十大最危險的黑客組織
責編:gltian |2021-06-23 10:14:41
早期的黑客主要是熱衷于學習關于計算機和網絡的一切知識。而如今的黑客正在開發越來越復雜的網絡間諜工具,獲取的經濟價值也高達數百萬美元,從世界500強公司轉向醫療行業。
網絡攻擊比以往更為復雜,利潤也變得更高,更加難以解決。有時,在不同類型的活動之間劃清界限是一項具有挑戰性的任務。不同國家有時為了共同的目標而相互合作,有時它們甚至有與網絡犯罪團伙合作的嫌疑。此外,一旦發布了惡意工具,它通常會被相互競爭的威脅行為者回收和再利用。
以下是一些最具創造性和危險性的網絡間諜和網絡犯罪組織,排名不分先后:
Lazarus(a.k.a.Hidden Cobra,Guardians of Peace,APT38,Whois Team,Zinc)
有國家背景的黑客組織Lazarus以有史以來最大的網絡搶劫而聞名,其于2016年2月對孟加拉國銀行的攻擊,盜竊了超過1億美元。然而,該組織所做的遠不止這些。
在過去的十年中,Lazarus一直在暗中進行無數次行動,從針對韓國網站的DDoS攻擊開始,然后轉向針對該國的金融組織和基礎設施,之后又在2014年攻擊索尼影業,以及在2017年推出WannaCry勒索軟件。
近年來,Lazarus開始研究勒索軟件和加密貨幣,它還針對安全研究人員以獲取有關正在進行的漏洞研究的信息。卡巴斯基安全研究員德米特里·加洛夫(Dmitry Galov)表示,這個團隊擁有無限的資源和非常好的社會工程技能。
這些社會工程技能在持續的COVID-19病毒流行期間發揮作用,包括疫苗制造商在內的制藥公司成為Lazarus當時最關注的目標之一。據微軟稱,黑客發送了魚叉式網絡釣魚電子郵件,其中包含“虛構的職位描述”,誘使他們的目標點擊惡意鏈接。
“這個團體與其他團體不同,因為雖然它是一個國家資助的團體,但他們的目標不是州政府,而是企業,有時是可能擁有某國間諜身份的人可能想要獲得的信息或訪問權的個人。”亞當·庫賈瓦,Malwarebytes Labs的主管說。
Lazarus使用各種自定義惡意軟件系列,包括后門程序、隧道程序、數據挖掘程序和破壞性惡意軟件,有時是內部開發的。它在無情的運動中不遺余力。
Mandiant Threat Intelligence(FireEye)表示:“APT38的獨特之處在于,他們不害怕在其行動中積極破壞證據或受害者網絡。這個小組很謹慎,經過計算,并表現出希望在了解網絡布局、所需權限和系統技術以實現其目標所需的時間內保持對受害環境的訪問權限。”
UNC2452(a.k.a Dark Halo,Nobelium,SilverFish,StellarParticle)
2020年,成千上萬的組織下載了SolarWindws Orion被惡意注入的軟件,為攻擊者提供了進入他們系統的入口點。五角大樓、英國政府、歐洲議會以及世界各地的幾個政府機構和公司成為這次供應鏈攻擊的受害者。
網絡間諜活動在2020年12月8日被發現之前至少有九個月沒有引起人們的注意,當時安全公司FireEye宣布它是一名國家資助的攻擊者的受害者,該攻擊者竊取了其幾個紅隊工具。事實證明,這種黑客攻擊比最初想象的要廣泛得多。對SolarWinds Orion軟件的供應鏈攻擊只是攻擊者使用的一個入口渠道。研究人員發現了另一次供應鏈攻擊,這次是針對微軟云服務。他們還注意到微軟和VMware產品中的幾個缺陷被利用。
Mandiant Threat Intelligence(FireEye)高級副總裁兼首席技術官Charles Carmakal表示:“UNC2452是我們跟蹤的最先進、紀律嚴明且難以捉摸的威脅行為者之一。他們的手藝非常出色,精通進攻和防御技能,并利用這些知識改進了他們的入侵技術,以隱藏在顯眼的地方。”他補充說,UNC2452展示了“一種很少見的操作安全性”,能夠在政府機構和公司內部度過足夠多的時間而不會被抓住。
