專家稱,伊朗、朝鮮、沙特阿拉伯和俄羅斯等民族國家的黑客有了新的目標,并正改變策略。
盡管源自俄羅斯的著名高級持續性威脅 (APT) 組織是人們關注的重點,但許多其他民族國家和類似威脅正陸續在世界各地發起網絡攻擊。今年的網絡戰 (Cyberwarcn) 大會上,近 20 名全球頂尖網絡安全研究人員分享了自己對這些關注度不高的復雜組織的見解,描述了他們的最新策略與發展。
伊朗APT33攻擊范圍與力度具增
近些年來,伊朗作為最具破壞力的民族國家網絡戰力量之一快速崛起,擁有名為 APT33 的威脅組織——堪稱該國惡意網絡黑客組織的 NO.1。APT33 的下手對象包括航空航天、國防和能源企業。該組織很大程度上針對沙特持有和運營的實體。
APT33 也得名 Refined Kitten、Magnallium、Holmium 和 Alibaba,2014 年現身,大名鼎鼎的 Shamoon 數據清除惡意軟件就是其杰作,曾在 2012 年徹底清理了沙特阿美石油公司至少 3 萬臺計算機。自那以后,APT33 頻涉針對中東和歐洲工業公司的黑客入侵事件。
但 2019 年,APT33 的一次行動卻范圍狹窄,僅針對特定于美國政治目標的一組專門設置的域名和 IP。
APT33 最有趣的方面之一,是其與阿曼灣地緣政治事件的時間線關聯。2019 年 5 月和 6 月,海灣地區針對郵輪的爆炸性襲擊余波中,APT33 發動了一系列魚叉式網絡釣魚入侵以配合這些攻擊。
有關 APT33 的另一個方面,是美國對伊朗極限施壓后,APT33 在一系列伊朗情報與安全機構改革中的權力上升。重組見證了伊朗革命衛隊等級與威望的上升,越來越多的鷹派官員充實到實權崗位上。
這些變革使 APT33 在新的當局、權力和資源支持下可能變得更為大膽。過去幾個月中 APT33 值得注意的另一個動態,是與俄羅斯合作的可能性。
還有些遙測信息可以推導出有關 APT33 的一些洞見。要點之一是該組織對密碼噴射攻擊的鐘愛,該方法采用用戶賬戶名與一些常用密碼的組合嘗試入侵在線賬戶。
另外一個重要的觀察所得是,很多人都將 APT33 視為馬虎草率的黑客組織。他們通常動靜很大。其魚叉式網絡釣魚相對容易實施。對其遙測數據的研究表明,該組織的運營非常復雜,而且十分注重運營安全。他們可能不在意自身網絡釣魚被檢測到,但很注重防范被取證關聯回伊朗。
沙特為監視而黑,并使用機器人程序施加社交媒體影響力
Saud al-Qahtani,沙特王儲穆罕默德·本·薩勒曼 (MBS) 前高級顧問,傳說中沙特阿拉伯記者賈馬爾·卡舒齊 (Jamal Khashoggi) 虐殺案幕后主使。Al-Qahtani 為皇室運營社交媒體并管理監視行動,因善用大量機器人程序而被稱為 “蠅王”,試圖控制推特喉舌,尤其是阿拉伯語推特。
Motherboard 曾報道過 al-Qahtani 試圖從爭議性間諜軟件供應商 Hacking Team 購買監視工具。從報道中提到的郵件地址追蹤,可發現流行黑客站點 Hack Forums 上數年間發布的揭示 al-Qahtani 入侵及監視方法的帖子。Al-Qahtani 在 Hack Forums 上就一系列問題向黑客求助,還尋求木馬程序安裝方面的指導。他承認自己用過至少 24 種不同遠程訪問工具 (RAT),最愛 Hack Shades。
某段時間里,al-Qahtani 與 Hack Forums 用戶 “Lassie” 合作,改良完善錄制房間中所有聲音的監視解決方案。還有一次,他試圖以每月 500 美元的價格雇傭一名黑客來管理他的僵尸網絡。他還運營著大規模社交媒體影響力行動,在 YouTube 上購買了 525 個賬戶,雇傭了沙特首都利雅得附近數百名年輕人為其巨魔工廠服務。
Al-Qahtani 還試圖凍結或封禁特定推特賬戶。不過,他通過 Hack Forums 獲悉,只有獲得內部推特操作權限才可以這么做。然后,毫無意外地,就在上月,美國司法部刑事起訴了一名沙特內奸,該人曾在推特工作,現已返回沙特阿拉伯。
盡管在皇室享有高級職位,al-Qahtani 的操作安全卻十分糟糕。至少三次,他在 Hack Forums 上發帖承認自己喝醉了,這在禁酒且上位者相當鄙視飲酒行為的沙特可算得上是令人震驚的供認了。而且,al-Qahtani 自 2009 年起個人注冊的所有域名中,只有三個未包含個人可識別信息 (PII),其他全都含有包括他全名、電子郵件地址和電話號碼在內的 PII。
2019 年 8 月,一名沙特異見份子在推特宣稱 al-Qahtani 已經死亡,是被沙特政權毒死的。該斷言并未被證實,且看起來非??梢?,因為有其他指征表明 al-Qahtani 還活著,仍在為沙特皇室服務。
俄羅斯Wagner Group專注實體破壞
俄羅斯最奇特的新信息行動威脅組織之一,是附屬于 E. Prigozhin 的一系列實體,包括 Wagner Group——之前專注實體運動戰的準軍事組織。研究人員現在還不清楚該組織跟 GRU 或影響力及政治宣傳喉舌互聯網研究機構 (IRA) 之類其他俄羅斯機構是合作還是競爭關系。
朝鮮APT組織軍事商業兩手抓
全球 APT 競技場上另一主要力量是朝鮮,擁有一系列不同組織執行混合了該國慣有攻擊模式和目標的網絡行動。這些組織被稱為 Silent Chollima、Velvet Chollima、Ricochet Chollima、Stardust Chollima 和 Lab Chollima。
2015 年,所有 Chollima 組織開始發展其能力。2017 年左右,隨著朝鮮領導人金正恩轉變該國情報策略重點,他們也開始切換策略,從嚴格的軍事目的轉向混合了軍事和經濟目標的策略。盡管絕大多數目標依然在朝鮮一貫的死對頭韓國,這些組織開始全球擴展他們的關注點和工作,從之前單純的間諜情報獲取到執行犯罪和破壞活動。
朝鮮的經濟犯罪業務眾所周知,很多大規模數字銀行劫案和加密貨幣竊取都與該國有關。各 Chollima 組織已成真正貨幣盜取新途徑。他們開始成為金正恩口中的服務朝鮮目標的“全能利劍”。
而且,不僅有為了朝鮮國家利益的大規模金錢竊取行動,各組織自身也會進行小規模的錢財盜取活動??赡苓@些活動在支持國家的同時,也是維持各組織運營的自籌資金行為吧。