安全性科研工作员表明,这种黑客机构全是灭绝人性的全世界网络犯罪团伙,且其身后有国家适用。
几十年前,黑客侵入刚崛起的情况下,从业黑客主题活动的大部分是电子计算机和网络疯狂发烧友,她们对学习培训相关电子计算机和网络的一切充满信心。现如今,民族国家黑客持续开发设计愈来愈繁杂的网络间谍专用工具,网络犯罪分子则忙着对从资本500强企业到定点医疗机构的一切总体目标着手,不断转现不计其数美金。
网络进攻从没如此繁杂、如此挣钱,甚或如此令人困惑。有时,清楚定义各种各样不一样种类的黑客主题活动很是艰难。民族国家有时候会因为相同的目的而相互之间联合,有时她们乃至好像与网络犯罪团伙协作。并且,故意专用工具一旦公布,通常会被竞争者回收利用再运用。
下边让我们一起来看看好多个极具艺术创意也最风险的网络间谍和网络违法犯罪机构,排名不区分依次:
▶ Lazarus(别名Hidden Cobra、Guardians of Peace、APT38、Whois Team、Zinc)
做为与中国朝鲜密切相关的黑客机构,Lazarus一战成名是由于一起可能是迄今为止最大型的的网络抢劫案:孟加拉国中央银行黑客进攻事情。这起事件出现在2016年2月,导致超出1亿美金遭窃。殊不知,该安排的行为远远地不止于此。
以往十年来,Lazarus一直是几起黑客进攻事情的身后黑火,从对韩国网站的DDoS进攻逐渐,随后再次深层次到进攻韩的银行和基础设施建设,2014年对索尼影业着手,2017年又进行了广为人知的WannaCry勒索病毒进攻。
近几年来,Lazarus逐渐投身于勒索病毒和数字货币行业,与此同时紧抓安全性科研工作人员,获得已经开展的系统漏洞科学研究的有关信息。据诺顿杀毒软件安全性研究者Dmitry Galov详细介绍,该机构有着“无尽的資源和很好的社会发展工程设计”。
仍在连续的新冠肺炎新冠疫情期内,Lazarus将这种社会发展工程设计用在了药业公司的身上,包含疫苗生产商以内的有关公司,变成她们最主要的总体目标。微软公司表明,这种黑客推送鱼叉式网络垂钓电子邮箱,电子邮件中带有“用心虚构的岗位说明”,用意引诱其总体目标点一下当中的故意连接。
Malwarebytes Labs负责人Adam Kujawa称:“该机构有别于别的黑客机构,由于虽然是国家适用的黑客机构,Lazarus的目的却并不是国家政府部门,反而是很有可能拥有或能触及到中国朝鲜间谍有兴趣的信息内容的这些公司和本人。”
Lazarus应用各种各样订制恶意程序,包含侧门、隧道施工搭建程序流程、大数据挖掘程序流程和毁灭性恶意程序,这种恶意程序有时是内部结构研发的。该机构竭尽全力地不断从业黑客进攻主题活动。
FireEye曼迪安特威胁情报表明:“APT38往往与众不同,取决于其在行动中一点也不畏惧大肆破坏直接证据或被害网络。该机构慎重、聪明,而且呈现出要想长期保持被害自然环境浏览权的意向,便于掌握网络合理布局、所需管理权限,及其系统软件技术性,进而确定其总体目标。”
▶ UNC2452(别名Dark Halo、Nobelium、SilverFish、StellarParticle)
2020年,百余家公司和组织安装了带侧门的SolarWinds Orion软件升级,给网络攻击留有了进到其体系的通道。美国防部、英国政府、欧洲议会,及其全世界好几个政府部门及公司均变成了该供应链管理进攻的受害人。
直到2020年12月8日曝出以前,这起网络间谍行为最少暗中行事了九个月。曝出这起行为的可靠企业FireEye也是其受害人,声称自身被此国家适用的黑客机构窃取了几种蓝队专用工具。具体情况比最开始预期的还需要槽糕。SolarWinds Orion软件供应链管理进攻不过是网络攻击常用的进口方式之一。科学研究工作人员还看到了另一起供应链管理进攻,此次有没有中招的是微软云服务。并且,科学研究工作人员发觉,微软公司和VMware商品中也有几个系统漏洞被充分利用了。
FireEye曼迪安特威胁情报高级副总裁兼首席技术官Charles Carmakal表明:“UNC2452是大家关注的黑客机构中最优秀、最有组织纪律性、最捉摸不透的。她们的谍报技术性才华横溢。进攻技术性和防守技术性两层面她们都操控轻松,而且应用该类专业知识精练本身侵入方法,义正辞严地躲藏总体目标自然环境当中。UNC2452展示出了非常少见的使用安全性水准,可以长期停留政府部门和企业内部而不被发觉。”
英国国家安全局(NSA)、中情局(FBI)和其它好多个组织称此黑客机构遭受俄国的适用,并实行了封禁。这种英国组织辩称,SolarWinds供应链管理进攻可能是瑞士联邦对外开放情报站(SVR)的手笔。别的案件线索则偏向Cozy Bear/APT29黑客机构。
