几十年前,当黑客入侵刚刚出现的时候,其大多是网络“发烧友”的“杰作”,他们痴迷于学习有关计算机和网络的一切知识。现如今,民族国家支持的威胁行为者正在开发越来越复杂的网络间谍工具,而网络犯罪分子则针对包含《财富》500强企业、医院、政府机构以及金融机构等在内的一切事物实施攻击,赚得盆满钵满。 网络攻击从未像现在这般复杂、有利可图甚至有些令人难以捉摸。有时,想要在不同类型的活动之间划清界限是一项艰巨的任务。民族国家黑客组织间有时候会为了共同的目标而相互合作,有时候他们甚至会与网络犯罪团伙协同合作。此外,一旦有恶意工具面世,存在竞争关系的威胁行为者通常会对其进行回收改造和再利用。 下面就为大家介绍一些最具创造力和威胁性的网络间谍和犯罪集团(排名不分先后): Lazarus——加密世界最成功的窃贼class="ztext-empty-paragraph">
 Lazarus(拉撒路),一个与朝鲜有关的组织,最轰动的事迹可能要数有史以来最大的网络大劫案:2016年2月,孟加拉银行遭到袭击,导致超过1亿美元失窃。当然,该组织的所作所为远不止于此。 说起Lazarus的攻击活动,最早可以追溯到2007年,不过由于其身份的隐秘,再加上活动范围并不广泛,所以,一开始,Lazarus并没有引起人们的注意。 直到2014年,索尼影业推出了一部名为《刺杀金正恩》(《The Interview》)的喜剧电影,正是由于这部影片,让隐蔽的Lazarus开始浮出水面。当时,在影片上映之前,就已经引起了朝鲜方的强烈反对,与此同时,一个自称为“和平守卫队”的黑客团队在窃取了11TB的敏感数据之后向索尼影业发布了一封“警告信”。 信的内容如下: “我们已向锁呢管理层提出了明确要求,但他们拒绝接受。如果想摆脱我们,就乖乖照我们说的做。立即停止播放恐怖主义影片,他将破坏地区和平,引发战争!” 鉴于此,不少安全机构都认为其隶属于朝鲜。 近年来,Lazaru开始将研究重心放在了勒索软件和加密货币上,甚至还以安全研究人员为目标,以获取有关正在进行的漏洞研究的相关信息。卡巴斯基安全研究人员Dmitry Galov表示,该小组拥有“无限的资源和非常出色的社会工程技能”。 这些社会工程学技能在新冠疫情大流行中发挥了重要作用,当时,包括疫苗制造商在内的制药公司都成了Lazaru最紧迫的目标。根据微软的说法,黑客发送了包括“虚假的工作描述”在内的鱼叉式网络钓鱼电子邮件,诱使他们的目标点击恶意链接。 UNC2452——全球性供应链危机魁首class="ztext-empty-paragraph">
 2020年,成千上万的组织下载了SolarWinds Orion软件的恶意软件更新,为攻击者提供了进入其系统的入口。五角大楼、英国政府、欧洲议会以及世界各地的一些政府机构和公司都成为这种供应链攻击的受害者。 据悉,该网络间谍行为至少潜伏了9个月之久,直到2020年12月8日,安全公司FireEye宣称自己成为了民族国家黑客组织的受害者,该组织窃取了其多个红队工具。事实证明,这种黑客攻击比最初想像得还要广泛。而针对SolarWinds Orion软件的供应链攻击只是攻击者使用的一个入侵渠道。研究人员还发现了另一起供应链攻击,这次是针对Microsoft云服务的。他们还注意到,Microsoft和VMware产品中同样存在一些缺陷。 Equation Group——网络间谍的“上帝”class="ztext-empty-paragraph">
 作为另一个具有出色技能和资源的威胁组织,Equation Group于21世纪初开始运营,甚至可能更早。直到2015年,卡巴斯基安全研究人员发布了一份报告,详细介绍了该组织的一些最新工具后,它才登上新闻头条,走进大众视野。该报告的标题之一是:“与网络间谍的‘上帝’会面”。 Equation Group之所以得名,是因为它使用了强大的加密和先进的混淆方法。它的工具非常先进,并与NSA的神秘组织TAO(特定入侵行动)存在关联。 该组织的攻击目标包括政府、军事和外交组织;金融机构;以及在电信、航空航天、能源、石油和天然气、媒体和运输领域运营的公司。受害者分布在伊朗、俄罗斯、巴基斯坦、阿富汗、印度、叙利亚和马里等地。 Equation Group最强大的工具之一是可以重新编程包括Seagate、Western Digital、Toshiba和IBM在内的各种制造商的硬盘固件的模块,以创建可以在擦除和重新格式化后保存下来的秘密存储库。该小组还创建了一个基于USB的命令和控制机制,该机制允许映射空白网络。之后,它还将类似功能集成到了Stuxnet活动中。 Carbanak——银行大盗class="ztext-empty-paragraph">
