一、小白剧场
小白:东哥,我刚看了一条关于网络安全的新闻,现在的病毒真的太狡猾了!
大东:病毒是很狡猾,但是如果用在正义的地方,会有意想不到的效果。
小白:喔?东哥是有故事讲给我听呀!
大东:哈哈,你没看新闻吗?2021年6月初,从北美到亚洲,从欧洲到澳洲,世界范围内的众多黑帮集体发出了哀嚎呢!
小白:黑帮集体受到攻击了吗?
大东:是的,不过是特殊的“攻击”。而且这个集体包括长期从事毒品犯罪的各路黑帮头子,涉毒的名人明星,他们都在最近一段时间纷纷落网。
小白:狡猾的病毒竟然立功啦!?
大东:小白别急,听我细说这起事件。
小白:好,我太感兴趣啦!
二、话说事件
大东:就在2021年6月初,超过100个有组织犯罪集团,200多名犯罪嫌疑人在差不多同一时间内遭到逮捕和指控。
小白:东哥,竟然同一时间这么多集团落网吗?
大东:如此众多毒圈大佬集体被抓肯定绝非偶然,这是FBI联合澳大利亚联邦警察精心谋划布置了三年的扫毒行动。
小白:我就说嘛!不过警察是怎样做到的呢?
大东:这事儿,让我从头说起。2017年前后,澳大利亚的贩毒圈里开始逐渐兴起一款APP,这款APP名为AN0M,乍一看,它像是一款保密性极高的社交工具。
小白:是呀,听起来像一个社交APP呢!
大东:但是AN0M剔除了打电话和发信息等“多余”功能,只留下三项(贩毒)必须的功能:发私信,自动变声,录视频。
小白:那简直是为毒贩们量身定制的呀!
大东:最重要的是,AN0M不是谁都可以注册可以用的,必须通过已经在使用它的毒品圈大佬发送邀请码,新用户才能获得准入。
AN0M邀请码输入(图片来自网络)
小白:这样来看,这款APP的可信赖性和保密性更高了。
大东:是的,用户注册登陆也不需要实名,全都是代号,用户们相互之间用私信沟通,保密性非常高。毒贩们用AN0M敲定买卖后,AN0M还贴心地提供了比特币支付功能,让交易无法从账目上追踪。对于常年提心吊胆的大毒贩来说,没有比这更贴心,更懂“用户体验”的APP了。
小白:怪不得AN0M在毒圈扩散的速度如此之快,仅仅三年就有数百个集团落网。
大东:但是AN0M其实是美国FBI联合澳洲联邦警察研发的一款“特洛伊木马”式APP,就是让它打入毒圈,方便警方从后台窃取和监控到毒贩们的犯罪数据。
小白:特洛伊木马这次立功了!如此机智的想法是谁提出来的呢?
大东:这个主意最早是FBI提出来的,澳洲警方提供了技术支持。在AN0M研发出来以后,FBI和澳洲警方通过一系列操作,将它转卖到了黑市上。
小白:真是潜入其中呀!但AN0M 上不是实名制,警方是如何追踪毒贩们的踪迹的呢?
大东:警方能根据犯罪集团发出的信息内容以及信号,想方设法定位到位置,从而进行锁定。
小白:真的是一个大工程呀!
大东:值得一提的是,AN0M得以在贩毒圈大力扩散,土耳其黑帮大佬Hakan Ayik功不可没。Ayik对AN0M爱得深沉,不仅自己一直在使用,还大力推荐给生意伙伴和同行。
小白:哈哈,这对于警方可是帮大忙啦!
大东:他和众多毒圈名人一样,以为自己购买毒品的行为一直神不知鬼不觉,被这款加密APP保密得好好的。
小白:其实早就被警方们监控着一举一动了。
大东:这一场“特洛伊木马APP”扫毒行动成果丰硕,不仅端掉了100多个大型毒品犯罪集团,捉拿了200多名毒贩和涉毒人员。澳洲方面还缴获了3.7吨毒品,100多件武器,挫败了21项暗杀计划,还救了一个差点被毒贩计划灭门的五口之家。
小白:谁又能想到,一场横跨全球的扫毒大风暴,竟然是警方做出了一款让毒贩爱不释手的APP后促成的呢?
三、大话始末
大东:其实在2018年,美国FBI与澳大利亚警方就联合查封了加密聊天平台 Phantom Secure ,并通过在控制平台期间抓捕了大量犯罪分子。
小白:之前的行动给了警方们启发吧!
大东:是的,2018年的行动让FBI产生了新的想法,为何不自己运营一个加密聊天平台进行钓鱼执法呢?因此一个名为 Ironside 的钓鱼执法行动正式执行开启。
小白:法网恢恢,疏而不漏呀!由于查封了前一个加密聊天平台,很多犯罪分子必然会转移到一个新的平台!
AN0M官方平台(图片来自网络)
大东:AN0M除了单独发行聊天软件外,有一项服务是一台主打安全性的智能手机,该手机不会运行除 AN0M之外的其它任何应用程序。
小白:那真的是毒贩们的“私人定制”了!
