄露的信息还显示,伽罗奇金的工作可能在他的个人生活中造成了一些紧张。有一次,他告诉一位同事,他的妻子开始接受他现在的工作。“我告诉她,我们是在和美国公司傲慢的混蛋打交道,”一条信息写道。“最重要的是,我们不是针对普通的穷人。”
据尼索斯说,2010年,在加洛奇金从西普金改名之前,他参加了俄罗斯反对派政治运动“团结工会”(Solidarity)。他当选为该运动一个地区分支机构的政治委员会成员,并谈到了俄罗斯的腐败和审查问题,呼吁恢复民主,并对当时的总统德米特里?梅德韦杰夫(Dmitry Medvedev)领导下的官员进行调查。
棘手的起源
没有人知道Trickleaks的数据从何而来,也没有人声称对泄密事件负责。Cyjax的网络威胁情报分析师乔?里登(Joe Wrieden)表示:“考虑到他们能接触到的信息数量,要么是有人把自己嵌入得很好,要么是某个研究人员找到了某种方法,能深入侵入他们的基础设施。”里登编写了唯一一份有关Trickleaks的重要公开报告,并为《连线》杂志(WIRED)分析了本特利的信息。
Trickleaks公布的情报档案显示,这些被指控的团伙成员之间有许多相似之处。他们都是男人。许多人公开声称他们在科技行业工作。他们大多在俄罗斯,一些在莫斯科和圣彼得堡这样的大城市,另一些显然在小城镇。据称有一名成员住在白俄罗斯。所有在泄密文件中被指控的帮派成员年龄都在25到40岁之间——这可能使他们有资格应征参加俄罗斯在乌克兰的战争。
一个人似乎在WhatsApp上使用了俄罗斯联邦安全局(FSB)的标志作为头像,却在Facebook和Instagram上发布了宠物狗和自己烧烤的普通照片。里登说,编纂这些档案的人很可能将外部信息与该团伙自己系统的数据结合在一起,因为文件中的细节,如税号和就业历史,都不包括在泄露的聊天信息中。
虽然目前还不清楚是否所有泄密者都为Trickbot工作,但霍尔顿表示,许多细节与他之前看到的内容重叠。其中一些信息已在美国和英国政府发布的制裁中得到证实。例如,Trickleaks公布的名为Tropa的Trickbot成员的详细信息与制裁记录中列出的网络名、姓名、年龄和电子邮件相匹配。霍尔顿说,但也有一些不一致之处,包括在Trickleaks的数据中从未显示某些帮派成员在聊天,尽管其他研究表明他们可能有过密切接触。
《连线》杂志试图用Trickleaks文件中公布的电子邮件地址联系20名据称是Trickbot的成员。要求置评的问题包括,泄露的个人信息是否准确,以及这些人是否与Trickbot有联系。许多电子邮件地址已不再有效。还有一些似乎还在运作,但《连线》杂志没有收到他们的回复。
然而,《连线》杂志收到了四份回复。这些人否认他们与Trickbot有任何联系,大多数人说他们不知道他们的个人信息被发布在网上。一些人说他们是合法的科技工作者。有人问他是否是因为他是俄罗斯总统普京的支持者而成为攻击目标。另一个人说他是一名公交车司机。《连线》杂志试图通过电子邮件和WhatsApp向加罗奇金发送详细的问题,但没有收到回复。
德米特里?普列舍夫斯基(Dmitriy pleshevsky)否认自己是该组织的一员。普列舍夫斯基并未出现在Trickleaks的文件中,但由于他以Iseldor的名义加入了Trickbot,美国和英国政府都对他进行了制裁。在给《连线》杂志的邮件中,他表示,几年前,他曾以自由职业者的身份使用Iseldor帐号玩游戏和完成一些“编程任务”。普列舍夫斯基说:“对我来说,这些任务似乎并不违法,但也许这就是我参与这些攻击的原因。”
普列舍夫斯基表示,他已向美国外国资产控制办公室提出上诉,驳斥了对他的制裁,并分享了他声称已发送给OFAC的信息文本。“我只是因为某些人泄露的一些数据而被指控非法行为,”这条信息说。普列舍夫斯基称,他曾在一家总部设在英国的国际公司工作,由于制裁,他不得不辞职。他的上诉尚未得到回应。OFAC没有回应《连线》的置评请求。
糟糕的公司
