Group-IB:2019年全球没有节操黑客组织排行

我不生产钱,但我是金钱的搬运工,你见过专门针对 ATM 机的黑客吗?有些黑客为了钱,有些黑客则是“爱国”,但别国很生气,你爱国可以,别朝我们国家的核工业伸出黑手啊!还有些黑客口味很重啊,保险、咨询、采矿、炼钢、零售、建筑公司……一个都不放过。

新加坡网络安全公司 Group-IB 的研究员很惆怅,挖出了一堆在2018 年下半年与 2019 年上半年期间,表现得十分没有“节操”的黑客组织。

他们的渗透方法变得丰富多样,网络攻击更是直接走到了明处。

新对手 RedCurl

2019 年,一个名为 RedCurl 的新晋黑客组织开始崭露头角,它们既当间谍又搞金融盗窃,而且攻击范围很广,保险、咨询、采矿、炼钢、零售与建筑公司一个也跑不了。Group-IB 表示,RedCurl 背后的黑客技术超群,非常难追查。RedCurl 能一直隐藏自己主要还是因为它们用合法服务与自己的命令与控制(C2)服务器进行通信。

为了行不法之事,黑客非常依赖自定义的木马。得手后它们第一个任务就是窃取受害者的重要文档,随后安装 XMRIG 借你的算力挖矿(门罗币)。

当然,RedCurl 也并非所有文档照单全收,它们更喜欢协议、付款与合同等信息。

与以往粗放式的攻击不同,RedCurl 这个对手在钓鱼攻击时手法可是相当专业。它们会针对不同的受害者定制专用信息,这样才能有个更高的成功率。

眼下,RedCurl 的真面目还不够清晰,没人知道它们到底是网络犯罪组织,还是某国家组织的攻击小队。不过,Group-IB 还是试图通过查看工具、技术和手法来寻找蛛丝马迹。

RedCurl 的大部分受害者都在东欧,但北美也有一家公司中招。从诱饵文件所用的预言以及黑客组织使用的电邮服务来看,它们中至少有一个人是说俄语的。

一切向钱看

Group-IB 揪出了 5 个针对金融机构的活跃网络犯罪组织,而它们中有三个(Cobalt, Silence, MoneyTaker)都说俄语,同时这些组织也是用木马控制 ATM 机最熟练的。

另外两个组织 Lazarus 与 SilentCard 则来自肯尼亚,它们专攻非洲银行,虽然技术一般,但玩得相当成功。



专门针对银行的黑客组织

诚然,网络上威胁金融领域的犯罪组织还很多,但 Group-IB 认为这 5 个能带来非常严重的破坏。

这些组织通常会在被攻破的网络上花费大量时间,以学习其中的诀窍,这样它们就能像被监控的受害者一样管理金融业务了。

Group-IB 绘制的网络攻击地图显示,无论得手与否,2018 年下半年开始这些组织就进入了活跃期,它们几乎每个月都有大动作。



Group-IB 绘制的网络攻击地图

目前我们还没有关于 SilentCard 的详细资料,但研究人员判断该组织就在肯尼亚本地运营,它们已经成功完成了两次盗窃。

借助仅有的恶意软件样本,Group-IB 猜测 SilentCard 攻击公司网络时用了一种自行研发的控制设备。

有国家撑腰的黑客

除了以上这些网络毒瘤,有政府在背后撑腰的黑客们(也被称为 APT 组织)最近几年也很忙。Group-IB 在报告中就列出了 38 个活跃的组织,其中有 7 个是今年新冒出来的网络间谍组织。

虽然有些新组织去年才露了马脚,但它们其实很早就开始活动了,最早甚至可以追溯到 2011 年。



有国家撑腰的活跃黑客组织

其中的典型之一就是 Windshift, DarkMatter 去年 8 月份还专门对其工具与策略进行了分析。不过,它们 2017 年就开始当网络间谍,针对中东地区政府雇员和关键基础设施刺探情报了。

Blue Mushroom(别名为 Sapphire Mushroom 和 APT-C-12)则是个 2011 年就正式启动的黑客组织,但去年年中它们的隐形模式才被打破。这个组织更狠,它们专攻核工业与科学研究机构。

Gallmaker 也是 2018 年才被抓住小辫子的 APT 组织,赛门铁克认为 2017 年年末它们就正式成军了。据悉,Gallmaker 主要依靠自制工具对政府和军事目标发动攻击。

今年年初奇虎 360 的一份报告则显示,名为 APT-C-36(亦称 Blind Eagle)的南美黑客组织多次参与了重要公司与政府机构的商业机密盗窃。

名为 Whitefly 的黑客组织则主要盯上了新加坡的医疗、媒体、通讯与工程公司,它们 2017 年就开始活动,去年 7 月因为攻击新加坡最大的公共卫生机构而“成名”,当时有 150 万名病人的资料被窃取。

Hexane 与 Lyceum 则只对中东的关键基础设施感兴趣,今年 8 月份它们才正式脱离隐身状态。 SecureWorks 最近就公布了该组织进行黑客攻击时的具体技术手法。

第七家 APT 组织 TajMahal 现在才只是刚刚露了个头,关于它们的资料还很少。卡巴斯基发现它们的攻击框架相当高级,单是一个套件就包含了 80 个模组,TajMahal 正是用它攻破了中亚某外交机构的防御。

网络战升级

对政治领袖和军事行动来说,网络安全已经成了木筒上那块板子,任谁也不敢慢待。从现有形势来看,黑客们已经脱掉了隐形衣,它们开始光着膀子上阵厮杀了。为此,政府机构也不得不加紧数字工具的升级,以防出现不测。

至于借网络攻击对敌人进行报复最近更是成了日常手段,比如今年夏天美国对伊朗武器系统的攻击(报复伊朗击落美军无人机)。

Group-IB 公司 CTO Dmitry Volkov 指出,2018 年让我们认识到,网络世界面对旁路攻击是多么的脆弱,而 2019 年的主题则是网络空间上的秘密军事行动。
免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