美国FBI如何反击全球网络攻击

抛开美国这个“世界警察”和“双标王国”的标签，美国在网络安全领域的一些探索还是值得我们了解的，我们一起跟着IBM的专家迈克·埃尔根，看看他眼里的FBI与我们眼里的FBI的区别。我们或者停留在美国大片里的FBI，在网络安全领域到底有多少建树？在遵循规则的基础上，其实美国FBI还是能做点人事的。

当然，美国佬自认为在全球范围内打击恶意网络攻击的斗争中，没有比联邦调查局 (FBI) 更重要的组织了。近年来的事实证明，该局仍然有一些惊喜。

5月初，美国司法部宣布结束一项名为“MEDUSA”的美国政府行动，破坏了受名为“Snake”的恶意软件危害的全球计算机点对点网络。

据老美的媒体声称，Snake 恶意软件归属于俄罗斯政府安全局下属的一个名为 Turla 的部门，它运行了近 20 年，窃取了至少 50 个国家的政府、记者和其他人的文件，并通过美国受感染的计算机“清洗”这些数据。作为广泛、持续的网络间谍活动的一部分。

为了促进美杜莎行动的成功，联邦调查局创建了珀尔修斯。该工具导致 Snake 恶意软件覆盖其自身的组件，从而使自身陷入困境。

简而言之，联邦调查局及其合作伙伴创建了类似恶意软件的东西，其有效负载可以改变目标计算机上的软件。然而，被修改的软件本身才是真正的恶意软件。

这并不是联邦调查局唯一一次通过黑客攻击来击败黑客。但这种积极、有效的行动在十年前可能是不可想象的。

FBI 如何应对网络攻击

FBI 设有一个名为网络部门 (CyD) 的部门，负责调查和起诉网络犯罪。该组织不仅关注对政府和公民的威胁，还关注对美国公司的威胁。

超过 1,000 名 CyD 代理和分析师在美国 56 个现场办事处和 350 多个分支机构工作。他们还组成网络行动团队前往全球各地，帮助外国打击网络犯罪并了解对美国利益的威胁。联邦调查局还与美国主要三字母机构合作，包括中央情报局、国土安全部和国家安全局。

该局正式与美国工业界合作。超过 600 家财富 1000 强公司加入了 FBI 的国内安全联盟委员会，分享有关新兴威胁的最佳实践和知识。该局的 InfraGuard 计划将约 70,000 名美国专业人员联系起来，以保护私营工业的基础设施。该局是许多其他学习、教学和协调网络安全实践团体的一部分。

CyWatch 是该局的 24/7、一年 365 天的网络中心。在那里，具有广泛不同技能的专业人士协调国内执法部门对网络攻击的反应。它还管理联邦调查局自己对攻击的响应。

该局的互联网犯罪投诉中心(IC3) 公开邀请举报网络犯罪，联邦调查局可能会选择对此进行调查。

联邦调查局还保留着一份网络通缉犯名单。这有助于全球公众识别并举报该局最臭名昭著的嫌疑人。

当然，联邦调查局利用其信誉和影响力来警告公众有关新出现的威胁，并就如何应对这些威胁提供指导。

许多组织、政府和机构都在打击网络犯罪。但联邦调查局处于独特的地位，部分原因是它从线索、与美国公司和科技公司、外国执法机构和其他美国机构的合作中获得了所有帮助。

近年来，它利用这种合作取得了更大的效果。

过去十年 FBI 的重大干扰

以下只是联邦调查局在全球范围内阻止网络攻击的一些案例。

2013

丝绸之路：联邦调查局接管了专门销售非法毒品和其他违禁品的暗网市场“丝绸之路”，并逮捕了创始人罗斯·乌布利希。

Citadel 僵尸网络：FBI 和国际执法机构查获了 1,400 多个银行欺诈Citadel 僵尸网络实例，该僵尸网络在约 500 万台计算机上安装了键盘记录器，最终目标是从银行窃取资金。肇事者迪米特里·别洛罗索夫在西班牙被捕，被引渡到美国，接受审判、定罪和监禁。

2014

Cryptolocker 和 Gameover Zeus： FBI 参与了一项国际努力，旨在破坏分发 Cryptolocker 勒索软件的Gameover Zeus 银行欺诈僵尸网络。

2015

Darkode 暗网论坛：FBI 协调 20 个国家/地区的执法机构开展了名为“遮蔽地平线行动”的行动，取缔了一个名为Darkode 的在线论坛，该论坛汇集了希望买卖信用卡信息、服务器凭证、黑客工具、恶意软件的人们、僵尸网络和其他对恶意犯罪行为有用的资源。它也是一个分享网络犯罪知识和想法的论坛。在执法人员渗透到封闭地点并在那里收集证据后，他们逮捕了数十名达科德同伙并对他们提出指控。美国起诉了十几人。

2016

Avalanche 网络：FBI 和国际执法机构拆除了Avalanche 网络，该网络用于基于网络钓鱼攻击和传播恶意软件的全球犯罪活动。据估计，Avalanche 感染了大约 50 万台计算机，并造成了数亿美元的损失。威胁行为者专门设计它来阻止执法和网络安全专家的检测。

2017

AlphaBay 和 Hansa：FBI 和国际合作伙伴关闭了这些暗网市场，这些市场均用于销售毒品、武器、被盗数据等非法产品。主要参与者被捕并被定罪。

2018

重新连线行动：FBI 与国际执法部门合作，挫败了一项全球商业电子邮件泄露 (BEC) 欺诈计划。约 281 名嫌疑人在多个国家被捕。

2021

REvil/Sodinokibi：FBI 捣毁了REvil/Sodinokibi 勒索软件组织，该组织损害了全球肉类加工公司 JBS 和 Kaseya 软件公司。

Emotet 和 NetWalker：FBI 消灭了Emotet 恶意软件传播和名为 NetWalker 的勒索软件变种。

2023

Hive 勒索软件组织：由 FBI 牵头的全球执法行动关闭了一个与俄罗斯有关的名为 Hive 的勒索软件即服务 (RaaS) 组织。该组织自 2021 年夏季以来一直在销售勒索软件服务和工具，从 80 个国家的 1,500 多名受害者（包括医院）中获利约 1 亿美元。司法部副部长丽莎·摩纳哥 (Lisa O. Monaco) 表示，这次行动合法地“攻击了黑客”。FBI 完全接管了 Hive 的数字基础设施，将肇事者拒之门外。联邦调查局还向受害者分发了加密密钥。

FBI 网络执法更有效的障碍

前员工和心怀不满的员工批评联邦调查局打击网络犯罪的方式。首先也是最重要的是，联邦调查局长期以来一直期望所有特工都能胜任该机构内的任何工作，非技术人员有时在网络部门工作，而网络专家则在该领域从事其他类型的犯罪工作。批评者说，这不适用于网络安全等高度专业化的领域。

此外，一些网络安全专家声称，联邦调查局在文化上与打击网络犯罪不兼容。他们说，联邦调查局的文化倾向于快速、彻底的调查，从而导致逮捕和定罪。当肇事者位于不合作国家时，网络调查可能需要数年时间，并导致零逮捕。因此，那些想要追究此类案件的内部人士存在不必要的内部障碍。

FBI 本身也遭到黑客攻击；例如，联邦调查局人员及其合作伙伴的数据库最近在一周内两次单独的攻击中遭到破坏。

尽管存在这些障碍，该局的业绩记录仍然令人印象深刻。