殊不知,状况好像更加错乱。诺顿杀毒软件科学研究工作人员注意到,有几个编码精彩片段可将此进攻与德语区黑客犯罪团伙Turla(别名Snake、Uroburos)挂勾,该犯罪团伙关键进攻欧洲地区和国外的政府机构和外交人员。Secureworks公布的另一份统计则声称,坐落于我国的黑客机构Spiral在另一起黑客行为中一样对于的SolarWinds顾客。
▶ Equation Group(表达式机构,别名EQGRP、Housefly、Remsec)
Equation Group是又一个工艺高超且资源比较丰富的黑客机构。早就在21世际初,乃至很有可能更稍早,该机构就开始营业了。但直到2015年,诺顿杀毒软件安全性科研工作人员公布汇报公布其几种顶尖专用工具以后,该黑客机构才见诸报端,为消费者所熟识。这篇报导的文章标题之一是那么写的:“与网络间谍之‘神’会晤”。
科学研究工作人员将该黑客机构定名为Equation Group,是由于其选用了强数据加密和优秀的搞混方式。该安排的专用工具极端化繁杂,且与NSA的特殊情报信息获得行为(TAO)组有关。
Equation Group的总体目标跨过好几个行业:政府部门、部队和外交机构;金融企业;及其从业电信网、航空公司、电力能源、燃气、新闻媒体和道路运输领域的各大企业。许多受害人都坐落于沙特、塔吉克斯坦、巴基斯坦、印度的、也门和马里。
Equation Group最强有力的专用工具是一款可以重程序编写各生产商电脑硬盘固定件的控制模块,被害电脑硬盘生产商包含希捷、西部数据、飞利浦和IBM。依靠该控制模块,网络攻击可以在被害电脑硬盘上建立密秘储存保险柜,在其中內容乃至可以熬过电脑硬盘擦掉和重格。该机构还开创了一套根据USB的指令与操纵体制,可以投射物理隔离网络。在相近作用融合到震网(Stuxnet)以前,该体制就完成了。
这种优秀的新技术最后落到了别的民族国家黑客的手上。据赛门铁克表露,Equation Group的专用工具被我国网络间谍机构Buckeye(别名Gothic Panda、APT3、UPS Team)获得并另作它用,在2016年用以进攻欧洲地区和亚洲地区的企业。CheckPoint的分析工作人员发觉,我国适用的另一个黑客机构Zirconium (APT31)复制了Equation Group的EpMeWindows漏洞利用漏洞检测程序流程,建立了一款名叫Jian的专用工具。全部这种都产生在2017年Shadow Brokers(影子经纪人)数据泄漏事情以前,该起事情中Equation Group开发设计的几款黑客专用工具亮相在网上,包含WannaCry进攻中常用灭绝人性的EternalBlue(比特币病毒)漏洞检测程序流程。
CheckPoint研究者Eyal Itkin和Itay Cohen写到:“网络武器装备与生俱来是智能化且易失的。偷盗网络武器装备并迁移到另一个大洲就仿佛推送一封电子邮件这么简单。”
▶ Carbanak(别名Anunak、Cobalt——与FIN7重合)
2013年,好几家金融企业被同一黑客进攻技巧所黑。网络攻击先推送鱼叉式网络垂钓电子邮箱来渗入这种组织,随后再应用多种专用工具入驻个人计算机或网络服务器,便于后面提取数据信息或钱财。这种进攻后面的网络犯罪分子犯罪团伙Carbanak认真细致仔细地实行进攻主题活动,如同高級可持续性危害(APT)一样,经常在受害人的体系中悄然无声地埋伏几个月時间。
Carbanak黑客机构的总公司很有可能坐落于乌克兰国家,其总体目标金融投资公司关键坐落于俄国、英国、法国和我国。Carbanak的受害人之一因ATM行骗损害了730万美金,而另一家受害人在本身个人网上银行服务平台被黑后损害了1000万美金。有时,该黑客机构会指令ATM机在预期的時间吐钞,不用当场人为因素干涉。
2014年时,好几家安全性企业调查了Carbanak黑客事情,但结果迥然不同。诺顿杀毒软件高級安全性研究者Ariel Jungheit称:“Carbanak好像是应用同一款恶意程序的两种不一样机构。在其中一个机构关键对于金融企业(诺顿杀毒软件关键分析了这一机构),另一个组织则更侧重零售企业。虽然别人对于此事有异议,但关键结果是,一开始是一个机构,之后瓦解变成好多个工作组。”
2018年3月,欧洲地区警察机构(Europol)声称,通过一番“繁杂深层次的调研”,已拘捕了Carbanak机构的领袖。殊不知,直到今天,该网络犯罪团伙的许多组员依然活跃性,很有可能添加了别的黑客机构。FIN7网络犯罪团伙关键对零售和饮食业有兴趣,而Cobalt潜心金融企业。
FireEye曼迪安特威胁情报高級剖析主管Jeremy Kennelly表明:“假如司法部门行为的另一半是与FIN7这类资源优势的大中型违法犯罪机构密切相关的本人,那其危害就无法分辨了,由于关键义务通常可以由多位本人或好几个精英团队担负。拘捕行为以后,FIN7的战略、技术性和程序流程并没发生过大的转变。
