本
文
摘
要
安全研究人员表示,这些黑客组织都是臭名昭著的全球网络犯罪团伙,且其背后有国家支持。
几十年前,黑客入侵刚刚兴起的时候,从事黑客活动的大多是计算机和网络狂热爱好者,他们对学习有关计算机和网络的一切充满热情。如今,民族国家黑客不断开发越来越复杂的网络间谍工具,网络罪犯则忙着对从财富500强公司到医疗机构的一切目标下手,持续变现成千上万美元。
网络攻击从未如此复杂、如此赚钱,甚或如此令人困惑。有时候,清晰界定各种不同类型的黑客活动很是困难。民族国家有时会为了共同的目标而互相联手,有时候他们甚至似乎与网络犯罪团伙合作。而且,恶意工具一旦发布,往往会被竞争对手回收再利用。
下面我们来看看几个最具创意也最危险的网络间谍和网络犯罪组织,排名不分先后:
▶ Lazarus(又名Hidden Cobra、Guardians of Peace、APT38、Whois Team、Zinc)
作为与朝鲜相关联的黑客组织,Lazarus一战成名是因为一起可能是有史以来最大型的网络劫案:孟加拉央行黑客攻击事件。这起事件发生在2016年2月,造成超过1亿美元失窃。然而,该组织的所作所为远远不止于此。
过去十年来,Lazarus一直是多起黑客攻击事件的背后黑手,从对韩国网站的DDoS攻击开始,然后继续深入到攻击韩国的金融机构和基础设施,2014年对索尼影业下手,2017年又发起了著名的WannaCry勒索软件攻击。
近些年来,Lazarus开始投身勒索软件和加密货币领域,同时紧盯安全研究人员,获取正在进行的漏洞研究的相关信息。据卡巴斯基安全研究员Dmitry Galov介绍,该组织拥有“无限的资源和非常好的社会工程技术”。
仍在持续的新冠肺炎疫情期间,Lazarus将这些社会工程技术用在了医药公司身上,包括疫苗制造商在内的相关企业,成了他们最首要的目标。微软表示,这些黑客发送鱼叉式网络钓鱼电子邮件,邮件中含有“精心编造的职位描述”,意图诱使其目标点击其中的恶意链接。
Malwarebytes Labs主管Adam Kujawa称:“该组织不同于其他黑客组织,因为尽管是国家支持的黑客组织,Lazarus的目标却不是国家 *** ,而是可能持有或能接触到朝鲜间谍感兴趣的信息的那些企业和个人。”
Lazarus使用各种定制恶意软件,包括后门、隧道构建程序、数据挖掘程序和破坏性恶意软件,这些恶意软件有时候是内部开发的。该组织不遗余力地持续从事黑客攻击活动。
FireEye曼迪安特威胁情报表示:“APT38之所以独特,在于其在行动中毫不惧怕大肆破坏证据或受害网络。该组织谨慎、精明,并且表现出想要长久维持受害环境访问权的意愿,以便了解网络布局、所需权限,以及系统技术,从而达成其目标。”
▶ UNC2452(又名Dark Halo、Nobelium、SilverFish、StellarParticle)
2020年,数千家企业和机构下载了带后门的SolarWinds Orion软件更新,给攻击者留下了进入其系统的入口。美国国防部、英国 *** 、欧洲议会,以及全球多个 *** 机构及企业均成为了该供应链攻击的受害者。
直到2020年12月8日曝光之前,这起网络间谍行动至少暗中行事了九个月。曝光这起行动的安全公司FireEye也是其受害者,宣称自己被此国家支持的黑客组织盗取了几款红队工具。实际情况比最初预想的还要糟糕。SolarWinds Orion软件供应链攻击不过是攻击者所用的入口渠道之一。研究人员还发现了另一起供应链攻击,这次中招的是微软云服务。而且,研究人员发现,微软和VMware产品中也有几个漏洞被利用了。
FireEye曼迪安特威胁情报高级副总裁兼首席技术官Charles Carmakal表示:“UNC2452是我们追踪的黑客组织中最先进、最有纪律、最难以捉摸的。他们的谍报技术出类拔萃。攻击技术和防御技术两方面他们都掌控自如,并且运用此类知识精炼自身入侵技巧,堂而皇之地藏身目标环境之中。UNC2452展现出了极少见的操作安全水平,能够长久驻留 *** 机构和企业内部而不被发现。”