在运行臭名昭著的Dyre银行木马的组织遭到破坏后,Trickbot于2016年成立。在早期,Trickbot专注于将现有的恶意软件货币化,但它很快就把目光投向了开发更灵活、更广泛的工具。其出名之处是一个适应性强的模块化恶意软件系统,该组织的开发人员可以通过该系统创建新功能,并随着时间的推移更换升级的组件。有了这种能力,恶意软件扩展到包括针对金融部门以外目标的诈骗模块,包括医院和其他医疗保健组织。调查人员经常将Trickbot标记为“巫师蜘蛛”(Wizard Spider)的一部分,这是一个包括孔蒂在内的伞形组织,因为明显的人员重叠和操作联系。
根据泄露的聊天记录,Trickbot的运作有点像一家合法公司,拥有管理结构和高层管理人员。工人有工资,有假期。员工们专注于开发勒索软件,寻找受害者,并发起攻击。管理者在员工的目标、最后期限和人际关系需求之间周旋。研究人员称,在Trickbot和Conti的掌门人中,斯特恩(Stern)是一位神秘的首席执行官,负责监督公司运营,每天从像加罗奇金这样的高级经理那里接收最新消息。“你好吗?”斯特恩在2020年9月问宾利。本特利对此表示失望,他说他在处理该组织加密工具的配置和设置时“不知所措”。
《连线》杂志采访的一些研究人员提供了将宾利手柄与加罗奇金联系起来的证据。其他人则关注本特利角色的行为及其在Trickbot和Conti操作背景下的作用。Trickleaks的数据本身就包含了关于伽罗奇金的细节,以及泄露的聊天记录中关于宾利角色日常活动的大量信息。
据研究网络犯罪集团的安全公司Recorded Future的威胁情报分析师亚历克斯·莱斯利(Alex Leslie)说,本特利是Trickbot的一名技术经理。Recorded Future并未公开网络犯罪分子的名字。莱斯利说,本特利的工作将是“确保Wizard Spider开发的任何恶意软件都能通过反病毒检查”。这意味着开发技术机制来隐藏恶意软件,即使它在受损设备上运行,并使其“击败大多数专有和企业安全解决方案”。尽管本特利监督着这个至关重要的项目,但研究人员表示,他自己不太可能编写太多代码。
为Trickbot恶意软件提供动力的实际工程工作是由开发人员完成的,他们被雇佣是因为他们的技术技能,而不是他们的犯罪知识。莱斯利指出,可以有意地将这些开发人员与团队更广泛的活动及其目的隔离开来。开发者Zulas就是一个例子,他是一名35岁左右的工程师。莱斯利指出,在聊天记录和其他材料中,祖拉斯有时似乎对Trickbot感到困惑,似乎认为他在一家数据分析公司工作。
莱斯利说:“他在聊天中使用个人和专业的电子邮件地址和Jabber账号,这在我看来可能意味着,他要么不在乎自己在网络犯罪组织中,要么不知道自己在网络犯罪组织中。”俄罗斯犯罪团伙有时会在合法的俄语求职板和招聘网站上发布技术职位广告,而Trickbot很可能就是通过这种方式招募祖拉人的。
即使在犯罪组织中,像本特利这样的经理也有典型的办公室职责。Recorded Future的莱斯利说,大约有21人向他汇报工作,这使他的技术团队成为Trickbot内部最大的团队之一。宾利与斯特恩就薪酬问题进行协调,与其他经理合作,处理团队内部的纠纷。莱斯利说:“他是Trickbot整个技术部门的冲突解决经理。“他的日常工作主要是行政工作。”根据里登的分析,Trickleaks的日志显示,宾利向该组织的其他成员发送了数万条信息,其中包括向斯特恩发送的3000多条信息。
加密货币追踪公司chainanalysis研究了俄罗斯网络犯罪生态系统中数字资金的流动,包括Trickbot成员之间的流动。Chainalysis的网络威胁情报主管杰基·伯恩斯·科文(Jackie Burns Koven)表示,该公司还没有看到与宾利角色相关的加密货币钱包收到勒索软件付款。这表明他没有直接参与部署勒索软件。和Recorded Future一样,Chainalysis也不会公开网络犯罪分子的名字
