僵尸网络在微软的选举安全系统崩溃后反击

微软公司在对全球最多产的恶意软件组织之一发起全球性攻击一周后，该公司表示，它正在赢得一场正在进行的斗争，以在美国总统大选之前暂时破坏恶意僵尸网络的稳定。

当微软及其合作伙伴联盟攻击支持流行的Trickbot恶意软件的基础架构时，他们确定了托管全球僵尸网络的69台服务器和路由器。截至10月18日，他们已经破坏了其中的62台。僵尸网络是感染了恶意软件的计算机的网络。

作为回应，Microsoft观察到Trickbot的运营商试图添加59台新服务器以挽救其僵尸网络。但是，据微软称，这些也被微软团队在采用后的数小时内成功渗透了进来。

另请阅读：Verizon签约Microsoft，诺基亚，以帮助客户建立专用5G网络

微软官员说，他们总共“拆掉”了这128个系统中的120个。

微软的声明说：“正如我们预期的那样，操作Trickbot的犯罪分子争先恐后地更换了我们最初禁用的基础设施。”“我们完全希望Trickbot的运营商将继续寻找保持运营的方法。我们所看到的表明，Trickbot的主要重点是建立新的基础架构，而不是发起新的攻击。”

微软及其合作伙伴在赢得法院命令以破坏Trickbot之后，于10月9日开始了攻击。Trickbot以感染和窃取大量数据而著称，然后使受害者遭受勒索软件攻击。网络攻击者使用勒索软件将用户锁定在自己的计算机之外，同时要求付费以换取重新获得访问权限的密钥。根据国土安全部下属的美国网络安全和基础设施安全局的说法，在11月3日总统大选之前的几天里，勒索软件的威胁仍然是对投票系统的可靠网络安全威胁。

在不到一周的时间里，微软的运营取得了成果。

信息安全调查公司Hold Security LLC的创始人Alex Holden说，攻击开始时，Trickbot的系统包括“成千上万”的活动受害者，此后已减少到“仅200多”。但是，Trickbot的运营商仍然拥有过去五年来从其数百万名受害者中盗取的登录凭据。他说，如果这些凭证包括访问州和地方政府的权限，则仍可以用来执行与选举有关的破坏性勒索软件攻击。

Holden说：“僵尸网络已关闭，但并没有消失。” Holden专门研究复杂的恶意软件系统。“这还没有完成任务。”

另请阅读：黑客假冒电子邮件是微软最多的假冒行为

除了激活现有凭据外，Trickbot还可能试图通过从其他僵尸网络运营商那里租用空间来挽救其恶意网络。霍顿说，这可能需要数周或数月。

微软负责客户安全与信任的公司副总裁汤姆·伯特(Tom Burt)表示，扼杀Trickbot直到获得美国选举下一任总统之前，这将是一次胜利。他说，彻底摆脱僵尸网络是一项艰巨的任务，需要全球联盟的支持。他说，这包括全球互联网服务提供商和服务器主机的持续支持，包括美国，德国，韩国，印度尼西亚，吉尔吉斯斯坦，巴西和柬埔寨。

在微软宣布攻击之后的几天里，诸如Proofpoint Inc.的网络研究人员和英特尔471等怀疑论者质疑微软成功实施持续攻击的能力。Proofpoint威胁研究与检测高级总监Sherrod DeGrippo说：“通常，这些类型的行为不会直接减少威胁活动。”

英特尔471发现Trickbot早在10月15日就回来了。但是，微软的早期努力减轻了这种怀疑。

英特尔471首席执行官马克·阿雷纳(Mark Arena)说：“如果您不能逮捕它们，那么破坏是下一件好事。但是这些家伙可以并且一直在增加新服务器。最终的取消要求很多，但是如果Trickbot操作员忙于修复基础结构，那么也许他们可以一直坚持到选举。”