黑客会不断改变策略,切换目标,修改工具,尤其是国家力量支撑的黑客组织,拥有强大的资源,追踪这些黑客非常困难。其中一个例子就是“奇幻熊”(也称为APT28和Sofacy),是出自俄罗斯和东欧的多个黑客组织之一。该组织据称隶属俄罗斯军事情报机构GRU(总参谋部情报部)。
朝鲜是另一个网络攻击温床。金氏家族对其网络部队投注了大量资源,朝鲜的黑客组织与一系列网络攻击活动有关,从著名的索尼影业黑客事件,到WannaCry勒索软件和加密货币挖掘活动。
下面来谈谈2018年最需要关注的八大国家黑客组织,包括组织的别名、地理位置、著名的攻击活动和行为特点。
1. 奇幻熊( Fancy Bear )
别名:奇幻熊、APT28、Sofacy、Strontium、Sednit
出自:俄罗斯
惯常目标:攻击目标通常在欧洲,一般是政府部委机关,之前的攻击也针对过全球各国使领馆和美国。该组织对与北约相关的一切信息感兴趣,尤其是各项政策。最近几天,该组织的目光放在了平昌奥运会上。
行为:其能力强项是鱼叉式网络钓鱼,这种攻击技术同时也是大多数威胁组织的主要战术。奇幻熊由多个攻击小组组成,各自负责攻击过程的一部分。其中一个小组专注对尽可能多的目标进行网络钓鱼。一旦进入某系统,另一个小组就会用工具来形成长期驻留。
奇幻熊还以在攻击中使用社交媒体而闻名,他们会利用社交媒体散布虚假信息。比如说,该黑客团伙据传曾黑过反兴奋剂组织,试图给记者提供经篡改的数据。该组织的工具集不断发展进化,但有个名为XAgent的核心后门程序是一直在用的,所以很确定反兴奋剂组织被黑事件是该黑客团伙所为。
犯案嫌疑:对美国民主党全国委员会(DNC)、国际田联、德国议会的黑客攻击,以及影响2016美国总统大选。
尽管不断被曝光和谴责,但该黑客组织的活动似乎一点不受影响,依然十分活跃。未来,奥运会和各国大选所面临的黑客攻击可能会越来越多。该组织表现出对国际规则的蔑视,试图挑战那些寻常人从未想过的底线。
2. Lazarus组织
别名:DarkSeoul、Hermit
出自:朝鲜
惯常目标:韩国、美国、金融机构
注意:朝鲜黑客军团应该不止一支。朝鲜的互联网流量很少,所以出自不同团伙的黑客行为常被混到一起了,很难区分清楚。
行为:朝鲜黑客组织擅长社交媒体攻击。攻击者通常针对Facebook、Messenger、LinkedIn、推特和其他社交平台,他们会花很多时间梳理社交媒体信息,找出值得攻击的目标,然后跟踪分析,寻找机会。
该组织对经济利益的追求从未停止,他们全球作案,涉案金额高达数亿美元。大多数民族国家威胁组织的黑客行动都仅限于间谍或破坏;金融性网络犯罪活动似乎是朝鲜黑客组织所独有的。Lazarus组织是索尼数据泄露事件的背后黑手,其下属组织还与加密货币交易所攻击和SWIFT银行网络攻击有关。
3. Bluenoroff(Lazarus组织的分支)
出自:朝鲜
惯常目标:金融机构
行为:他们基本上是网络世界的金融家,作为Lazarus组织的分支,该团伙专门针对金融公司下手。他们的目标是获得加密货币以支持其攻击行动。
犯案嫌疑:涉及特定交易所的大额加密货币黑客行动,包括对SWIFT网络的攻击。安全研究人员认为此类攻击还将继续,尤其是在对朝鲜政府及其经济的制裁仍在继续的情况下。对朝鲜的制裁更为严厉,这些黑客也就会更活跃,因为他们需要获取更多的资金。
4. Turla
别名:Snake、Venomous Bear、Waterbug
出自:东欧
惯常目标:前苏联加盟共和国(哈萨克斯坦、土库曼斯坦),及在莫斯科的使领馆。在东欧的外交官、全球领事馆及大使馆,还有欧盟国家的外交部也是他们的目标。该组织还针对过美国国务院。
