上周，安全专家突然袭击断开了Troyak的互联网连接，Troyak是一家东欧ISP，它是全球电脑犯罪活动的老巢。在过去的7天中，据传安全社区大量的不知名人员开始与Troyak玩起了打地鼠游戏，试图寻找下一个合法ISP作为跳板，重新连入互联网。

安全专家说已经预料到Troyak会采取应对措施，实际上它是一个精心构建，具有循环备份和冗余网络的网络运营商，所有这些都是为了保持庞大的有组织的网络犯罪，因此把Triyak的网络直接断掉是对网络犯罪的致命打击。

但安全公司RSA相信Troyak是清白的，因为Troyak仅仅是包围8个所谓“防弹网络”老巢的5个上游ISP之一，RSA说这8个防弹网络托管了互联网上最多的恶意软件，包括银行密码窃取木马，如Zeus和Gozi，以及由这些木马和臭名昭著的俄罗斯钓鱼团队RockPhish窃取到的个人信息和财务数据。 

 

图 1 安全专家绘制的网络犯罪关系图

根据RSA前几天发布的一份报告称，这8个防弹网络直接连接到Troyak和其它4个上游ISP，形成了一个合法外衣包围中的恶意网络，如图1所示，这种包围结构掩盖了真正的恶意软件托管舰队，为恶意软件服务器正常运行提供了可靠的保证。此外，Troyak和其它4个上游ISP（上图中橙色部分）彼此之间都有联系，这4个上游ISP都连接到一到多个合法ISP（上图中绿圈），这些合法ISP是可以连接到全球互联网的，这样隐藏在后面的8大防弹网络可以说非常隐蔽。

事实上，RSA说Troyak最初在3月9日就被断网了，因为几个区域ISP（图中左侧绿色部分）同时拒绝为其提供服务，据推测，这些ISP切断Troyak的网络是迫于安全研究人员不断施加的压力，安全研究人员列举了Troyak支持网络犯罪的大量事实。

现在的问题是，其它4个以Troyak为中心的上游ISP也都有到合法ISP的连接，因此主要依赖于Troyak的整个防弹网络主机现在必须转换到其它上游ISP。在上图中绿色的圈表示区域ISP，RSA称他们为合法的ISP，但反垃圾邮件组织Spamhaus在周二的垃圾邮件黑名单中列出了Troyak的主要区域ISP —— 位于俄罗斯的NLINE，主要原因是NLINE多次纵容垃圾邮件犯罪团伙。

RSA在Troyak断网事件报告中说“最重要的是要弄明白，虽然这个关系图中的部分连接可能会被断开，但这些防弹网络通过其它上游供应商仍然能够恢复活力，大多数都可通过备用连接又重新上线，观察上周发生的事情就不难理解，这种冗余机制是保证恶意软件服务器总能逃过一劫的关键”。

RSA并不是唯一绘制恶意ISP关系图的公司，在最近一篇由三名大学研究人员发表的论文中，研究人员使用来自多个垃圾邮件，恶意软件，机器人和钓鱼黑名单的数据来确定恶意网络，来自橡树岭国家实验室和印第安纳大学的研究人员确定了多个可能有问题的ISP，特别是Ukraine和Turkey，它们过渡容忍来自它们网络的犯罪活动，过渡放纵就等于认同和支持，因此这些ISP就被定性为恶意ISP。

研究人员在试图找出ISP中的恶意网络时，主要关注那些至少有三个合作伙伴网络的ISP，他们发现有22个网络中所有客户全都是恶意用户，另外有194个网络，其中至少有50%的客户应归于恶意用户。

隐藏在背后的网络犯罪集团一定不会死心，即使Troyak倒下了，还会催生更多的Troyak出现，网络安全人员的责任任重而道远！