美國國家安全局、聯邦調查局和其他一些美國機構表示,這次行動是由俄羅斯贊助的,美國實施了制裁。他們認為,這次黑客攻擊很可能是俄羅斯聯邦外國情報局(SVR)所為。其他線索指向Cozy Bear/APT29組。
然而,故事似乎更加曲折。卡巴斯基研究人員注意到幾個代碼片段,將這次攻擊與講俄語的團伙Turla(Snake,Uroburos)聯系起來,該團伙的目標是歐洲和美國的政府和外交官。
Equation Group(a.k.a.EQGRP,Housefly,Remsec)
另一個擁有卓越技能和資源的威脅參與者,Equation Group,于2000年代初開始運作,甚至可能更早。不過在卡巴斯基的安全研究人員發表了一份詳細介紹該組織的一些最先進工具的報告后,它僅在2015年成為頭條新聞。報告的標題之一是:“與網絡間諜的‘上帝’會合”。
Equation Group得名是因為它使用強大的加密和高級混淆方法。它的工具非常復雜,并且與NSA的定制訪問操作(TAO)部門相關聯。
該組織的目標是政府、軍隊和外交組織,金融機構以及在電信、航空航天、能源、石油和天然氣、媒體和運輸領域運營的公司。許多受害者來自伊朗、俄羅斯、巴基斯坦、阿富汗、印度、敘利亞和馬里。
Equation Group最強大的工具之一是一個模塊,該模塊可以對包括希捷、西部數據、東芝和IBM在內的各種制造商的硬盤固件進行重新編程,以創建一個可以在擦除和重新格式化后仍然存在的秘密存儲庫。該小組還創建了一個基于USB的命令和控制機制,允許映射物理隔離網絡。它是在將類似功能集成到Stuxnet之前做到的。
“網絡武器本質上是數字化且易變的。”CheckPoint研究人員Eyal Itkin和Itay Cohen寫道。“竊取它們并從一個大陸轉移到另一個大陸就像發送電子郵件一樣簡單。”
Carbanak(a.k.a Anunak,Cobalt—overlaps with FIN7)
2013年,幾家金融機構也以同樣的方式遭到黑客攻擊。攻擊者發送魚叉式網絡釣魚電子郵件試圖滲透組織。然后它使用各種工具訪問可用于提取數據或金錢的PC或服務器。負責這些攻擊的網絡犯罪團伙Carbanak像APT一樣精心開展活動,經常在受害者的系統中潛伏數月而不被發現。
Carbanak集團的總部可能位于烏克蘭,其目標包括主要位于俄羅斯、美國、德國和中國的金融公司。一名受害者因ATM欺詐而損失了730萬美元,而另一名受害者在其網上銀行平臺成為攻擊目標后損失了1000萬美元。有時,該小組會命令ATM在預定時間分發現金,而無需現場人工干預。
早在2014年,幾家安全公司就對Carbanak進行了調查,都得出了不同的結論。“Carbanak似乎是使用相同惡意軟件的兩個不同群體,一組主要關注金融機構(卡巴斯基對這一組進行了大量調查),而另一組則更多地關注零售組織。雖然有人對此提出異議,但主要的理論是,最初有一個組后來落入了幾個亞組。”卡巴斯基高級安全研究員Ariel Jungheit說。
2018年3月,歐洲刑警組織宣布,經過“復雜調查”,已逮捕了Carbanak集團的主謀。然而,今天,許多屬于該團伙的網絡犯罪分子仍然活躍,也許是不同團體的一部分,Jungheit說。FIN7網絡犯罪團伙主要對零售和酒店感興趣,而Cobalt則專注于金融機構。
“針對與FIN7等資源豐富的大型犯罪集團有關聯的個人的執法行動的影響可能難以評估,因為核心職責通常可以由許多人或團隊分擔。在這次逮捕之后,FIN7的戰術、技術和程序并未發生重大轉變。”高級分析經理Jeremy Kennelly說。
Sandworm(a.k.a.Telebots,Electrum,Voodoo Bear,Iron Viking)
