本期素材来源于:安全牛
优联创信了解到,早期的黑客主要是热衷于学习关于计算机和网络的一切知识。而如今的黑客正在开发越来越复杂的网络间谍工具,获取的经济价值也高达数百万美元,从世界500强公司转向医疗行业。
网络攻击比以往更为复杂,利润也变得更高,更加难以解决。有时,在不同类型的活动之间划清界限是一项具有挑战性的任务。不同国家有时为了共同的目标而相互合作,有时它们甚至有与网络犯罪团伙合作的嫌疑。此外,一旦发布了恶意工具,它通常会被相互竞争的威胁行为者回收和再利用。
优联创信为大家整理了以下一些最具创造性和危险性的网络间谍和网络犯罪组织,排名不分先后:
Lazarus(a.k.a.Hidden Cobra,Guardians of Peace,APT38,Whois Team,Zinc)
有国家背景的黑客组织Lazarus以有史以来最大的网络抢劫而闻名,其于2016年2月对孟加拉国银行的攻击,盗窃了超过1亿美元。然而,该组织所做的远不止这些。
在过去的十年中,Lazarus一直在暗中进行无数次行动,从针对韩国网站的DDoS攻击开始,然后转向针对该国的金融组织和基础设施,之后又在2014年攻击索尼影业,以及在2017年推出WannaCry勒索软件。
近年来,Lazarus开始研究勒索软件和加密货币,它还针对安全研究人员以获取有关正在进行的漏洞研究的信息。卡巴斯基安全研究员德米特里·加洛夫(Dmitry Galov)表示,这个团队拥有无限的资源和非常好的社会工程技能。
这些社会工程技能在持续的COVID-19病毒流行期间发挥作用,包括疫苗制造商在内的制药公司成为Lazarus当时最关注的目标之一。据微软称,黑客发送了鱼叉式网络钓鱼电子邮件,其中包含“虚构的职位描述”,诱使他们的目标点击恶意链接。
“这个团体与其他团体不同,因为虽然它是一个国家资助的团体,但他们的目标不是州政府,而是企业,有时是可能拥有某国间谍身份的人可能想要获得的信息或访问权的个人。”亚当·库贾瓦,Malwarebytes Labs的主管说。
Lazarus使用各种自定义恶意软件系列,包括后门程序、隧道程序、数据挖掘程序和破坏性恶意软件,有时是内部开发的。它在无情的运动中不遗余力。
Mandiant Threat Intelligence(FireEye)表示:“APT38的独特之处在于,他们不害怕在其行动中积极破坏证据或受害者网络。这个小组很谨慎,经过计算,并表现出希望在了解网络布局、所需权限和系统技术以实现其目标所需的时间内保持对受害环境的访问权限。”
UNC2452(a.k.a Dark Halo,Nobelium,SilverFish,StellarParticle)
2020年,成千上万的组织下载了SolarWindws Orion被恶意注入的软件,为攻击者提供了进入他们系统的入口点。五角大楼、英国政府、欧洲议会以及世界各地的几个政府机构和公司成为这次供应链攻击的受害者。
网络间谍活动在2020年12月8日被发现之前至少有九个月没有引起人们的注意,当时安全公司FireEye宣布它是一名国家资助的攻击者的受害者,该攻击者窃取了其几个红队工具。事实证明,这种黑客攻击比最初想象的要广泛得多。对SolarWinds Orion软件的供应链攻击只是攻击者使用的一个入口渠道。研究人员发现了另一次供应链攻击,这次是针对微软云服务。他们还注意到微软和VMware产品中的几个缺陷被利用。
Mandiant Threat Intelligence(FireEye)高级副总裁兼首席技术官Charles Carmakal表示:“UNC2452是我们跟踪的最先进、纪律严明且难以捉摸的威胁行为者之一。他们的手艺非常出色,精通进攻和防御技能,并利用这些知识改进了他们的入侵技术,以隐藏在显眼的地方。”他补充说,UNC2452展示了“一种很少见的操作安全性”,能够在政府机构和公司内部度过足够多的时间而不会被抓住。