 2013年,几家金融机构都遵循相同的模式遭到黑客入侵。攻击者发送了鱼叉式网络钓鱼电子邮件,试图侵入组织。然后,它使用各种工具来连接可用于提取数据或金钱的PC或服务器。像APT一样,负责这些攻击的网络犯罪团伙Carbanak精心部署这一切,常常在受害者的系统中潜伏数月不被发现。 Carbanak组织的主体可能位于乌克兰,其目标对象主要是位于俄罗斯、美国、德国和中国的金融公司。在其攻击案例中,一名受害者由于ATM欺诈损失了730万美元,而另一名受害者在其网上银行平台成为攻击目标后损失了1000万美元。有时候,该组织还会命令ATM吐钞,而无需现场人员干预。 早在2014年,几家安全公司就对Carbanak进行了调查,结果所有结论都不同。 Sandworm——格鲁乌的“黑暗”class="ztext-empty-paragraph">
 俄罗斯网络间谍组织Sandworm与过去十年中一些最具破坏性的事件有关,包括2015年和2016年乌克兰的电力中断;2017年的NotPetya供应链攻击;在俄罗斯运动员因使用兴奋剂被禁赛后,针对2018年平昌冬季奥运会的攻击;以及针对多个国家、地区选举相关的攻击活动,例如2016年的美国大选,2017年的法国选举以及2019年的格鲁吉亚选举。 FireEye副总裁John Hultquist称,2018年美国司法部公布的针对俄罗斯情报机构GRU(总参谋部军事情报总局,国内一般称格鲁乌或格勒乌)所下属12名情报人员的起诉书就像是过去我们目睹的许多最重要的网络攻击事件的清单。我们有充分的理由认为,俄罗斯军事情报部门GRU下属74455部队资助了Sandworm的行动。 近年来,该组织的策略、技术和程序(TTP)都已经发生了变化以集成勒索软件,对此,研究人员并未感到惊讶。根据FireEye分析主管Ben Read所言,与目标广泛的网络犯罪活动相关的基于加密的勒索软件通常很容易被网络间谍活动者重新利用,以进行破坏性攻击。 Evil Corp——上了美国财务部“通缉榜”的组织class="ztext-empty-paragraph">
 Evil Corp的名字取自《Mr. Robot》(黑客军团)系列,但其成员及功绩早在该剧上映前就已存在。该俄罗斯黑客组织是有史以来最危险的银行木马之一Dridex(也称为Cridex或Bugat)的创建者。2020年,该组织攻击了Garmin及其他数十家公司。 根据法院文件显示,Evil Corp使用特许经营业务模式,允许其他犯罪分子使用Dridex,以换取100,000美元和收入的50%。联邦调查局(FBI)估计,该组织在过去十年中至少偷走了1亿美元。 安全研究人员称,除Dridex之外,Evil Corp还创建了WastedLocker勒索软件家族和Hades勒索软件。计算机安全软件公司ESET还宣称,BitPaymer勒索软件很可能也是该组织的“杰作”。 2019年,美国司法部指控该组织的两名杰出成员Maksim Yakubets和Igor Turashev涉嫌多项刑事控告,包括串谋实施欺诈和电汇欺诈,但这并未阻止该团伙继续开展活动。CrowdStrike Intelligence高级副总裁Adam Meyers介绍称,在过去一年中,该组织采用了新的工具,并重新命名了几种工具,以逃避美国财政部采取的制裁措施,这种制裁将阻止受害者支付赎金。 尽管针对该团体有关联的个人进行了起诉和制裁,但是仍然无法阻止该组织的事业蒸蒸日上。 Fancy Bear——影响美国大选的组织class="ztext-empty-paragraph">