但Chainalysis的研究人员确实发现了证据,表明宾利在现已关闭的Hydra俄语暗网市场上有一个账户,并进行了多次存款,据伯恩斯·柯文(Burns Koven)说,这些存款“可能用于购买黑客工具”。她指出,在Trickleaks的谈话中,至少有一次显示宾利被要求从地下供应商那里购买被盗的软件开发工具。追踪Bentley的数字交易还可以说明他与其他Trickbot和Conti成员(包括Stern)的互动和合作。
研究人员说,就像宾利一样,加罗奇金在为网络犯罪团伙工作方面似乎很成功,该团伙近年来勒索了数亿美元。公开记录还将他与四家俄罗斯企业联系起来,他在这些企业中担任创始人或公司董事。所有这些公司都销售电脑和其他通信设备,但Nisos的研究人员发现,没有一家公司仍在运作。瓦索维奇说,其中一家公司似乎一直在为俄罗斯当地政府服务进行“数字化转型”。俄罗斯联邦法务署网站显示,加罗奇金的原名西普金(Sipkin)欠下了一笔与银行贷款有关的54.7545万卢布(约合6700美元)的债务。
克里姆林宫的关系
Trickbot和Conti的泄密事件震动了勒索软件行业。2022年6月,在袭击哥斯达黎加后,康提勒索软件组织的成员解散了。今年2月,英国和美国政府制裁了7名涉嫌参与Trickbot的人。
其中一个被制裁的人是维塔利·尼古拉耶维奇·科瓦列夫,他令人困惑地使用“本”和“宾利”两个网名。除了制裁,美国还公布了2012年的一份起诉书,指控科瓦列夫在2009年至2010年期间进行银行欺诈。多个消息来源告诉《连线》杂志,科瓦列夫使用宾利手柄与他们认为加罗奇金使用相同的绰号无关。
虽然像Trickbot这样的网络犯罪组织的目标是高效和专业化,但两个使用相同网名的人,甚至相隔几年,说明了这些组织内部的混乱和流动性。随着俄罗斯网络犯罪团伙为逃避国际执法而发生冲突或解散,同样熟悉的面孔经常在新组织的旗帜下出现新的组合。
追踪Trickbot成员的真实身份和关系也凸显了该团伙在俄罗斯蓬勃发展的网络犯罪领域的突出地位。英国国家犯罪局(National Crime Agency)网络情报主管威尔?莱恩(Will Lyne)表示:“我们知道,勒索软件攻击者重视自己的匿名性,因此通过制裁指认暴露他们的身份,会影响他们在网络犯罪生态系统中的声誉和关系。”国家犯罪局相当于英国的联邦调查局(FBI)。莱恩表示,对Trickbot成员的制裁使他们受到更严格的审查,并阻止他们进入英国、美国和全球金融体系。
FBI拒绝对Trickleaks或Trickbot最近的活动发表评论。一位不愿透露姓名的美国网络安全和基础设施安全局官员表示,自2021年8月以来,该局一直在向“国际合作伙伴”发出有关Trickbot恶意软件的警报,并在过去一年中发出了55次警报。
莱恩说:“在过去的12到18个月里,我们看到网络犯罪生态系统中的权力发生了转移,从控制勒索软件背后恶意软件的勒索软件运营商转移到附属机构。”“这导致一些分支机构更加松散地同时使用多种勒索软件变体。”
微软负责客户安全和信任的公司副总裁汤姆·伯特(Tom Burt)在2020年10月写道,“研究表明,它们既为民族国家服务,也为犯罪网络服务。”
数字犯罪集团在全球范围内运作,由于执法不严,犯罪分子常常利用这一点在不同地区发展特定类型的骗局。在俄罗斯,克里姆林宫基本上允许勒索软件攻击者和其他网络犯罪组织不受惩罚——只要他们不伤害俄罗斯目标。在全球执法界争相应对备受瞩目的勒索软件攻击之际,俄罗斯网络犯罪集团与政府的联系有多紧密的问题变得越来越重要。
2022年1月,在针对美国和英国目标的一系列特别无情的攻击中,俄罗斯执法部门逮捕了十多名勒索软件团伙REvil的涉嫌成员,尽管据报道这些嫌疑人只被指控伪造信用卡。这一执法行动是一个孤立的事件,似乎进一步强调了俄罗斯政府在管理光学系统并最终保护其犯罪黑客方面的既得利益。
今年4月,在旧金山举行的RSA安全会议上,美国国家安全局(nsa)网络安全主管罗布?乔伊斯(Rob Joyce)在谈到俄罗斯对乌克兰的战争时表示,犯罪分子和“黑客主义”攻击者是克里姆林宫的“天然资源”。他还说,俄罗斯情报部门“能够维持关系,并利用俄罗斯政府的所有强制力量”,这种关系“相当令人不安”。
