黑客會不斷改變策略,切換目標(biāo),修改工具,尤其是國家力量支撐的黑客組織,擁有強(qiáng)大的資源,追蹤這些黑客非常困難。其中一個(gè)例子就是“奇幻熊”(也稱為APT28和Sofacy),是出自俄羅斯和東歐的多個(gè)黑客組織之一。該組織據(jù)稱隸屬俄羅斯軍事情報(bào)機(jī)構(gòu)GRU(總參謀部情報(bào)部)。
朝鮮是另一個(gè)網(wǎng)絡(luò)攻擊溫床。金氏家族對其網(wǎng)絡(luò)部隊(duì)投注了大量資源,朝鮮的黑客組織與一系列網(wǎng)絡(luò)攻擊活動(dòng)有關(guān),從著名的索尼影業(yè)黑客事件,到WannaCry勒索軟件和加密貨幣挖掘活動(dòng)。
下面來談?wù)?018年最需要關(guān)注的八大國家黑客組織,包括組織的別名、地理位置、著名的攻擊活動(dòng)和行為特點(diǎn)。
1. 奇幻熊( Fancy Bear )
別名:奇幻熊、APT28、Sofacy、Strontium、Sednit
出自:俄羅斯
慣常目標(biāo):攻擊目標(biāo)通常在歐洲,一般是政府部委機(jī)關(guān),之前的攻擊也針對過全球各國使領(lǐng)館和美國。該組織對與北約相關(guān)的一切信息感興趣,尤其是各項(xiàng)政策。最近幾天,該組織的目光放在了平昌奧運(yùn)會上。
行為:其能力強(qiáng)項(xiàng)是魚叉式網(wǎng)絡(luò)釣魚,這種攻擊技術(shù)同時(shí)也是大多數(shù)威脅組織的主要戰(zhàn)術(shù)。奇幻熊由多個(gè)攻擊小組組成,各自負(fù)責(zé)攻擊過程的一部分。其中一個(gè)小組專注對盡可能多的目標(biāo)進(jìn)行網(wǎng)絡(luò)釣魚。一旦進(jìn)入某系統(tǒng),另一個(gè)小組就會用工具來形成長期駐留。
奇幻熊還以在攻擊中使用社交媒體而聞名,他們會利用社交媒體散布虛假信息。比如說,該黑客團(tuán)伙據(jù)傳曾黑過反興奮劑組織,試圖給記者提供經(jīng)篡改的數(shù)據(jù)。該組織的工具集不斷發(fā)展進(jìn)化,但有個(gè)名為XAgent的核心后門程序是一直在用的,所以很確定反興奮劑組織被黑事件是該黑客團(tuán)伙所為。
犯案嫌疑:對美國民主黨全國委員會(DNC)、國際田聯(lián)、德國議會的黑客攻擊,以及影響2016美國總統(tǒng)大選。
盡管不斷被曝光和譴責(zé),但該黑客組織的活動(dòng)似乎一點(diǎn)不受影響,依然十分活躍。未來,奧運(yùn)會和各國大選所面臨的黑客攻擊可能會越來越多。該組織表現(xiàn)出對國際規(guī)則的蔑視,試圖挑戰(zhàn)那些尋常人從未想過的底線。
2. Lazarus組織
別名:DarkSeoul、Hermit
出自:朝鮮
慣常目標(biāo):韓國、美國、金融機(jī)構(gòu)
注意:朝鮮黑客軍團(tuán)應(yīng)該不止一支。朝鮮的互聯(lián)網(wǎng)流量很少,所以出自不同團(tuán)伙的黑客行為常被混到一起了,很難區(qū)分清楚。
行為:朝鮮黑客組織擅長社交媒體攻擊。攻擊者通常針對Facebook、Messenger、LinkedIn、推特和其他社交平臺,他們會花很多時(shí)間梳理社交媒體信息,找出值得攻擊的目標(biāo),然后跟蹤分析,尋找機(jī)會。
該組織對經(jīng)濟(jì)利益的追求從未停止,他們?nèi)蜃靼福姘附痤~高達(dá)數(shù)億美元。大多數(shù)民族國家威脅組織的黑客行動(dòng)都僅限于間諜或破壞;金融性網(wǎng)絡(luò)犯罪活動(dòng)似乎是朝鮮黑客組織所獨(dú)有的。Lazarus組織是索尼數(shù)據(jù)泄露事件的背后黑手,其下屬組織還與加密貨幣交易所攻擊和SWIFT銀行網(wǎng)絡(luò)攻擊有關(guān)。
3. Bluenoroff(Lazarus組織的分支)
出自:朝鮮
慣常目標(biāo):金融機(jī)構(gòu)
行為:他們基本上是網(wǎng)絡(luò)世界的金融家,作為Lazarus組織的分支,該團(tuán)伙專門針對金融公司下手。他們的目標(biāo)是獲得加密貨幣以支持其攻擊行動(dòng)。
犯案嫌疑:涉及特定交易所的大額加密貨幣黑客行動(dòng),包括對SWIFT網(wǎng)絡(luò)的攻擊。安全研究人員認(rèn)為此類攻擊還將繼續(xù),尤其是在對朝鮮政府及其經(jīng)濟(jì)的制裁仍在繼續(xù)的情況下。對朝鮮的制裁更為嚴(yán)厲,這些黑客也就會更活躍,因?yàn)樗麄冃枰@取更多的資金。
4. Turla
別名:Snake、Venomous Bear、Waterbug
出自:東歐
慣常目標(biāo):前蘇聯(lián)加盟共和國(哈薩克斯坦、土庫曼斯坦),及在莫斯科的使領(lǐng)館。在東歐的外交官、全球領(lǐng)事館及大使館,還有歐盟國家的外交部也是他們的目標(biāo)。該組織還針對過美國國務(wù)院。