俄羅斯網絡間諜組織Sandworm與過去十年中一些最具破壞性的事件有關,包括2015年和2016年烏克蘭的停電、2017年NotPetya供應鏈攻擊(該攻擊提供最初用于勒索軟件的惡意軟件)、針對2018平昌冬奧會在俄羅斯運動員被禁服用興奮劑之后,以及與多個國家的選舉有關的行動,包括2016年的美國、2017年的法國和2019年的格魯吉亞。
Mandiant Threat Intelligence(FireEye)副總裁John Hultquist表示:“2019年10月對GRU官員的起訴就像是我們所目睹的許多最重要的網絡攻擊事件的清單。我們非常有信心地評估俄羅斯軍事情報GRU部門74455贊助了沙蟲活動。”
近年來,該組織的策略、技術和程序發生了變化,以整合勒索軟件,研究人員對此并不感到驚訝。Mandiant Threat Intelligence的分析主管Ben Read表示:“基于加密的勒索軟件通常與具有廣泛針對性的網絡犯罪活動相關聯,很容易被網絡間諜活動者重新利用,以進行一種破壞性攻擊。”
Evil Corp(a.k.a. Indrik Spider)
Evil Corp的名字來源于“Mr.Robot”系列,但它的成員和它的功績早于節目。這個講俄語的組織是有史以來最危險的銀行木馬之一Dridex(也稱為Cridex或Bugat)的創建者。該組織在2020年襲擊了Garmin和其他數十家公司。
法庭文件顯示,Evil Corp使用特許經營模式,以100,000美元和50%的收入換取Dridex。聯邦調查局估計,該團伙在過去十年中盜竊了不少于1億美元。
安全研究人員表示,除了Dridex,Evil Corp還創建了WastedLocker勒索軟件家族和Hades勒索軟件。ESET還宣布BitPaymer勒索軟件可能是同一個威脅者所為。Kujawa說:“讓這個團體與眾不同的是他們在攻擊中的效率,許多安全組織將Evil Corp的運作與我們從國家資助、資源豐富和訓練有素的行為者身上看到的進行了比較。”
2019年,美國司法部對該團伙的兩名知名成員Maksim Yakubets和Igor Turashev提出了多項刑事指控,包括串謀欺詐和電匯欺詐,但這并沒有阻止該團伙繼續其活動。CrowdStrike Intelligence高級副總裁Adam Meyers表示:“在過去的一年里,這個對手采用了新工具并重新命名了幾個工具,以避免美國財政部實施的制裁措施,這些制裁措施會阻止受害者支付贖金要求。盡管對與該組織有關的個人提出了積極的起訴并對其業務進行了制裁,但該行為者繼續蓬勃發展。”
Fancy Bear(a.k.a. APT28,Sofacy,Sednit,Strontium)
這個講俄語的團體自2000年代中期以來一直存在,目標是美國、西歐和南高加索的政府和軍事組織以及能源和媒體公司。其受害者可能包括德國和挪威議會、白宮、北約和法國電視臺TV5。
Fancy Bear最出名的是在2016年闖入民主黨全國委員會和希拉里克林頓的競選活動,據稱影響了總統選舉的結果。人們相信Fancy Bear是Guccifer 2.0角色的幕后推手。據CrowdStrike稱,另一個講俄語的組織Cozy Bear也在民主黨的計算機網絡中,獨立竊取密碼。然而,顯然,兩只熊并不知道彼此。
Fancy Bear主要通過通常在周一和周五發送的魚叉式網絡釣魚消息來針對其受害者。有幾次,它注冊了看起來與合法域名相似的域名,建立虛假網站以獲取憑據。
目錄
- Lazarus(又名Hidden Cobra、Guardians of Peace、APT38、Whois Team、Zinc)
- UNC2452(又名Dark Halo、Nobelium、SilverFish、StellarParticle)
- 方程組(又名EQGRP、家蠅、Remsec)
- Carbanak(又名Anunak,Cobalt——與FIN7重疊)
- 沙蟲(又名Telebots、Electrum、Voodoo Bear、Iron Viking)
