我不生產錢,但我是金錢的搬運工,你見過專門針對 ATM 機的黑客嗎?有些黑客為了錢,有些黑客則是“愛國”,但別國很生氣,你愛國可以,別朝我們國家的核工業伸出黑手啊!還有些黑客口味很重啊,保險、諮詢、採礦、鍊鋼、零售、建築公司……一個都不放過。

新加坡網路安全公司 Group-IB 的研究員很惆悵,挖出了一堆在2018 年下半年與 2019 年上半年期間,表現得十分沒有“節操”的黑客組織。

他們的滲透方法變得豐富多樣,網路攻擊更是直接走到了明處。

新對手 RedCurl

2019 年,一個名為 RedCurl 的新晉黑客組織開始嶄露頭角,它們既當間諜又搞金融盜竊,而且攻擊範圍很廣,保險、諮詢、採礦、鍊鋼、零售與建築公司一個也跑不了。Group-IB 表示,RedCurl 背後的黑客技術超群,非常難追查。RedCurl 能一直隱藏自己主要還是因為它們用合法服務與自己的命令與控制(C2)伺服器進行通訊。

為了行不法之事,黑客非常依賴自定義的木馬。得手後它們第一個任務就是竊取受害者的重要文件,隨後安裝 XMRIG 借你的算力挖礦(門羅幣)。

當然,RedCurl 也並非所有文件照單全收,它們更喜歡協議、付款與合同等資訊。

與以往粗放式的攻擊不同,RedCurl 這個對手在釣魚攻擊時手法可是相當專業。它們會針對不同的受害者定製專用資訊,這樣才能有個更高的成功率。

眼下,RedCurl 的真面目還不夠清晰,沒人知道它們到底是網路犯罪組織,還是某國家組織的攻擊小隊。不過,Group-IB 還是試圖通過檢視工具、技術和手法來尋找蛛絲馬跡。

RedCurl 的大部分受害者都在東歐,但北美也有一家公司中招。從誘餌檔案所用的預言以及黑客組織使用的電郵服務來看,它們中至少有一個人是說俄語的。

一切向錢看

Group-IB 揪出了 5 個針對金融機構的活躍網路犯罪組織,而它們中有三個(Cobalt, Silence, MoneyTaker)都說俄語,同時這些組織也是用木馬控制 ATM 機最熟練的。

另外兩個組織 Lazarus 與 SilentCard 則來自肯亞,它們專攻非洲銀行,雖然技術一般,但玩得相當成功。

專門針對銀行的黑客組織

誠然,網路上威脅金融領域的犯罪組織還很多,但 Group-IB 認為這 5 個能帶來非常嚴重的破壞。

這些組織通常會在被攻破的網路上花費大量時間,以學習其中的訣竅,這樣它們就能像被監控的受害者一樣管理金融業務了。

Group-IB 繪製的網路攻擊地圖顯示,無論得手與否,2018 年下半年開始這些組織就進入了活躍期,它們幾乎每個月都有大動作。

Group-IB 繪製的網路攻擊地圖

目前我們還沒有關於 SilentCard 的詳細資料,但研究人員判斷該組織就在肯亞本地運營,它們已經成功完成了兩次盜竊。

藉助僅有的惡意軟體樣本,Group-IB 猜測 SilentCard 攻擊公司網路時用了一種自行研發的控制裝置。

有國家撐腰的黑客

除了以上這些網路毒瘤,有政府在背後撐腰的黑客們(也被稱為 APT 組織)最近幾年也很忙。Group-IB 在報告中就列出了 38 個活躍的組織,其中有 7 個是今年新冒出來的網路間諜組織。

雖然有些新組織去年才露了馬腳,但它們其實很早就開始活動了,最早甚至可以追溯到 2011 年。

有國家撐腰的活躍黑客組織

其中的典型之一就是 Windshift, DarkMatter 去年 8 月份還專門對其工具與策略進行了分析。不過,它們 2017 年就開始當網路間諜,針對中東地區政府僱員和關鍵基礎設施刺探情報了。

Blue Mushroom(別名為 Sapphire Mushroom 和 APT-C-12)則是個 2011 年就正式啟動的黑客組織,但去年年中它們的隱形模式才被打破。這個組織更狠,它們專攻核工業與科學研究機構。

Gallmaker 也是 2018 年才被抓住小辮子的 APT 組織,賽門鐵克認為 2017 年年末它們就正式成軍了。據悉,Gallmaker 主要依靠自制工具對政府和軍事目標發動攻擊。

今年年初奇虎 360 的一份報告則顯示,名為 APT-C-36(亦稱 Blind Eagle)的南美黑客組織多次參與了重要公司與政府機構的商業機密盜竊。

名為 Whitefly 的黑客組織則主要盯上了新加坡的醫療、媒體、通訊與工程公司,它們 2017 年就開始活動,去年 7 月因為攻擊新加坡最大的公共衛生機構而“成名”,當時有 150 萬名病人的資料被竊取。

Hexane 與 Lyceum 則只對中東的關鍵基礎設施感興趣,今年 8 月份它們才正式脫離隱身狀態。 SecureWorks 最近就公佈了該組織進行黑客攻擊時的具體技術手法。

第七家 APT 組織 TajMahal 現在才只是剛剛露了個頭,關於它們的資料還很少。卡巴斯基發現它們的攻擊框架相當高階,單是一個套件就包含了 80 個模組,TajMahal 正是用它攻破了中亞某外交機構的防禦。

網路戰升級

對政治領袖和軍事行動來說,網路安全已經成了木筒上那塊板子,任誰也不敢慢待。從現有形勢來看,黑客們已經脫掉了隱形衣,它們開始光著膀子上陣廝殺了。為此,政府機構也不得不加緊數字工具的升級,以防出現不測。

至於借網路攻擊對敵人進行報復最近更是成了日常手段,比如今年夏天美國對伊朗武器系統的攻擊(報復伊朗擊落美軍無人機)。

Group-IB 公司 CTO Dmitry Volkov 指出,2018 年讓我們認識到,網路世介面對旁路攻擊是多麼的脆弱,而 2019 年的主題則是網路空間上的祕密軍事行動。

自 雷鋒網