当俄罗斯在2月入侵乌克兰时,一个名为Conti的臭名昭著的网络犯罪集团宣布“全力支持”总统弗拉基米尔·普京(Vladimir Putin)。三天后,Conti的一名亲乌克兰成员泄露了日志,详细说明了该组织的后续行动计划,称Conti的领导人“已经失去了所有的狗屎”。
这些日志揭示了世界上最大的网络犯罪集团之一的演变的一个惊人的新维度:这些集团正在沿着地缘政治路线分裂——民族主义议程正在渗透到一个网络犯罪活动中,直到现在,这个活动一直是无情的以利益驱动。
这使得所谓的暗网市场的阴暗世界——犯罪分子在这里交易计算机黑客工具、窃取的数据、毒品和洗钱服务——变得更加危险和难以控制。网络犯罪集团正在放弃管理这些市场的规则,并利用他们在这些平台上交易的恶意软件来攻击与他们认为是敌人的国家的关键基础设施和政府服务有关的更敏感的计算系统。
网络安全技术公司CrowdStrike负责情报的高级副总裁亚当迈耶斯(Adam Meyers)说:“有一种意识形态的网络行动,发生在我称之为自愿参与者之间。我们看到进攻性网络行动向越来越多的民族国家扩散。”
9月,谷歌和IBM的研究人员注意到了同样的动态。Conti的黑客工具被用于针对乌克兰的网络攻击,研究人员称之为“前所未有的模糊界限”。
在暗网上,这种新环境的出现,部分归功于执法的成功。4月,德国当局关闭了Hydra——当时世界上最古老、最大的暗网市场,也是Conti买卖数据和黑客工具的地方之一,根据日志显示。
像Conti这样的集团一直是相对不依赖平台的,愿意跳到下一个大平台并继续他们的业务。当FBI于2013年10月关闭世界上第一个现代暗网市场丝绸之路(Silk Road)时,这为AlphaBay铺平了道路,这个暗网市场的规模比其前身大10倍。
但当Hydra消失后,它的前任管理者迅速用多个新的、较小的暗网市场和论坛填补了这一空白,为网络威胁情报公司Flashpoint的高级分析师András Tóth-Czifra所说的俄语暗网的”市场之战“创造了条件。
而这些市场不仅与法律有冲突,而且彼此之间存在意识形态上的冲突,以亲克里姆林宫和亲乌克兰的路线划分。
华盛顿担心这些团体,但也在努力寻找解决办法。
众议院国家安全、国际发展和货币政策小组委员会主席、众议员吉姆·海姆斯(Jim Himes)表示,利用暗网的犯罪分子特别危险,因为他们需要相对较少的资源来入侵和破坏美国的大规模计算系统。
“这是最终的不对称威胁,”海姆斯说。
他说,当我们谈论技术复杂的暗网世界时,监管尤其困难。
“每个人都了解桥梁,对吧?没有人了解门罗币(Monero),”海姆斯说,他指的是难以追踪的加密货币,这种货币正在成为暗网市场的默认货币。
而警察和执法机构也仍在追赶,在技术和外交方面存在重大障碍,阻碍了打击大规模、分散的网络犯罪活动的努力。
与此同时,这些平台上的网络犯罪分子也在不断提高操作安全性。许多较新的市场已强制使用Monero,并越来越多地使用加密通信工具。
网络犯罪的地缘政治
Conti泄密事件只是Hydra垮台后这些团伙在新市场上的第一次政治对峙。
8月,直言不讳的亲克里姆林宫黑客活动组织Killnet攻击了一个名为RuTor的亲乌克兰暗网讨论论坛,声称它是由乌克兰特勤局特工运营的。
Flashpoint的Tóth-Czifra说,到目前为止,这种行为在网络犯罪黑社会中几乎是被禁止的——攻击一个隶属于前苏联国家的暗网行为者。例如,Alphabay的指导方针称该平台禁止针对俄罗斯、白俄罗斯、哈萨克斯坦、亚美尼亚或吉尔吉斯斯坦的任何活动。
这在一定程度上是因为保持暗网市场的运行总是有一定的政治意义,而这通常涉及与执法不严的政府友好相处。
“俄罗斯和其他一些国家所做的是睁一只眼闭一只眼,”海姆斯说,他将Conti这样的团伙描述为政府允许其运作的“准国家行为者”,因为他们对敌对国家的攻击满足了这些政府的政治目标。
在俄罗斯入侵乌克兰之前,美国和俄罗斯之间至少有过一些解决跨国网络犯罪的提议。2021年7月,美国总统拜登(Joe Biden)与普京通了一次电话,试图说服他打击设在俄罗斯的黑客组织。尽管拜登威胁要采取“任何必要的行动”来保护美国的关键基础设施,但他还表示,两国已就此问题建立沟通渠道。
但俄罗斯特工最后一次在暗网执法行动中甚至名义上与他们的美国同行合作是在4月——在Hydra被逮捕10天后,在乌克兰遭受入侵后不到两个月。俄罗斯当局以大规模贩毒罪名逮捕了德米特里·巴甫洛夫。巴甫洛夫承认作为中介提供服务器出租,但否认直接参与该网站的管理。