  该讲俄语的组织至少从2004年开始活跃,并针对政府和军事组织以及美国、西欧和南高加索地区的能源和媒体公司展开攻击活动。其受害者主要包括德国和挪威议会、白宫、北约和法国电视台TV5。 Fancy Bear最出名的事迹是在2016年侵入民主党全国委员会(DNC)和希拉里·克林顿(Hillary Clinton)的竞选活动,据称此举影响了总统竞选的最终结果。一些专家认为,大名鼎鼎的DNC黑客Guccifer2.0 背后的力量正是Fancy Bear。 据CrowdStrike称,另一个讲俄语的团体“Cozy Bear”同样也在民主党的计算机网络内部独立地窃取密码。但是显然,这两只“Bear”彼此并不认识。 Fancy Bear主要通过在周一和周五发送的鱼叉式网络钓鱼邮件来瞄准受害者。在某些情况下,它注册了看起来与合法域名相似的域名,建立了伪造的网站以获取凭据。 LuckyMouse——Lucky(幸运)源于实力class="ztext-empty-paragraph">
 该组织已经活跃了十多年,主要针对外国使馆和组织,以及涉及航空、国防、技术、能源、医疗、教育和政府等不同行业的企业实施攻击活动。受害者遍布北美、南美、欧洲、亚洲以及中东等地区。 卡巴斯基的Jungheit介绍称,该组织在渗透测试方面具有很高的技能,习惯使用Metasploit框架等公开可用的工具。除了将鱼叉式网络钓鱼作为一种散布方式外,该组织还在其行动中使用SWC(战略性网络妥协)来针对其中最具价值的目标。 趋势科技的研究人员注意到,该组织可以快速更新和修改其工具,这使得研究人员很难检测到它们。 REvil——勒索界的巨头class="ztext-empty-paragraph">
 REvil犯罪团伙以《生化危机》电影和视频游戏系列而得名,运行着一些油水最多的勒索软件即服务(RaaS)业务,并且位于讲俄语的世界中。该组织于2019年4月首次出现,也就是臭名昭著的GandCrab关闭后不久的事情,此后其业务开始蓬勃发展。其受害者包括Acer、本田、Travelex以及杰克丹尼威士忌的制造商Brown-Forman。 在当今众多的勒索软件领域,REvil(Sodinokibi)勒索软件占据着统治地位。REvil(Sodinokibi)以勒索软件即服务(RaaS)的形式运行,将其勒索软件病毒出租给其他犯罪集团。 卡巴斯基的Jungheit介绍称,REvil算得上2021年索要赎金最高的组织。为了分发勒索软件,REvil会与在网络犯罪论坛上雇用的会员合作。会员赚取赎金的60%至75%。 开发人员会定期更新REvil勒索软件,以避免检测到正在进行的攻击。该组织还会在其网络犯罪论坛中告知合作伙伴计划中所有主要的更新以及新的可用职位。 Malwarebytes Labs的Kujawa表示,REvil与其他组织不同,因为其开发人员对业务的关注程度很高。据该小组的一名成员所言,通过窃取并威胁公开受害者数据的方式,他们已经获取了高达1亿美元的赎金付款,未来他们计划通过DDoS攻击来进一步扩大勒索能力。” Wizard Spider——“大猎杀”施暴者class="ztext-empty-paragraph">
 该说俄语的Wizard Spider于2016年首次被发现,但近年来它变得越来越复杂,建立了一些用于网络犯罪的工具。最初,Wizard Spider以其银行木马TrickBot而闻名,但后来又将其工具集扩展到Ryuk,Conti和BazarLoader。该组织正在不断调整其武器库,以获取更高利润。 Wizard Spider的恶意软件没有在任何犯罪论坛上公开广告,表明它们很可能只出售给可信任的犯罪集团访问权限或与受信任的犯罪集团一起工作。该组织开展了不同类型的活动,其中包括倾向于针对性强、回报率高的勒索软件活动,这些活动被称为“大猎杀”。 据悉,Wizard Spider会根据其目标价值计算其要求的赎金,而且似乎没有任何行业能够幸免于难。在新冠疫情期间,它与Ryuk和Conti一起袭击了美国数十家医疗机构。来自世界各地的医院也受到了影响。
|