随着乌克兰战争的拖延,俄罗斯无法取得突破,这对普京政权来说既尴尬又不稳定。但研究人员表示,俄罗斯在地缘政治上越是孤立,网络犯罪分子和俄罗斯情报机构之间的关系就越有可能持续下去,甚至加深。
“俄罗斯的犯罪问题不会消失。事实上,现在它与安全部门的关系可能比以往任何时候都要密切,”Mandiant Intelligence的谷歌云首席分析师约翰?胡尔特奎斯特表示。“他们实际上在进行攻击,做一些有利于安全部门的事情,所以安全部门完全有兴趣保护他们。”
分析人士一再得出结论,在俄罗斯工作的网络犯罪分子与克里姆林宫有联系。这些联系已经变得越来越明显。今年2月,当英国和美国制裁Trickbot和Conti成员时,两国都表示这些成员与“俄罗斯情报机构”有关。他们还说,他们的一些行动“很可能”是由俄罗斯政府指挥的,犯罪分子至少是根据“俄罗斯情报机构之前的目标”选择了一些受害者。
Trickleaks数据中包含的聊天记录为了解这些连接的本质提供了难得的机会。2021年,两名被指控为Trickbot成员的Alla Witte和Vladimir Dunaev出现在美国法院,被控犯有网络犯罪。根据Nisos的分析,在2021年11月,Trickleaks的聊天记录显示,当他们自己的加密货币钱包无法访问时,成员们担心自己的安全,并感到恐慌。但一个化名为“银”的人——据称是Trickbot的资深成员——给了我安慰。他们说,虽然俄罗斯内务部(Russian Ministry of Internal Affairs)“反对”他们,但情报机构“要么支持我们,要么保持中立”。他们补充说:“老板有正确的关系。”
根据Nisos的分析,同一个月,与加罗奇金有关的曼纽尔账号说,他认为Trickbot的头目斯特恩“自2000年以来”就参与了网络犯罪。另一位名叫安吉洛(Angelo)的成员回应称,斯特恩是“我们和FSB部门主管之间的纽带”。此前的康迪泄密事件也表明了与俄罗斯情报和安全部门的一些联系。
一切如常
尽管全球都在通过制裁和起诉来破坏俄罗斯的网络犯罪活动,但像Trickbot这样的团伙仍在蓬勃发展。IBM X-Force安全部门高级分析师奥勒?维拉森表示:“变化并不像看上去那么大。”他指出,许多Trickbot和Conti成员仍然活跃,继续相互交流,并使用共享的基础设施发动攻击。该组织的派系“继续在幕后合作,”维拉森说。
Chainalysis的伯恩斯·柯文(Burns Koven)表示,该公司在其加密货币钱包数据中也看到了同样的长期关系。她说:“自从孔蒂移民以来,我们仍然可以看到守旧势力之间的经济联系。”“仍然存在一些共生关系。”
在不同的司法管辖区和一系列地缘政治条件下,遏制网络犯罪是困难的。但是,即使在俄罗斯的影响力有限——西方执法部门几乎没有机会逮捕个人,更不用说引渡他们了——指认和羞辱网络罪犯的努力也能产生影响。长期从事Trickbot研究的霍尔顿说,Trickbot成员对被揭开面具的反应不一。霍尔顿说:“他们中的一些人已经退休了,一些人改变了他们的昵称——一些人基本上不在乎,因为社区没有受到重大影响。”但是,他补充说,暴露人们的身份可能意味着他们在社区中“变得不受欢迎”。
Cybernite Intelligence首席执行官瓦索维奇说,当Trickleaks账号第一次在Twitter上发帖时,他也发布了加罗奇金的照片,以暴露他的身份。和其他网络安全研究人员一起,瓦索维奇在披露信息后收到了暴力威胁和网络骚扰。他与《连线》杂志分享的电子邮件和私人聊天信息似乎显示了一个不知名的人,他声称为多个不知名的网络犯罪组织工作,不仅威胁Vasovic,还威胁他的家人。
“他们试图制造恐惧。如果成功了,那就成功了。如果没有,那就没有,”瓦索维奇说。事实上,发出威胁的人向Vasovic声称,他们已经被起诉,不能再带他们的妻子和女儿到海外度假。该人士还称,在被释放之前,他们曾被俄罗斯调查人员专门就Trickbot问题审问了两个小时。然而,这个人似乎仍然感到安全,因为他们可以在俄罗斯境内威胁瓦索维奇而不受惩罚。“没有人会被派到美国去,”他们吹嘘道。“这里没有风险。”