与此同时,利用这些市场的犯罪团伙变得更加肆无忌惮,利用他们在平台上购买的黑客工具对更大的目标进行网络攻击,从而使政府陷入困境。
到2017年,CrowdStrike的迈耶斯(Meyers)看到了“我们称之为大型游戏狩猎或企业勒索软件”的出现——指的是黑客用来阻止对计算机系统的访问,直到他们获得赎金。这些网络犯罪分子已经意识到,如果他们的目标离线几个小时的成本很高,或者如果泄露的数据特别敏感,他们的赎金要求就会得到更好的满足。“这确实是他们正在寻找的最佳方法。”迈耶斯说。
Flashbpoint的Tóth-Czifra表示,这些较高知名度的攻击意味着他们也不太担心政府会来找他们。
“我们认为,由于害怕报复,他们不会将关键基础设施或工业系统作为目标。然后Colonial Pipeline发生了,”他说,指的是2021年5月东欧组织DarkSide对东海岸一条主要燃料管道发动的网络攻击,迫使该公司停止运营六天。但DarkSide表示这次袭击不是政治性的。
监管和执法的问题
在Hydra倒下的那天,美国财政部长珍妮特耶伦向该平台的用户发出了不祥的警告。“你不能躲在暗网或他们的论坛上,你也不能躲在俄罗斯或世界其他任何地方,”耶伦说。“在与德国和爱沙尼亚等盟友和伙伴的协调下,我们将继续破坏这些网络。”
然而,到目前为止,Hydra的大多数网络犯罪用户群(供应商、买家和管理员)都逃脱了起诉。
批评人士说,这是因为执法部门适应缓慢,机构之间和政府之间的协调充其量也是零散的。
在美国国内,联邦机构尚未确定一项统一的战略来应对暗网上的网络犯罪活动——即使是非法毒品,执法部门重点关注的领域之一。
这是因为在加密货币主导的世界中,“追踪金钱”的传统方法越来越难。
自2015年以来,前DEA探员Elizabeth Bisbee一直在推动联邦执法部门学习如何在毒品调查中监控加密货币交易——这些市场的主要支付方式之一。
Bisbee现在是私营区块链分析公司Chainalysis的美国调查负责人,她表示,在她任职DEA期间,内部倡导在DEA的调查中提供更多的网络支持“遇到了犹豫”。
她说,在传统的执法环境中,数字支付和加密货币等概念仍然陌生。Bisbee回忆起她经常从努力适应的执法人员那里听到的说法:“我们管理电话号码,我们在街上进行监视。你的意思是,我们现在必须在计算机上进行监控?那有什么意思?”
调查人员有时会依靠传统技术,例如在个别暗网市场供应商试图兑现其加密货币收益时,分析他们的电话记录。
但这有其缺点。使用传统调查技术追踪单个供应商需要花费大量时间。Hydra在其服务器被没收时拥有19000多家活跃供应商。
由于技术挑战和这些调查的跨辖区性质,协调跨国执法行动以打击暗网上的网络犯罪活动可能需要数年时间。Hydra在其服务器被查封之前不受约束地运行了七年。
近年来取得了进展。在美国,DEA制定了多项举措来应对在线毒品交易,包括2018年成立的联合犯罪阿片类药物暗网执法小组。同年,美国司法部领导了一个多机构团队,摧毁了一个出售儿童色情制品的庞大暗网市场。在国际方面,经过美国司法部和国务院近四年的谈判,美国于5月签署了打击网络犯罪的国际执法合作协议。
但全球网络犯罪网络也升级了其游戏规则。
除了使用Monero等加密货币和更强大的加密技术之外,新的暗网市场正在转向内置的加密货币“混合器”,通过掩盖付款的来源来增加用户的匿名性。
缺乏监管继续帮助暗网市场的交易。世界各地对加密货币的监管差异很大,这意味着只要有一个国家进行打击,市场就可以转移到一个新的国家。美国于2022年8月对其中一个加密货币混合器——Tornado Cash的制裁所引起的反弹,凸显了监管支持用户匿名的技术是多么困难。
当联邦监管机构对如何监管区块链感到困惑时,Monero在8月宣布了加密升级,以提高用户匿名性。
适应变化的环境
因此,最新一代的暗网市场是庞大的网络犯罪企业,他们从前辈的操作安全错误中吸取了教训,具有阴暗的民族主义动机。
而且他们只会变得更加活跃。仅在2022年上半年,全球就报告了超过2.36亿次勒索软件攻击。
前FBI网络调查员Keith Mularski说:“你必须明白,你是一个目标,无论是来自有组织的网络犯罪集团、勒索软件,还是来自试图窃取你的知识产权的民族国家。”
随着这些团体动机的改变,打击他们的方法也可能必须改变。
Mularski说,归根结底,解决这些隐蔽的网络威胁的关键是了解“键盘末端的人”。