美国国家安全局、联邦调查局和其他一些美国机构表示,这次行动是由俄罗斯赞助的,美国实施了制裁。他们认为,这次黑客攻击很可能是俄罗斯联邦外国情报局(SVR)所为。其他线索指向Cozy Bear/APT29组。
然而,故事似乎更加曲折。卡巴斯基研究人员注意到几个代码片段,将这次攻击与讲俄语的团伙Turla(Snake,Uroburos)联系起来,该团伙的目标是欧洲和美国的政府和外交官。
Equation Group(a.k.a.EQGRP,Housefly,Remsec)
另一个拥有卓越技能和资源的威胁参与者,Equation Group,于2000年代初开始运作,甚至可能更早。不过在卡巴斯基的安全研究人员发表了一份详细介绍该组织的一些最先进工具的报告后,它仅在2015年成为头条新闻。报告的标题之一是:“与网络间谍的‘上帝’会合”。
Equation Group得名是因为它使用强大的加密和高级混淆方法。它的工具非常复杂,并且与NSA的定制访问操作(TAO)部门相关联。
该组织的目标是政府、军队和外交组织,金融机构以及在电信、航空航天、能源、石油和天然气、媒体和运输领域运营的公司。许多受害者来自伊朗、俄罗斯、巴基斯坦、阿富汗、印度、叙利亚和马里。
Equation Group最强大的工具之一是一个模块,该模块可以对包括希捷、西部数据、东芝和IBM在内的各种制造商的硬盘固件进行重新编程,以创建一个可以在擦除和重新格式化后仍然存在的秘密存储库。该小组还创建了一个基于USB的命令和控制机制,允许映射物理隔离网络。它是在将类似功能集成到Stuxnet之前做到的。
“网络武器本质上是数字化且易变的。”CheckPoint研究人员Eyal Itkin和Itay Cohen写道。“窃取它们并从一个大陆转移到另一个大陆就像发送电子邮件一样简单。”
Carbanak(a.k.a Anunak,Cobalt—overlaps with FIN7)
2013年,几家金融机构也以同样的方式遭到黑客攻击。攻击者发送鱼叉式网络钓鱼电子邮件试图渗透组织。然后它使用各种工具访问可用于提取数据或金钱的PC或服务器。负责这些攻击的网络犯罪团伙Carbanak像APT一样精心开展活动,经常在受害者的系统中潜伏数月而不被发现。
Carbanak集团的总部可能位于乌克兰,其目标包括主要位于俄罗斯、美国、德国和中国的金融公司。一名受害者因ATM欺诈而损失了730万美元,而另一名受害者在其网上银行平台成为攻击目标后损失了1000万美元。有时,该小组会命令ATM在预定时间分发现金,而无需现场人工干预。
早在2014年,几家安全公司就对Carbanak进行了调查,都得出了不同的结论。“Carbanak似乎是使用相同恶意软件的两个不同群体,一组主要关注金融机构(卡巴斯基对这一组进行了大量调查),而另一组则更多地关注零售组织。虽然有人对此提出异议,但主要的理论是,最初有一个组后来落入了几个亚组。”卡巴斯基高级安全研究员Ariel Jungheit说。
2018年3月,欧洲刑警组织宣布,经过“复杂调查”,已逮捕了Carbanak集团的主谋。然而,今天,许多属于该团伙的网络犯罪分子仍然活跃,也许是不同团体的一部分,Jungheit说。FIN7网络犯罪团伙主要对零售和酒店感兴趣,而Cobalt则专注于金融机构。
“针对与FIN7等资源丰富的大型犯罪集团有关联的个人的执法行动的影响可能难以评估,因为核心职责通常可以由许多人或团队分担。在这次逮捕之后,FIN7的战术、技术和程序并未发生重大转变。”高级分析经理Jeremy Kennelly说。
Sandworm(a.k.a.Telebots,Electrum,Voodoo Bear,Iron Viking)
