黑客會不斷改變策略,切換目標,修改工具,尤其是國家力量支撐的黑客組織,擁有強大的資源,追蹤這些黑客非常困難。其中一個例子就是“奇幻熊”(也稱為APT28和Sofacy),是出自俄羅斯和東歐的多個黑客組織之一。該組織據稱隸屬俄羅斯軍事情報機構GRU(總參謀部情報部)。
朝鮮是另一個網絡攻擊溫床。金氏家族對其網絡部隊投注了大量資源,朝鮮的黑客組織與一系列網絡攻擊活動有關,從著名的索尼影業黑客事件,到WannaCry勒索軟件和加密貨幣挖掘活動。
下面來談談2018年最需要關注的八大國家黑客組織,包括組織的別名、地理位置、著名的攻擊活動和行為特點。
1. 奇幻熊( Fancy Bear )
別名:奇幻熊、APT28、Sofacy、Strontium、Sednit
出自:俄羅斯
慣常目標:攻擊目標通常在歐洲,一般是政府部委機關,之前的攻擊也針對過全球各國使領館和美國。該組織對與北約相關的一切信息感興趣,尤其是各項政策。最近幾天,該組織的目光放在了平昌奧運會上。
行為:其能力強項是魚叉式網絡釣魚,這種攻擊技術同時也是大多數威脅組織的主要戰術。奇幻熊由多個攻擊小組組成,各自負責攻擊過程的一部分。其中一個小組專注對盡可能多的目標進行網絡釣魚。一旦進入某系統,另一個小組就會用工具來形成長期駐留。
奇幻熊還以在攻擊中使用社交媒體而聞名,他們會利用社交媒體散布虛假信息。比如說,該黑客團伙據傳曾黑過反興奮劑組織,試圖給記者提供經篡改的數據。該組織的工具集不斷發展進化,但有個名為XAgent的核心后門程序是一直在用的,所以很確定反興奮劑組織被黑事件是該黑客團伙所為。
犯案嫌疑:對美國民主黨全國委員會(DNC)、國際田聯、德國議會的黑客攻擊,以及影響2016美國總統大選。
盡管不斷被曝光和譴責,但該黑客組織的活動似乎一點不受影響,依然十分活躍。未來,奧運會和各國大選所面臨的黑客攻擊可能會越來越多。該組織表現出對國際規則的蔑視,試圖挑戰那些尋常人從未想過的底線。
2. Lazarus組織
別名:DarkSeoul、Hermit
出自:朝鮮
慣常目標:韓國、美國、金融機構
注意:朝鮮黑客軍團應該不止一支。朝鮮的互聯網流量很少,所以出自不同團伙的黑客行為常被混到一起了,很難區分清楚。
行為:朝鮮黑客組織擅長社交媒體攻擊。攻擊者通常針對Facebook、Messenger、LinkedIn、推特和其他社交平臺,他們會花很多時間梳理社交媒體信息,找出值得攻擊的目標,然后跟蹤分析,尋找機會。
該組織對經濟利益的追求從未停止,他們全球作案,涉案金額高達數億美元。大多數民族國家威脅組織的黑客行動都僅限于間諜或破壞;金融性網絡犯罪活動似乎是朝鮮黑客組織所獨有的。Lazarus組織是索尼數據泄露事件的背后黑手,其下屬組織還與加密貨幣交易所攻擊和SWIFT銀行網絡攻擊有關。
3. Bluenoroff(Lazarus組織的分支)
出自:朝鮮
慣常目標:金融機構
行為:他們基本上是網絡世界的金融家,作為Lazarus組織的分支,該團伙專門針對金融公司下手。他們的目標是獲得加密貨幣以支持其攻擊行動。
犯案嫌疑:涉及特定交易所的大額加密貨幣黑客行動,包括對SWIFT網絡的攻擊。安全研究人員認為此類攻擊還將繼續,尤其是在對朝鮮政府及其經濟的制裁仍在繼續的情況下。對朝鮮的制裁更為嚴厲,這些黑客也就會更活躍,因為他們需要獲取更多的資金。
4. Turla
別名:Snake、Venomous Bear、Waterbug
出自:東歐
慣常目標:前蘇聯加盟共和國(哈薩克斯坦、土庫曼斯坦),及在莫斯科的使領館。在東歐的外交官、全球領事館及大使館,還有歐盟國家的外交部也是他們的目標。該組織還針對過美國國務院。