行为:该组织利用社会工程方法诱骗目标安装恶意软件,其常用手段包括水坑攻击。这种攻击手段应该会沿用下去,因为该黑客团伙不经常改变战术,每年也就那么几次,2017年更少。
该组织曾在指向Adobe合法内容分发网络IP地址的子域名上部署过带恶意软件的虚假Flash更新包,但Adobe证实其名下网络并未遭到感染,也没有分发过恶意文件。Turla将其后门捆绑进了合法 Adobe Flash 安装程序中,并从真实 Adobe URL 和IP地址下载该恶意软件,然后再让被感染主机将敏感数据发向合法 Adobe URL。
Turla已存在多年,但在静默了一段时间后,2017年起其活动开始增加。去年夏天,该组织开始利用未知后门监视大使馆和领事馆。另一个名为“白熊(WhiteBear)”的行动也被认为是Turla“ White Atlas ”工程的第二阶段。Turla的行动中,其命令与控制(C&C)基础设施由被劫持的网站和卫星连接组成。夏末时,研究人员注意到,Turla利用KopiLuwak后门针对G20峰会参与者和兴趣方(决策者、国家和记者)。
5. 沙虫(Sandworm)
别名:黑色能量(BlackEngergy)、Electrum、Iridium
出自:东欧
惯常目标:乌克兰
行为:沙虫的攻击是一波一波的,主要目标为乌克兰。专家认为其攻击在2018年呈上升趋势。该组织经常利用鱼叉式网络钓鱼方法,最近开始针对供应链下手,试图增加其目标库。虽然乌克兰是其ICS/SCADA攻击的主要目标,但目标范围的扩大也不无可能。之前它就曾把手伸向了美国公共设施系统。
鉴于工控系统攻击没有消退的迹象,沙虫很可能转换目标盯上乌克兰以外的国家,全世界的公司都有可能受到影响。
犯案嫌疑:2015和2016圣诞前夕的乌克兰大断电。去年6月主要针对乌克兰的NotPetya破坏性攻击也有可能是沙虫组织干的。
6. Scarcruft
别名:Reaper、Group 123
出自:朝鲜
惯常目标:韩国政府、军队和国防工业基础
行为:Scarcruft组织目前为止都不怎么显山露水,但开始引起安全界注意。截至目前,该组织并未表现出很强的技术实力,也没有针对过除韩国外的目标。最新的 Adobe Flash 零日漏洞与该组织有关,表明其实力有所增长。Scarcruft一直在做战略性网站入侵,尤其是与朝鲜利益相关的网站,比如事关朝韩统一或脱北者的那些网站。
7. APT29
别名:安逸熊( Cozy Bear )、CozyDuke、The Dukes
出自:东欧/俄罗斯
惯常目标:西欧政府、外交政策团体及类似组织。APT29的目标还包括智库和非政府组织(NGO)。
行为:APT29常将低频通信伪装成合法流量,并利用合法Web服务和加密SSL连接,实现在受害网络中隐身的效果。其C&C通信仅利用被黑服务器实现,还会部署后门来修复漏洞并添加新功能。
推特和GitHub之类的社交媒体平台,还有云存储服务,也是APT29会利用的指令传递和数据渗漏渠道。最近几年,其鱼叉式网络钓鱼行动针对美国政府。
犯案嫌疑:美国大选、后美国大选鱼叉式网络钓鱼攻击、民主党全国委员会黑客事件。
8. APT35
别名:新闻广播员(Newscaster)、可爱小猫( Charming Kitten )
出自:中东,尤其是伊朗
惯常目标:全球范围,但最近集中在中东,尤其是沙特阿拉伯和以色列。
行为:攻击活动全球展开,其中有部分是破坏性攻击,但尚未能将该组织与破坏性事件完全关联起来。
APT35专注于在社交网络上采用社会工程方法攻击。攻击者在社交网络创建虚假人物形象,通过发送链接诱骗雇员来打入公司企业内部。与电子邮件这种通常内置了防御措施的媒介不同,社交媒体的监管相对较弱,企业对社交媒体也缺乏控制。虽然随着美国和伊朗关系的缓和,该组织的目标有所调整,但其行动并不会停止。
