DanaBot僵尸网络即将被摧毁。幕后黑手曝光

近日，美国司法部（US Department of Justice）对16名涉嫌传播和使用DanaBot远程控制恶意软件的个人提起了公诉。这款恶意软件已感染超过30万台计算机，并运营着一个庞大的同名僵尸网络。随着调查的深入，这一网络犯罪团伙的运作细节逐渐浮出水面，美国司法部似乎正准备彻底关闭该僵尸网络的运营。

起诉书揭露：16名嫌疑人身份曝光，均藏匿于大鹅（仅代表外媒说法）
这份起诉书最初于2022年提交，详细列出了DanaBot运营背后的所谓负责人，包括开发人员、管理员、营销人员、代销商经理、客户支持代表、硬件经理以及部分用户。值得注意的是，所有被指控的个体均位于俄罗斯，且目前仍在逃。

DanaBot的双重变体：恶意软件即服务与间谍活动
DanaBot恶意软件存在两种变体。其中一种变体通过暗网以“恶意软件即服务”（Malware-as-a-Service, MaaS）的方式出租，每月租金高达1000美元，甚至提供高达4000美元的豪华套餐，包括恶意软件本身、支持软件、API、测试引擎以及现场技术支持。出租该变种的诈骗者通过发送垃圾邮件，诱骗受害者运行恶意代码。一旦计算机被感染，软件便会利用键盘记录器窃取登录凭证，截取屏幕截图，并拦截网络流量，以便操作者能够突袭受害者的在线银行账户和加密钱包。该恶意软件通过Tor网络的多层命令和控制服务器进行通信，增加了追踪和打击的难度。

而另一种变体则不提供租赁服务，而是专注于间谍活动。这种变体类似于银行版，记录受害者的击键操作，并对受感染用户的桌面进行截屏和录像。DanaBot的操控者将这一变体瞄准了军队、外交使团和政府机构等敏感目标，进行有针对性的间谍活动。

幕后黑手与大鹅政府的关联猜测
据世卫组织Cymru小组威胁研究经理乔希·霍普金斯（Josh Hopkins）透露，DanaBot的操作者很可能在俄罗斯境内活动。他指出：“线索就在这些演员的基地，以及俄罗斯犯罪和政治世界交织的方式。你知道他们在政府的庇护下运作，甚至可能受到情报机构的监视。还有什么比试图掩盖其真实目的，将其伪装成普通犯罪更好的方式来进行更有针对性的间谍活动呢？”

银行损失惨重，全球感染数量惊人
根据美国联邦调查局（FBI）特别探员埃利奥特·彼得森（Elliott Peterson）的声明，多家银行因DanaBot感染而遭受了数百万美元的损失。联邦政府估计，该恶意软件的银行变种已感染了全球30多万台电脑，被盗总额可能超过5000万美元。

全球执法行动：打击网络犯罪生态系统的关键一步
FBI安克雷奇办事处的特别探员丽贝卡·戴（Rebecca Day）表示：“今天的声明代表着美国联邦调查局在持续努力破坏和摧毁对全球数字安全造成严重破坏的网络犯罪生态系统方面向前迈出了重要一步。”

去年，来自欧洲、英国和美国的警察联合发起了“残局行动”（Operation Endgame），旨在瓦解恶意软件僵尸网络。这一行动取得了一定的成功，而DanaBot的起诉则是“残局二号行动”的一部分。据运营网站透露，随着倒计时的临近，网络上可能会发生一些重大事件，甚至可能波及到部分运营商。

现状与挑战：DanaBot服务器数量锐减，但挑战犹存
霍普金斯暗示了随着倒计时接近尾声可能发生的情况。他表示：“在任何特定的一天，我们都会看到超过30台左右的（DanaBot）服务器，有时甚至更多。但当我们昨天查看时，只有6台服务器处于活动状态，而今天更是减少到了2台。不过，我们今天看到的两台服务器是由阿里巴巴托管的，因此拆除这些服务器可能会面临一些挑战。但总体来说，其他事情都已经得到了妥善处理。”