美国国家安全局(NSA)、联邦调查局(FBI)和其他几个机构称此黑客组织受到俄罗斯的支持,并实施了制裁。这些美国机构辩称,SolarWinds供应链攻击可能是俄罗斯联邦对外情报局(SVR)的手笔。其他线索则指向Cozy Bear/APT29黑客组织。
然而,情况似乎更为混乱。卡巴斯基研究人员注意到,有几个代码片段可将此攻击与俄语区黑客团伙Turla(又名Snake、Uroburos)挂钩,该团伙主要攻击欧洲和美国的 *** 和外交官。Secureworks发布的另一份报告则宣称,位于中国的黑客组织Spiral在另一起黑客行动中同样针对的SolarWinds客户。
▶ Equation Group(方程式组织,又名EQGRP、Housefly、Remsec)
Equation Group是又一个技术精湛且资源丰富的黑客组织。早在21世纪初,甚至可能更早些时候,该组织就开始营业了。但直到2015年,卡巴斯基安全研究人员发布报告披露其几款尖端工具之后,该黑客组织才见诸报端,为大众所熟知。这篇报道的标题之一是这么写的:“与网络间谍之‘神’会面”。
研究人员将该黑客组织命名为Equation Group,是因为其采用了强加密和先进的混淆方法。该组织的工具极端复杂,且与NSA的特定情报获取行动(TAO)组相关。
Equation Group的目标横跨多个领域: *** 、军队和外交机构;金融机构;以及从事电信、航空、能源、油气、媒体和交通运输行业的各大公司。很多受害者都位于伊朗、巴基斯坦、阿富汗、印度、叙利亚和马里。
Equation Group最强大的工具是一款可以重编程各制造商硬盘固件的模块,受害硬盘厂商包括希捷、西部数据、东芝和IBM。借助该模块,攻击者可以在受害硬盘上创建秘密存储保险箱,其中内容甚至可以扛过硬盘擦除和重格。该组织还创立了一套基于USB的命令与控制机制,能够映射物理隔离网络。在类似功能集成到震网(Stuxnet)之前,该机制就完成了。
这些先进的技术最终落到了其他民族国家黑客的手中。据赛门铁克透露,Equation Group的工具被中国网络间谍组织Buckeye(又名Gothic Panda、APT3、UPS Team)获取并另作他用,在2016年用于攻击欧洲和亚洲的公司。CheckPoint的研究人员发现,中国支持的另一个黑客组织Zirconium (APT31)克隆了Equation Group的EpMeWindows提权漏洞利用程序,创建了一款名为Jian的工具。所有这些都发生在2017年Shadow Brokers(影子经纪人)数据泄露事件之前,该起事件中Equation Group开发的多款黑客工具现身网上,包括WannaCry攻击中所用臭名昭著的EternalBlue(永恒之蓝)漏洞利用程序。
CheckPoint研究员Eyal Itkin和Itay Cohen写道:“网络武器天生是数字化且易变的。盗窃网络武器并转移到另一个大洲就好像发送一封电子邮件那么简单。”
▶ Carbanak(又名Anunak、Cobalt——与FIN7重叠)
2013年,多家金融机构被同一黑客攻击手法所黑。攻击者先发送鱼叉式网络钓鱼电子邮件来渗透这些机构,然后再使用各种工具进驻个人电脑或服务器,以便后续抽取数据或金钱。这些攻击背后的网络罪犯团伙Carbanak严谨仔细地执行攻击活动,就像高级可持续威胁(APT)一样,常常在受害者的系统中悄无声息地潜伏数月时间。
Carbanak黑客组织的总部可能位于乌克兰,其目标金融公司主要位于俄罗斯、美国、德国和中国。Carbanak的受害者之一因ATM诈骗损失了730万美元,而另一家受害者在自身网上银行平台被黑后损失了1000万美元。有时候,该黑客组织会命令ATM机在预定的时间吐钞,无需现场人为干预。
2014年时,多家安全公司调查了Carbanak黑客事件,但结论迥异。卡巴斯基高级安全研究员Ariel Jungheit称:“Carbanak似乎是使用同一款恶意软件的两个不同组织。其中一个组织主要针对金融机构(卡巴斯基重点研究了这个组织),另一个组织则更偏重零售公司。尽管其他人对此有争议,但主要结论是,一开始是一个组织,后来分裂成了几个小组。”