俄罗斯网络间谍组织Sandworm与过去十年中一些最具破坏性的事件有关,包括2015年和2016年乌克兰的停电、2017年NotPetya供应链攻击(该攻击提供最初用于勒索软件的恶意软件)、针对2018平昌冬奥会在俄罗斯运动员被禁服用兴奋剂之后,以及与多个国家的选举有关的行动,包括2016年的美国、2017年的法国和2019年的格鲁吉亚。
Mandiant Threat Intelligence(FireEye)副总裁John Hultquist表示:“2019年10月对GRU官员的起诉就像是我们所目睹的许多最重要的网络攻击事件的清单。我们非常有信心地评估俄罗斯军事情报GRU部门74455赞助了沙虫活动。”
近年来,该组织的策略、技术和程序发生了变化,以整合勒索软件,研究人员对此并不感到惊讶。Mandiant Threat Intelligence的分析主管Ben Read表示:“基于加密的勒索软件通常与具有广泛针对性的网络犯罪活动相关联,很容易被网络间谍活动者重新利用,以进行一种破坏性攻击。”
Evil Corp(a.k.a. Indrik Spider)
Evil Corp的名字来源于“Mr.Robot”系列,但它的成员和它的功绩早于节目。这个讲俄语的组织是有史以来最危险的银行木马之一Dridex(也称为Cridex或Bugat)的创建者。该组织在2020年袭击了Garmin和其他数十家公司。
法庭文件显示,Evil Corp使用特许经营模式,以100,000美元和50%的收入换取Dridex。联邦调查局估计,该团伙在过去十年中盗窃了不少于1亿美元。
安全研究人员表示,除了Dridex,Evil Corp还创建了WastedLocker勒索软件家族和Hades勒索软件。ESET还宣布BitPaymer勒索软件可能是同一个威胁者所为。Kujawa说:“让这个团体与众不同的是他们在攻击中的效率,许多安全组织将Evil Corp的运作与我们从国家资助、资源丰富和训练有素的行为者身上看到的进行了比较。”
2019年,美国司法部对该团伙的两名知名成员Maksim Yakubets和Igor Turashev提出了多项刑事指控,包括串谋欺诈和电汇欺诈,但这并没有阻止该团伙继续其活动。CrowdStrike Intelligence高级副总裁Adam Meyers表示:“在过去的一年里,这个对手采用了新工具并重新命名了几个工具,以避免美国财政部实施的制裁措施,这些制裁措施会阻止受害者支付赎金要求。尽管对与该组织有关的个人提出了积极的起诉并对其业务进行了制裁,但该行为者继续蓬勃发展。”
Fancy Bear(a.k.a. APT28,Sofacy,Sednit,Strontium)
这个讲俄语的团体自2000年代中期以来一直存在,目标是美国、西欧和南高加索的政府和军事组织以及能源和媒体公司。其受害者可能包括德国和挪威议会、白宫、北约和法国电视台TV5。
Fancy Bear最出名的是在2016年闯入民主党全国委员会和希拉里克林顿的竞选活动,据称影响了总统选举的结果。人们相信Fancy Bear是Guccifer 2.0角色的幕后推手。据CrowdStrike称,另一个讲俄语的组织Cozy Bear也在民主党的计算机网络中,独立窃取密码。然而,显然,两只熊并不知道彼此。
Fancy Bear主要通过通常在周一和周五发送的鱼叉式网络钓鱼消息来针对其受害者。有几次,它注册了看起来与合法域名相似的域名,建立虚假网站以获取凭据。
目录
◆Lazarus(又名Hidden Cobra、Guardians of Peace、APT38、Whois Team、Zinc)
◆UNC2452(又名Dark Halo、Nobelium、SilverFish、StellarParticle)
◆方程组(又名EQGRP、家蝇、Remsec)
◆Carbanak(又名Anunak,Cobalt——与FIN7重叠)
◆沙虫(又名Telebots、Electrum、Voodoo Bear、Iron Viking)