- LuckyMouse(a.k.a.Emissary Panda, Iron Tiger,APT27)
此攻擊者已經活躍了十多年,針對不同行業的外國大使館和組織,包括航空航天、國防、技術、能源、醫療保健、教育和政府。它已在北美和南美、歐洲、亞洲和中東開展業務。
卡巴斯基的Jungheit表示,該團隊在滲透測試方面具有很高的技能,通常使用公開可用的工具,例如Metasploit框架。“除了魚叉式網絡釣魚作為一種交付方法,攻擊者還在他們的操作中使用SWC(戰略網絡入侵)來瞄準一組取得顯著成功的受害者。”他補充道。
趨勢科技的研究人員注意到,該組織可以快速更新和修改其工具,使研究人員難以發現它們。
REvil(a.k.a. Sodinokibi,Pinchy Spider—related to GandCrab)
REvil其名字來自生化危機電影和視頻游戲系列,運行一些最豐富的勒索軟件作為一種服務(RAAS)業務,總部設在俄語世界。該組織于2019年4月首次出現,即臭名昭著的GandCrab關閉后不久,此后其業務似乎蓬勃發展。其受害者包括宏碁、本田、Travelex和杰克丹尼威士忌的制造商Brown-Forman。
“REvil運營商索要2021年最高的贖金,為了分發勒索軟件,REvil與在網絡犯罪論壇上受雇的附屬機構合作。附屬機構賺取贖金的60%到75%。”Jungheit說。
開發人員定期更新REvil勒索軟件,以避免檢測到正在進行的攻擊。Jungheit說:“該組織會在他們在網絡犯罪論壇上的帖子中告知合作伙伴計劃中的所有重大更新和新職位。”
Malwarebytes Labs的Kujawa表示,REvil與其他團體的不同之處在于其開發人員的業務重點。“該組織的一名成員去年接受采訪時稱,他們支付了1億美元的贖金并威脅要發布數據,他們計劃在未來通過使用DDoS攻擊來擴大勒索能力,”他說。.
Wizard Spider
講俄語的Wizard Spider 組織于2016年首次被發現,但近年來變得越來越復雜,構建了多種用于網絡犯罪的工具。起初,Wizard Spider以其商業銀行惡意軟件TrickBot而聞名,但后來擴展了其工具集,包括Ryuk、Conti和BazarLoader。該團伙不斷調整其武器庫,以使其更有利可圖。
CrowdStrike Intelligence的邁耶斯說:“Wizard Spider的惡意軟件語料庫并未在犯罪論壇上公開宣傳,表明它們可能只向受信任的犯罪集團出售訪問權限或與之合作。” 該組織開展了不同類型的操作,包括一些非常具體的操作,它們傾向于進行非常有針對性、高回報的勒索軟件活動,稱為“大型游戲狩獵”。
Wizard Spider會根據其目標的價值計算它要求的贖金,而且似乎沒有任何行業是禁區。在COVID-19病毒肆虐期間,它與Ryuk和Conti一起襲擊了美國的數十家醫療機構。來自世界不同地區的醫院也受到了影響。
BONUS: Winnti(a.k.a. Barium,Double Dragon,Wicked Panda,APT41,Lead,Bronze Atlas)Winnti
BONUS: Winnti它們進行的網絡攻擊。其網絡間諜活動以醫療保健和技術公司為目標,經常竊取知識產權。與此同時,其出于經濟動機的網絡犯罪部門攻擊視頻游戲行業,操縱虛擬貨幣,并試圖部署勒索軟件。
已經觀察到Winnti使用數十種不同的代碼系列和工具,并且它經常依賴魚叉式網絡釣魚電子郵件來滲透組織。“在將近一年的活動中,APT41入侵了數百個系統,并使用了近150種獨特的惡意軟件,包括后門程序、憑據竊取程序、鍵盤記錄程序和rootkit。APT41還在有限的基礎上部署了rootkit和主引導記錄(MBR)引導包,以隱藏其惡意軟件并在選定的受害者系統上保持持久性。”Mandiant Threat Intelligence表示。