2018年3月,欧洲刑警组织(Europol)宣称,经过一番“复杂深入的调查”,已逮捕了Carbanak组织的首脑。然而,直至今日,该网络犯罪团伙的很多成员仍然活跃,可能加入了其他黑客组织。FIN7网络犯罪团伙主要对零售和餐饮业感兴趣,而Cobalt专注金融机构。
FireEye曼迪安特威胁情报高级分析经理Jeremy Kennelly表示:“如果司法行动的对象是与FIN7这种资源丰富的大型犯罪组织相关联的个人,那其影响就难以判断了,因为主要责任往往可以由多名个人或多个团队承担。逮捕行动之后,FIN7的战术、技术和程序并没有出现太大的变化。
▶ Sandworm(沙虫,又名Telebots、Electrum、Voodoo Bear、Iron Viking)
俄罗斯网络间谍组织Sandworm涉嫌过去十年来的几起重大破坏性安全事件,包括2015年和2016年的乌克兰大停电、2017年以投放勒索软件为开端的NotPetya供应链攻击、2018年俄罗斯籍运动员因使用禁药而被禁赛后平昌冬奥会遭受的一系列攻击,以及与多个国家的竞选相关的黑客攻击行动,例如美国2016大选、法国2017总统竞选和2019年格鲁吉亚大选。
FireEye曼迪安特威胁情报副总裁John Hultquist称:“2019年10月对格鲁乌(GRU:俄罗斯总参谋部情报部)官员的起诉书,读起来就像是我们所见过的诸多重大网络攻击事件的清单。我们高度确信,俄罗斯军事情报机构格鲁乌的74455部队在支持Sandworm活动。”
最近几年,该组织的战术、技术和程序变成了集成勒索软件,但研究人员对此转变毫不惊讶。曼迪安特威胁情报分析总监Ben Read表示:“基于加密的勒索软件通常与大范围广撒网式网络犯罪活动相关,很容易被网络间谍组织重新利用来进行破坏性攻击。”
▶ Evil Corp(又名Indrik Spider)
Evil Corp得名于美剧《黑客军团》(Mr. Robot),但其成员和漏洞利用程序均在剧集播出之前就活跃于网络上了。这个说俄语的黑客组织是史上最危险银行木马之一Dridex(也称为Cridex或Bugat)的创建者。该组织在2020年攻击了佳明公司和其他数十家企业。
法庭文件显示,Evil Corp采用特许经营模式,付出10万美元和收益的50%,就可以得到Dridex访问权。FBI估计,过去十年来,该黑客组织盗取了不少于1亿美元。
安全研究人员称,除了Dridex之外,Evil Corp还创建了WastedLocker勒索软件系列和Hades勒索软件。网络安全公司ESET也宣称,BitPaymer勒索软件可能是此黑客组织的杰作。Kujawa说道:“该组织的与众不同之处在于其攻击有效性,很多安全攻击都将Evil Corp的攻击行动与资源丰富、训练有素的黑客国家队相提并论。”
2019年,美国司法部以多项罪名起诉了该组织的两名重要成员,Maksim Yakubets和Igor Turashev,罪名包括串谋欺诈和电信诈骗,但该司法行动并未阻止Evil Corp继续其黑客活动。CrowdStrike Intelligence高级副总裁Adam Meyers表示:“去年,该黑客组织采用了新的工具,并重新命名了几款工具,从而规避美国财务部实施的制裁,防止受害者无法支付他们索要的赎金。尽管个别成员受到起诉,黑客行动也受到了制裁,但该组织依然蓬勃发展。”
▶ Fancy Bear(奇幻熊,又名APT28、Sofacy、Sednit、Strontium)
2000年代中期开始,这个说俄语的黑客组织就出现在我们周围了,其攻击目标包括美国、西欧和南高加索的 *** 和军队机构,以及能源和媒体公司。该组织的受害者可能包括德国和挪威议会、白宫、北大西洋公约组织(NATO),以及法国电视台TV5。
Fancy Bear最著名的案例是2016年攻入美国民主党全国委员会和入侵希拉里·克林顿的竞选活动,据称影响了美国总统选举的结果。据信, Fancy Bear的马甲就是黑客组织Guccifer 2.0。据CrowdStrike介绍,另一个说俄语的黑客组织,Cozy Bear(安逸熊),也藏身于民主党的计算机网络中,独立盗取密码。但很明显,这两头熊并未意识到彼此的存在。