大东:通过查阅诉讼书,发现自2018年10月起AN0M内部人员提供了对 FBI 的访问权限,并建立了一个中转机制,使其能够向FBI发送所有消息的副本。
小白:这样警方就可以监控犯罪集体的一举一动了。
大东:诉讼书还称,所有位于美国境外的 AN0M设备都配置为将所有消息发送到第三方XMPP机器人,机器人将解密消息,然后使用由FBI管理的加密密钥重新加密它们。这种设计使FBI能够拦截帮派成员相互发送的消息和解密文本。
小白:消息和文本的保密性极强呢。
AN0M运行原理(图片来自网络)
大东:FBI最初依靠卧底特工来推广AN0M设备,但随着执法机构关闭EncroChat和 Sky ECC等加密聊天竞争平台 ,犯罪团伙开始慢慢转向AN0M平台。
小白:真是多方面促成的这个大行动呀。
大东:没错,截止收网有300多个犯罪集团,大约12000个加密设备被100多个国家1.1万多名慌不择路的不法分子使用。最终,调查人员将Ironside的运营,描述为史上规模最大的诱捕行动之一。
四、小白内心说
小白:东哥,实在是太厉害了,木马病毒还能这样使用!
大东:这是在警察手中运用的特洛伊木马,作为各种软件的普通用户,在日常使用中,要提防各种病毒的入侵呀。
小白:特洛伊木马是一个怎样的木马呢?
大东:特洛伊木马(Trojan Horse)是指寄宿在计算机里的一种非授权的远程控制程序。能够在计算机管理员未发觉的情况下开放系统权限、泄漏用户信息、甚至窃取整个计算机管理使用权限,使得它成为了黑客们最为常用的工具之一。
小白:那被黑客利用是很危险的事情呢!
大东:没错,特洛伊木马是一种非常典型的网络病毒。它以隐蔽的方式进入到目标机器,对目标机器中的私密信息进行收集和破坏,再通过互联网,把收集到的私密信息反馈给攻击者,从而实现其目的的一种新型病毒。
危险的特洛伊木马(图片来自网络)
小白:东哥,特洛伊木马的运行原理是怎样的呢?
大东:特洛伊木马的过程大致分两步。首先,把木马的服务器端程序通过网络远程植入受控机器,然后通过安装程序或者启动机制使木马程序在受控的机器内运行。一旦木马成功植入,就形成了基于C/S结构的控制架构体系,服务端程序位于受控机器端,客户端程序位于控制机器端。
小白:那对于我们用户大众来说真的太危险啦!
大东:没错,特洛伊木马具有隐蔽性、自动运行性、欺骗性、顽固性、易植入性等多种特性。可以看出其非常强调隐蔽能力和感染能力,而且已经将蠕虫病毒的技术吸收了进来。
小白:东哥可以给我们一些防范这类木马的建议吗?
大东:首先,我们一定不要执行来历不明的软件。大部分木马病毒都是通过绑定在其他的软件中来实现传播的,一旦运行了该软件就会被除数感染。因此,一般推荐去一些信誉较高的站点下载应用软件,并且在安装软件之前一定要用反病毒软件检查一下,确定无毒后再使用。
小白:是的,可执行文件中很有可能隐藏这木马的脚本。
大东:其次,不随便打开邮件附件。绝大部分木马病毒都是通过邮件来传递,而且有的还会连环扩散,因此对邮件附件的运行尤其需要注意。
小白:没错,很多都是借用比较热门的主题来对用户进行欺骗点击。
大东:此外,要实时监控。运用已有的木马查杀工具进行实时监控是最好的途径,同时也需要不断升级更新木马程序及杀毒软件,并安装防火墙等软件工具,让自己计算机做到相对高的安全性。
小白:东哥的建议真是面面俱到,一定会牢牢记住的!
参考资料:
1. 毒贩大佬亲自代言的加密APP,竟是警方做的?这场"钓鱼缉毒"简直能拍电影了!
https://mp.weixin.qq.com/s/Dyl3VP5d9ljdFhW4XMfevA
2. FBI搭建An0m加密聊天蜜罐平台 多国执法机构3年后顺利收网
https://i.ifeng.com/c/86uVLn9su8m
3. 国际钓鱼执法行动收网:通过加密聊天平台截获通讯信息
https://baijiahao.baidu.com/s?id=1702062196413149590&wfr=spider&for=pc
4. 世界各地大量犯罪人员被诱骗使用由FBI运营的APP,导致纷纷被捕 https://baijiahao.baidu.com/s?id=1702070156251387890&wfr=spider&for=pc
5. 特洛伊木马(计算机木马程序)百度百科
https://baike.baidu.com/item/%E7%89%B9%E6%B4%9B%E4%BC%8A%E6%9C%A8%E9%A9%AC/7262070?fr=aladdin
来源:中国科学院信息工程研究所