“百花齊放”的全球黑客組織
責(zé)編:gltian |2019-12-05 13:23:59網(wǎng)絡(luò)攻擊領(lǐng)域的“進(jìn)步”一年比一年明顯。自去年以來,全球安全研究人員發(fā)現(xiàn)了大量新對(duì)手,更多的攻擊方法、更多的大規(guī)模攻擊。
新加坡網(wǎng)絡(luò)安全公司Group-IB在近期發(fā)布的一份報(bào)告,描述了在2018年下半年和2019年上半年中所記錄的高威脅網(wǎng)絡(luò)攻擊的演化。
“新人”RedCurl
2019年,出現(xiàn)一個(gè)名為RedCurl的新組織,主要針對(duì)保險(xiǎn)、咨詢、采礦、鐵廠、零售和建筑公司發(fā)起間諜和金融盜竊攻擊。
根據(jù)Group-IB的說法,這個(gè)新組織實(shí)力很強(qiáng)且隱匿性較高,往往都使用合法的服務(wù)來與其控制服務(wù)器通信。
他們通過使用自制的木馬來實(shí)施一系列惡意攻擊,首先嘗試從受害者那里竊取重要的文檔,然后在目標(biāo)機(jī)器上安裝門羅幣的挖礦軟件。RedCurl似乎對(duì)有關(guān)支付和商業(yè)合作的信息很感興趣。
這個(gè)組織還擁有高超的釣魚技巧。他們會(huì)為每個(gè)目標(biāo)定制獨(dú)特的釣魚信息,從而大幅提高成功率。
目前還不清楚RedCurl只是一個(gè)單獨(dú)的網(wǎng)絡(luò)犯罪組織,還是有政府背景。Group-IB正在嘗試探究其背后的各種關(guān)聯(lián)。
大多數(shù)受害者在東歐,不過也有位于北美的公司。Group-IB表示,從釣魚文件的語言和相關(guān)電子郵件服務(wù)器來看,至少有一名團(tuán)隊(duì)成員說的是俄語。
金錢至上
Group-IB在報(bào)告中列舉了五家極為活躍的針對(duì)金融機(jī)構(gòu)的網(wǎng)絡(luò)犯罪組織,其中三家也有講俄語的人員(Cobalt、Silence、MoneyTaker),而且還涉及攻擊ATM的犯罪組織。
另外兩個(gè)是Lazarus和SilentCard。SilentCard是一個(gè)來自肯尼亞的新組織,他們的目標(biāo)是非洲的銀行,可以說是碩果累累。
盡管還有其它因素威脅著金融行業(yè),但Group-IB在報(bào)告表示,這5個(gè)團(tuán)隊(duì)的“貢獻(xiàn)”尤為突出。
他們通常會(huì)在已攻陷目標(biāo)的網(wǎng)絡(luò)上花費(fèi)大量時(shí)間進(jìn)行摸索,深入了解其構(gòu)成,以便對(duì)業(yè)務(wù)和員工實(shí)施長(zhǎng)期監(jiān)控。
從統(tǒng)計(jì)圖來看,自2018年下半年以來,他們一直很“忙”,幾乎每個(gè)月都在不停攻擊。
目前,關(guān)于SilentCard的細(xì)節(jié)還很少,但研究人員確定其在當(dāng)?shù)匾褏⑴c了兩起成功的攻擊。
由于惡意軟件樣本有限,Group-IB假定SilentCard使用了“目標(biāo)網(wǎng)絡(luò)內(nèi)部的已完全控制的設(shè)備,進(jìn)行深入攻擊”。
國(guó)家背景的攻擊組織
為政府工作的攻擊組織(也稱為APT組織)也很忙,在Group-IB觀察的這段時(shí)間里,有38個(gè)組織在活動(dòng),今年已發(fā)現(xiàn)了七起相關(guān)網(wǎng)絡(luò)間諜活動(dòng)。
盡管有些組織是在去年才發(fā)現(xiàn)的,但實(shí)際存在時(shí)間要長(zhǎng)得多,有些甚至早在2011年就出現(xiàn)了。
其中有一個(gè)組織名為Windshift,DarkMatter在2018年對(duì)其工具和策略進(jìn)行了分析。不過從2017年以來,它就一直對(duì)中東政府機(jī)構(gòu)和關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行間諜攻擊。
Blue Mushroom(又名藍(lán)蘑菇和APT-C-12),從2011年開始行動(dòng),直到2018年年中才正式確定其存在。據(jù)奇虎360的報(bào)告,它的目標(biāo)是核工業(yè)和科學(xué)研究。
而賽門鐵克在2018年發(fā)現(xiàn)了Gallmaker,至少?gòu)?017年12月就開始攻擊,依靠非公開的工具對(duì)政府和軍事目標(biāo)發(fā)動(dòng)攻擊。
而在今年年初,奇虎360披露了一個(gè)來自南美的攻擊組織(APT-C-36或Blind Eagle),主要從重要公司和政府機(jī)構(gòu)的竊取商業(yè)機(jī)密。
Whitefly主要針對(duì)新加坡的醫(yī)療、媒體、電信和工程行業(yè)的企業(yè)實(shí)體。該組織最初的活動(dòng)可追蹤到2017年,而真正讓它出名的是2018年7月新加坡最大公共衛(wèi)生組織遭到網(wǎng)絡(luò)攻擊,150萬份病人記錄被盜。
Hexane或Lyceum主要對(duì)中東地區(qū)的關(guān)鍵基礎(chǔ)設(shè)施很感興趣,并在8月被首次披露。不過研究人員早就對(duì)其進(jìn)行了詳細(xì)審查。SecureWorks公布了其攻擊方式和技術(shù)細(xì)節(jié)。
第七個(gè)APT組織目前仍是未知,因?yàn)檠芯咳藛T對(duì)它所使用的攻擊框架知之甚少。卡巴斯基發(fā)現(xiàn),這套名為TajMahal的設(shè)備包含大約80個(gè)模塊,被用來攻擊中亞的一個(gè)外交機(jī)構(gòu)。
網(wǎng)絡(luò)戰(zhàn)爭(zhēng)已升級(jí)
當(dāng)前,網(wǎng)絡(luò)安全已成為政治領(lǐng)導(dǎo)人的共同話題,也是軍事行動(dòng)的主要內(nèi)容。
政府使用惡意軟件來瓦解對(duì)手已不再是一種預(yù)測(cè),而是真實(shí)存在的事件。多家能源工廠遭受網(wǎng)絡(luò)攻擊,而攻擊組織是很難從中直接獲利的。
而在今年夏天,美國(guó)對(duì)伊朗的武器系統(tǒng)發(fā)起了攻擊。因?yàn)樵撓到y(tǒng)擊落了一架美國(guó)無人偵察機(jī),還對(duì)油輪發(fā)動(dòng)了攻擊。
Group-IB首席技術(shù)官Dmitry Volkov表示,2018年的統(tǒng)計(jì)信息表明,全球網(wǎng)絡(luò)世界對(duì)于微處理器的漏洞和攻擊準(zhǔn)備不足,而2019年則展示了網(wǎng)絡(luò)軍隊(duì)的政治行動(dòng)。
“多年來,那些以國(guó)家利益為目的的組織都沒有引起人們的注意,只有少數(shù)此類事件為人所知,而大量國(guó)家的關(guān)鍵基礎(chǔ)設(shè)施已遭到破壞。”
(本文轉(zhuǎn)載自?T00ls?)
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