行為:該組織利用社會工程方法誘騙目標安裝惡意軟件,其常用手段包括水坑攻擊。這種攻擊手段應該會沿用下去,因為該黑客團伙不經常改變戰術,每年也就那么幾次,2017年更少。
該組織曾在指向Adobe合法內容分發網絡IP地址的子域名上部署過帶惡意軟件的虛假Flash更新包,但Adobe證實其名下網絡并未遭到感染,也沒有分發過惡意文件。Turla將其后門捆綁進了合法 Adobe Flash 安裝程序中,并從真實 Adobe URL 和IP地址下載該惡意軟件,然后再讓被感染主機將敏感數據發向合法 Adobe URL。
Turla已存在多年,但在靜默了一段時間后,2017年起其活動開始增加。去年夏天,該組織開始利用未知后門監視大使館和領事館。另一個名為“白熊(WhiteBear)”的行動也被認為是Turla“ White Atlas ”工程的第二階段。Turla的行動中,其命令與控制(C&C)基礎設施由被劫持的網站和衛星連接組成。夏末時,研究人員注意到,Turla利用KopiLuwak后門針對G20峰會參與者和興趣方(決策者、國家和記者)。
5. 沙蟲(Sandworm)
別名:黑色能量(BlackEngergy)、Electrum、Iridium
出自:東歐
慣常目標:烏克蘭
行為:沙蟲的攻擊是一波一波的,主要目標為烏克蘭。專家認為其攻擊在2018年呈上升趨勢。該組織經常利用魚叉式網絡釣魚方法,最近開始針對供應鏈下手,試圖增加其目標庫。雖然烏克蘭是其ICS/SCADA攻擊的主要目標,但目標范圍的擴大也不無可能。之前它就曾把手伸向了美國公共設施系統。
鑒于工控系統攻擊沒有消退的跡象,沙蟲很可能轉換目標盯上烏克蘭以外的國家,全世界的公司都有可能受到影響。
犯案嫌疑:2015和2016圣誕前夕的烏克蘭大斷電。去年6月主要針對烏克蘭的NotPetya破壞性攻擊也有可能是沙蟲組織干的。
6. Scarcruft
別名:Reaper、Group 123
出自:朝鮮
慣常目標:韓國政府、軍隊和國防工業基礎
行為:Scarcruft組織目前為止都不怎么顯山露水,但開始引起安全界注意。截至目前,該組織并未表現出很強的技術實力,也沒有針對過除韓國外的目標。最新的 Adobe Flash 零日漏洞與該組織有關,表明其實力有所增長。Scarcruft一直在做戰略性網站入侵,尤其是與朝鮮利益相關的網站,比如事關朝韓統一或脫北者的那些網站。
7. APT29
別名:安逸熊( Cozy Bear )、CozyDuke、The Dukes
出自:東歐/俄羅斯
慣常目標:西歐政府、外交政策團體及類似組織。APT29的目標還包括智庫和非政府組織(NGO)。
行為:APT29常將低頻通信偽裝成合法流量,并利用合法Web服務和加密SSL連接,實現在受害網絡中隱身的效果。其C&C通信僅利用被黑服務器實現,還會部署后門來修復漏洞并添加新功能。
推特和GitHub之類的社交媒體平臺,還有云存儲服務,也是APT29會利用的指令傳遞和數據滲漏渠道。最近幾年,其魚叉式網絡釣魚行動針對美國政府。
犯案嫌疑:美國大選、后美國大選魚叉式網絡釣魚攻擊、民主黨全國委員會黑客事件。
8. APT35
別名:新聞廣播員(Newscaster)、可愛小貓( Charming Kitten )
出自:中東,尤其是伊朗
慣常目標:全球范圍,但最近集中在中東,尤其是沙特阿拉伯和以色列。
行為:攻擊活動全球展開,其中有部分是破壞性攻擊,但尚未能將該組織與破壞性事件完全關聯起來。
APT35專注于在社交網絡上采用社會工程方法攻擊。攻擊者在社交網絡創建虛假人物形象,通過發送鏈接誘騙雇員來打入公司企業內部。與電子郵件這種通常內置了防御措施的媒介不同,社交媒體的監管相對較弱,企業對社交媒體也缺乏控制。雖然隨著美國和伊朗關系的緩和,該組織的目標有所調整,但其行動并不會停止。
