“伏特臺風(fēng)”關(guān)聯(lián)勒索病毒團(tuán)伙,360推安全云防勒索解決方案
責(zé)編:gltian |2024-04-15 17:01:422024年2月1日,美國眾議院中國問題特別委員會圍繞2023年5月被美國微軟公司披露的名為“伏特臺風(fēng)”(Volt Typhoon)且所謂“具有中國政府支持背景”的黑客組織展開討論,稱其對美國關(guān)鍵基礎(chǔ)設(shè)施發(fā)動了網(wǎng)絡(luò)攻擊并試圖進(jìn)一步實施破壞,給美國國家安全造成嚴(yán)重威脅。
實際上,早在2023年5月相關(guān)“披露”出現(xiàn)時,中國國家計算機(jī)病毒應(yīng)急處理中心已第一時間聯(lián)合360數(shù)字安全集團(tuán)成立技術(shù)團(tuán)隊開展調(diào)查工作,全程參與此案技術(shù)分析。技術(shù)團(tuán)隊通過對相關(guān)報告的惡意程序樣本技術(shù)特征進(jìn)行分析后發(fā)現(xiàn),樣本并無表現(xiàn)出明確的國家背景黑客組織行為特征,而是與勒索病毒等網(wǎng)絡(luò)犯罪團(tuán)伙的關(guān)聯(lián)程度明顯。“伏特臺風(fēng)”黑客組織具有“中國政府支持背景”純屬栽贓陷害,此舉意圖以不實歸因打壓中國對外形象與發(fā)展。
歸因分析指向“暗黑力量”
一直以來,網(wǎng)絡(luò)攻擊活動的歸因分析都是國際性難題。“伏特臺風(fēng)”這一名稱和歸因都源自美國微軟公司的技術(shù)分析報告和五眼聯(lián)盟發(fā)布的聯(lián)合預(yù)警通報,但上述報告并沒有給出詳細(xì)的歸因分析過程和根據(jù),且報告中也提及,黑客使用逃避檢測技術(shù)為取證和溯源工作帶來較大困難。
360數(shù)字安全集團(tuán)聯(lián)合中國國家計算機(jī)病毒應(yīng)急處理中心克服重重困難,通過對報告給出的相關(guān)攻擊活動技術(shù)特征(IoC)進(jìn)行溯源分析,發(fā)現(xiàn)相關(guān)惡意程序樣本關(guān)聯(lián)多個IP地址。這些IP地址與很多的網(wǎng)絡(luò)攻擊事件相關(guān),并且也存在多個IP地址與同一攻擊事件或網(wǎng)絡(luò)安全風(fēng)險存在關(guān)聯(lián)的現(xiàn)象。其中與上述5個IP地址都有關(guān)聯(lián)的網(wǎng)絡(luò)攻擊事件報告是美國威脅盟(ThreatMon)公司于2023年4月11日發(fā)布的《關(guān)于“暗黑力量”(Dark Power)勒索病毒團(tuán)伙研究報告》。
撥開層層障眼法,上述惡意程序樣本技術(shù)特征與這一名為“暗黑力量”的勒索病毒網(wǎng)絡(luò)犯罪團(tuán)伙關(guān)聯(lián)程度密切。報告顯示,“暗黑力量”首次被發(fā)現(xiàn)攻擊活動時間為2023年1月,僅2023年3月就至少有10個以上的全球范圍內(nèi)機(jī)構(gòu)遭到該組織攻擊并被勒索。受害機(jī)構(gòu)所在國家包括阿爾及利亞、埃及、捷克、土耳其、以色列、秘魯、法國、美國等。
該組織使用典型的“雙重勒索”方式,即:先入侵受害單位的內(nèi)網(wǎng),進(jìn)行數(shù)據(jù)竊取,竊取到重要數(shù)據(jù)后,再最后進(jìn)行加密勒索,同時威脅用戶如果不按時繳納贖金,將在網(wǎng)絡(luò)上公開泄露受害單位的敏感內(nèi)部數(shù)據(jù)。最為關(guān)鍵的是,該組織同樣在攻擊中部分使用了“無文件攻擊”技術(shù),即使用Windows操作系統(tǒng)自帶的管理工具(WMI)關(guān)閉系統(tǒng)進(jìn)程,并在攻擊結(jié)束前對攻擊過程中產(chǎn)生的相關(guān)系統(tǒng)日志信息進(jìn)行清理,最后留下一個勒索信告知受害單位。
暗黑力量組織的勒索信
另外,通過對美國流明科技公司發(fā)布報告中包含的惡意程序樣本和IP地址等技術(shù)特征進(jìn)行檢索,并未找到其與微軟公司和五眼聯(lián)盟預(yù)警通報中所述技術(shù)特征之間的關(guān)聯(lián)關(guān)系。
至此,技術(shù)團(tuán)隊判定來自“伏特臺風(fēng)”的惡意程序樣本并未表現(xiàn)出明確的國家背景黑客組織行為特征,反是與“暗黑力量”勒索病毒等網(wǎng)絡(luò)犯罪團(tuán)伙的關(guān)聯(lián)程度明顯。在此情況下,僅憑受害單位和攻擊者的攻擊技戰(zhàn)術(shù)這些模糊的歸因因素就將“伏特臺風(fēng)”扣上所謂“中國政府黑客”的帽子未免過于牽強(qiáng)。
以安全大模型為核心構(gòu)建 360安全云防勒索解決方案
近年,隨著網(wǎng)絡(luò)武器泄露和攻防技術(shù)快速擴(kuò)散導(dǎo)致網(wǎng)絡(luò)犯罪分子的技術(shù)水平顯著提高。部分勒索病毒組織和僵尸網(wǎng)絡(luò)運(yùn)營者擁有的資源和技術(shù)能力已經(jīng)超過一般國家,甚至已經(jīng)能夠達(dá)到網(wǎng)絡(luò)戰(zhàn)水平。同時,勒索病毒組織與僵尸網(wǎng)絡(luò)運(yùn)營者早已建立了成熟的地下黑色產(chǎn)業(yè)合作模式,在利益的驅(qū)使下,這些網(wǎng)絡(luò)犯罪團(tuán)伙活動日益猖獗,成為全球各國面臨的共同威脅。
面對當(dāng)前復(fù)雜的網(wǎng)絡(luò)威脅,360基于多年攻防實戰(zhàn)經(jīng)驗和能力推出以安全大模型為核心的360安全云防勒索解決方案,通過云化數(shù)據(jù)、探針、專家、平臺和大模型能力,開放共享給廣大政企機(jī)構(gòu),構(gòu)建了高效預(yù)防、自動監(jiān)測、智能處置的勒索病毒防御體系,實現(xiàn)多方位、全流程、體系化的勒索防護(hù)。
未來,360將持續(xù)發(fā)揮自身技術(shù)優(yōu)勢和能力優(yōu)勢,持續(xù)完善以安全大模型為核心的安全云解決方案,守護(hù)國家網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全,筑牢數(shù)字安全屏障。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