◆LuckyMouse(a.k.a.Emissary Panda, Iron Tiger,APT27)
此攻击者已经活跃了十多年,针对不同行业的外国大使馆和组织,包括航空航天、国防、技术、能源、医疗保健、教育和政府。它已在北美和南美、欧洲、亚洲和中东开展业务。
卡巴斯基的Jungheit表示,该团队在渗透测试方面具有很高的技能,通常使用公开可用的工具,例如Metasploit框架。“除了鱼叉式网络钓鱼作为一种交付方法,攻击者还在他们的操作中使用SWC(战略网络入侵)来瞄准一组取得显著成功的受害者。”他补充道。
趋势科技的研究人员注意到,该组织可以快速更新和修改其工具,使研究人员难以发现它们。
REvil(a.k.a. Sodinokibi,Pinchy Spider—related to GandCrab)
REvil其名字来自生化危机电影和视频游戏系列,运行一些最丰富的勒索软件作为一种服务(RAAS)业务,总部设在俄语世界。该组织于2019年4月首次出现,即臭名昭著的GandCrab关闭后不久,此后其业务似乎蓬勃发展。其受害者包括宏碁、本田、Travelex和杰克丹尼威士忌的制造商Brown-Forman。
“REvil运营商索要2021年最高的赎金,为了分发勒索软件,REvil与在网络犯罪论坛上受雇的附属机构合作。附属机构赚取赎金的60%到75%。”Jungheit说。
开发人员定期更新REvil勒索软件,以避免检测到正在进行的攻击。Jungheit说:“该组织会在他们在网络犯罪论坛上的帖子中告知合作伙伴计划中的所有重大更新和新职位。”
Malwarebytes Labs的Kujawa表示,REvil与其他团体的不同之处在于其开发人员的业务重点。“该组织的一名成员去年接受采访时称,他们支付了1亿美元的赎金并威胁要发布数据,他们计划在未来通过使用DDoS攻击来扩大勒索能力,”他说。.
Wizard Spider
讲俄语的Wizard Spider 组织于2016年首次被发现,但近年来变得越来越复杂,构建了多种用于网络犯罪的工具。起初,Wizard Spider以其商业银行恶意软件TrickBot而闻名,但后来扩展了其工具集,包括Ryuk、Conti和BazarLoader。该团伙不断调整其武器库,以使其更有利可图。
CrowdStrike Intelligence的迈耶斯说:“Wizard Spider的恶意软件语料库并未在犯罪论坛上公开宣传,表明它们可能只向受信任的犯罪集团出售访问权限或与之合作。” 该组织开展了不同类型的操作,包括一些非常具体的操作,它们倾向于进行非常有针对性、高回报的勒索软件活动,称为“大型游戏狩猎”。
Wizard Spider会根据其目标的价值计算它要求的赎金,而且似乎没有任何行业是禁区。在COVID-19病毒肆虐期间,它与Ryuk和Conti一起袭击了美国的数十家医疗机构。来自世界不同地区的医院也受到了影响。
BONUS: Winnti(a.k.a. Barium,Double Dragon,Wicked Panda,APT41,Lead,Bronze Atlas)Winnti
BONUS: Winnti它们进行的网络攻击。其网络间谍活动以医疗保健和技术公司为目标,经常窃取知识产权。与此同时,其出于经济动机的网络犯罪部门攻击视频游戏行业,操纵虚拟货币,并试图部署勒索软件。
已经观察到Winnti使用数十种不同的代码系列和工具,并且它经常依赖鱼叉式网络钓鱼电子邮件来渗透组织。“在将近一年的活动中,APT41入侵了数百个系统,并使用了近150种独特的恶意软件,包括后门程序、凭据窃取程序、键盘记录程序和rootkit。APT41还在有限的基础上部署了rootkit和主引导记录(MBR)引导包,以隐藏其恶意软件并在选定的受害者系统上保持持久性。”Mandiant Threat Intelligence表示。