行為:該組織利用社會工程方法誘騙目標(biāo)安裝惡意軟件,其常用手段包括水坑攻擊。這種攻擊手段應(yīng)該會沿用下去,因?yàn)樵摵诳蛨F(tuán)伙不經(jīng)常改變戰(zhàn)術(shù),每年也就那么幾次,2017年更少。
該組織曾在指向Adobe合法內(nèi)容分發(fā)網(wǎng)絡(luò)IP地址的子域名上部署過帶惡意軟件的虛假Flash更新包,但Adobe證實(shí)其名下網(wǎng)絡(luò)并未遭到感染,也沒有分發(fā)過惡意文件。Turla將其后門捆綁進(jìn)了合法 Adobe Flash 安裝程序中,并從真實(shí) Adobe URL 和IP地址下載該惡意軟件,然后再讓被感染主機(jī)將敏感數(shù)據(jù)發(fā)向合法 Adobe URL。
Turla已存在多年,但在靜默了一段時(shí)間后,2017年起其活動(dòng)開始增加。去年夏天,該組織開始利用未知后門監(jiān)視大使館和領(lǐng)事館。另一個(gè)名為“白熊(WhiteBear)”的行動(dòng)也被認(rèn)為是Turla“ White Atlas ”工程的第二階段。Turla的行動(dòng)中,其命令與控制(C&C)基礎(chǔ)設(shè)施由被劫持的網(wǎng)站和衛(wèi)星連接組成。夏末時(shí),研究人員注意到,Turla利用KopiLuwak后門針對G20峰會參與者和興趣方(決策者、國家和記者)。
5. 沙蟲(Sandworm)
別名:黑色能量(BlackEngergy)、Electrum、Iridium
出自:東歐
慣常目標(biāo):烏克蘭
行為:沙蟲的攻擊是一波一波的,主要目標(biāo)為烏克蘭。專家認(rèn)為其攻擊在2018年呈上升趨勢。該組織經(jīng)常利用魚叉式網(wǎng)絡(luò)釣魚方法,最近開始針對供應(yīng)鏈下手,試圖增加其目標(biāo)庫。雖然烏克蘭是其ICS/SCADA攻擊的主要目標(biāo),但目標(biāo)范圍的擴(kuò)大也不無可能。之前它就曾把手伸向了美國公共設(shè)施系統(tǒng)。
鑒于工控系統(tǒng)攻擊沒有消退的跡象,沙蟲很可能轉(zhuǎn)換目標(biāo)盯上烏克蘭以外的國家,全世界的公司都有可能受到影響。
犯案嫌疑:2015和2016圣誕前夕的烏克蘭大斷電。去年6月主要針對烏克蘭的NotPetya破壞性攻擊也有可能是沙蟲組織干的。
6. Scarcruft
別名:Reaper、Group 123
出自:朝鮮
慣常目標(biāo):韓國政府、軍隊(duì)和國防工業(yè)基礎(chǔ)
行為:Scarcruft組織目前為止都不怎么顯山露水,但開始引起安全界注意。截至目前,該組織并未表現(xiàn)出很強(qiáng)的技術(shù)實(shí)力,也沒有針對過除韓國外的目標(biāo)。最新的 Adobe Flash 零日漏洞與該組織有關(guān),表明其實(shí)力有所增長。Scarcruft一直在做戰(zhàn)略性網(wǎng)站入侵,尤其是與朝鮮利益相關(guān)的網(wǎng)站,比如事關(guān)朝韓統(tǒng)一或脫北者的那些網(wǎng)站。
7. APT29
別名:安逸熊( Cozy Bear )、CozyDuke、The Dukes
出自:東歐/俄羅斯
慣常目標(biāo):西歐政府、外交政策團(tuán)體及類似組織。APT29的目標(biāo)還包括智庫和非政府組織(NGO)。
行為:APT29常將低頻通信偽裝成合法流量,并利用合法Web服務(wù)和加密SSL連接,實(shí)現(xiàn)在受害網(wǎng)絡(luò)中隱身的效果。其C&C通信僅利用被黑服務(wù)器實(shí)現(xiàn),還會部署后門來修復(fù)漏洞并添加新功能。
推特和GitHub之類的社交媒體平臺,還有云存儲服務(wù),也是APT29會利用的指令傳遞和數(shù)據(jù)滲漏渠道。最近幾年,其魚叉式網(wǎng)絡(luò)釣魚行動(dòng)針對美國政府。
犯案嫌疑:美國大選、后美國大選魚叉式網(wǎng)絡(luò)釣魚攻擊、民主黨全國委員會黑客事件。
8. APT35
別名:新聞廣播員(Newscaster)、可愛小貓( Charming Kitten )
出自:中東,尤其是伊朗
慣常目標(biāo):全球范圍,但最近集中在中東,尤其是沙特阿拉伯和以色列。
行為:攻擊活動(dòng)全球展開,其中有部分是破壞性攻擊,但尚未能將該組織與破壞性事件完全關(guān)聯(lián)起來。
APT35專注于在社交網(wǎng)絡(luò)上采用社會工程方法攻擊。攻擊者在社交網(wǎng)絡(luò)創(chuàng)建虛假人物形象,通過發(fā)送鏈接誘騙雇員來打入公司企業(yè)內(nèi)部。與電子郵件這種通常內(nèi)置了防御措施的媒介不同,社交媒體的監(jiān)管相對較弱,企業(yè)對社交媒體也缺乏控制。雖然隨著美國和伊朗關(guān)系的緩和,該組織的目標(biāo)有所調(diào)整,但其行動(dòng)并不會停止。