Fancy Bear主要通过周一和周五发送的鱼叉式网络钓鱼邮件来引诱受害者上钩,偶尔也会注册极其类似合法网站的域名,构建虚假网站来收割登录凭证。
▶ LuckyMouse(又名Emissary Panda,、Iron Tiger、APT27)
这个黑客组织说中文,活跃了十年以上,主要针对外国大使和横跨多个不同行业的公司,如航空、国防、科技、能源、医疗保健、教育和 *** 。其活动范围包括北美、南美、欧洲、亚洲和中东。
卡巴斯基的Jungheit称,该组织的渗透测试技术高超,通常使用Metasploit框架等公开可用的工具。“除了作为投放手段的鱼叉式网络钓鱼,该黑客组织还在行动中使用SWC(策略性Web攻击),以超高成功率拿下受害者。”
趋势科技的研究人员注意到,该组织可以快速更新并修改器工具,让安全研究人员难以检测。
▶ REvil(又名Sodinokibi、Pinchy Spider—与GandCrab相关)
REvil黑客组织得名于电影《生化危机》(Resident Evil)及其系列游戏,位于俄语区,运营着几个最有利可图的勒索软件即服务(RaaS)。该黑客组织首次进入大众视野是在2019年4月,臭名昭著的GandCrab被关停之后不久,其业务自那以后似乎就蒸蒸日上了。该组织的受害者包括宏碁、本田、Travelex和杰克丹尼威士忌的生产商Brown-Forman。
Jungheit称:“REvil运营者索要的赎金为2021年之最。为了分发勒索软件,REvil与在网络犯罪论坛上招募的成员组织合作,分给成员组织60%到75%的赎金。”
开发人员经常更新REvil勒索软件,从而避免检测到正在进行的攻击。Jungheit称:“该组织在网络犯罪论坛的帖子里公布所有主要更新及其合作伙伴计划中的空缺职位。”
Malwarebytes Labs的Kujawa表示,REvil不同于其他组织的地方在于,其开发人员是以业务为中心的。“去年,该组织的一名成员接受了采访,称他们通过勒索和威胁要披露数收入了1亿美元,而且还计划在未来通过DDoS攻击拓展其勒索能力。”
▶ Wizard Spider
说俄语的Wizard Spider组织在2016年首次浮出水面,但在最近几年已变得越来越复杂高端,打造了多款用于网络犯罪的工具。最初,Wizard Spider以其商业化银行恶意软件TrickBot而闻名,但之后,该组织就扩展了其工具集,纳入了Ryuk、Conti和BazarLoader。而且,Wizard Spider仍在持续完善其武器库,以便更加有利可图。
CrowdStrike Intelligence的Meyers称:“Wizard Spider的恶意软件库并未在犯罪论坛上公开打广告,表明他们可能只想与信得过的犯罪组织交易或合作。”该组织的黑客活动多种多样,其中一些非常具体,倾向于所谓“狩猎大型猎物”的高针对性、高回报勒索软件攻击活动。
Wizard Spider根据目标的价值估算索要的赎金,似乎没有哪个行业是禁区。新冠肺炎疫情期间,该组织用Ryuk和Conti恶意软件攻击了美国几十家医疗机构。世界各国的多家医院也受到了影响。
▶ 彩蛋:Winnti(又名Barium、Double Dragon、Wicked Panda、APT41、Lead、Bronze Atlas)
Winnti可能是说中文的几个小组的 *** ,既从事网络犯罪活动,也执行国家支持的网络攻击。其网络间谍行动针对医疗企业和科技公司,常常盗取知识产权。同时,其经济利益驱动的网络犯罪力量攻击电子游戏产业,操纵虚拟货币,并试图部署勒索软件。
Jungheit称:“难以定义该黑客组织主要是因为其从事的黑客活动与其他说中文的APT组织之间存在重叠。例如,有些工具和恶意软件是多个说中文的黑客组织之间共享的。”
Winnti使用的不同代码集和工具高达数十种,而且常常依靠鱼叉式网络钓鱼电子邮件渗透目标公司。曼迪安特威胁情报报告称:“在一次持续近一年的黑客活动中,APT41入侵了数百个系统,使用了近150种恶意软件,其中包括后门、凭证盗窃程序、键盘记录器和rootkit。APT41还有限度地部署rootkit和主引导记录(MBR)bootkit,用于在重要的受害者系统上隐藏其恶意软件和维持驻留。”