▶ Sandworm(沙虫,别名Telebots、Electrum、Voodoo Bear、Iron Viking)
俄国网络间谍机构Sandworm因涉嫌以往十年来的多起重要毁灭性安全事故,包含2015年和2016年的乌克兰国家大断电、2017年以推广勒索病毒为开始的NotPetya供应链管理进攻、2018年俄国籍选手因应用禁药而被停赛后平昌冬奥会遭到的一系列进攻,及其与好几个国家的竟选有关的黑客进攻行为,例如英国2016总统大选、法国的2017总统竞选和2019年格鲁吉亚总统大选。
FireEye曼迪安特威胁情报高级副总裁John Hultquist称:“2019年10月对格鲁乌(GRU:俄国总参谋部情报部)高官的民事起诉书,读下去就像大家可见过的众多重要网络进攻事情的明细。大家相对高度相信,俄罗斯军事情报组织格鲁乌的74455军队在适用Sandworm主题活动。”
最近几年,该安排的战略、技术性和程序流程变成了集成化勒索病毒,但科研工作人员对于此事变化一点也不诧异。曼迪安特危害情报搜集主管Ben Read表明:“根据数据加密的勒索病毒通常与大范畴放长线钓大鱼式网络犯罪行为有关,非常容易被网络间谍机构再次运用来开展毁灭性进攻。”
▶ Evil Corp(别名Indrik Spider)
Evil Corp而出名于美国电视剧《黑客战队》(Mr. Robot),但其组员和漏洞检测程序流程均在连续剧开播以前就活跃性于网络上。这一说德语的黑客机构是史上最牛风险金融机构木马病毒之一Dridex(也称之为Cridex或Bugat)的创始人。该机构在2020年进攻了佳明企业和别的数十家公司。
法院资料表明,Evil Corp选用加盟方式,投入10万美金和盈利的50%,就可以获得Dridex浏览权。FBI可能,以往十年来,该黑客组织窃取了不少于1亿美金。
安全性科研工作人员称,除开Dridex以外,Evil Corp还构建了WastedLocker勒索软件系列产品和Hades勒索软件。网络信息安全企业ESET也宣称,BitPaymer勒索软件可能是此黑客组织的作品。Kujawa讲到:“该安排的不同寻常之处源于其进攻实效性,许多安全性进攻都将Evil Corp的攻击行为与资源优势、经过训练的网络黑客中国队一概而论。”
2019年,美司法部以多种罪行提起诉讼了该安排的两位关键组员,Maksim Yakubets和Igor Turashev,罪行包含串谋诈骗和网络诈骗,但该司法部门行为并没有阻拦Evil Corp再次其网络黑客主题活动。CrowdStrike Intelligence高级副总裁Adam Meyers表明:“上年,该黑客组织选用了新的专用工具,并重命名了几种专用工具,进而避开英国财务部门执行的封禁,避免受害人没法给她们索取的保释金。虽然某些组员遭受提起诉讼,网络黑客行为也得到了封禁,但该机构仍然迅猛发展。”
▶ Fancy Bear(奇妙熊,别名APT28、Sofacy、Sednit、Strontium)
2000年代中后期逐渐,这一说德语的黑客组织就发生在大家周边了,其进攻总体目标包含英国、欧洲和南高加索的政府机构和部队组织,及其资源和媒体公司。该安排的受害人很有可能包含法国和挪威议会、美国白宫、北大西洋公约组织(NATO),及其法国电视台TV5。
Fancy Bear最广为人知的典型案例是2016年攻进美国民主党全国各地联合会和侵入希拉里·尼克松的竞选宣言,据悉危害了美国总统选举的結果。据信, Fancy Bear的背心便是黑客组织Guccifer 2.0。据CrowdStrike详细介绍,另一个说德语的黑客组织,Cozy Bear(舒适安逸熊),也躲藏于民主党派的互联网中,单独窃取登陆密码。但很显著,这两边熊并没有意识到彼此之间的存有。
Fancy Bear关键根据周一和周五推送的鱼叉式互联网钓鱼邮件来诱惑受害人上当,有时候也会申请注册极为相近合理合法网址的网站域名,搭建虚报网址来收种登陆凭据。
▶ LuckyMouse(别名Emissary Panda,、Iron Tiger、APT27)
这一黑客组织说中文,活跃性了十年以上,关键对于国外使者和跨过好几个不一样行业领域的企业,如航空公司、国防安全、高新科技、电力能源、保健医疗、文化教育和政府部门。其运动范畴包含北美地区、南美洲、欧洲地区、亚洲地区和中东地区。
诺顿杀毒软件的Jungheit称,该安排的网站渗透测试技术性精湛,通常应用Metasploit架构等公布可以用的专用工具。“除开做为推广方式的鱼叉式钓鱼攻击,该黑客组织仍在行为中应用SWC(策略Web进攻),以极高通过率拿到受害人。”
趋势科技的分析工作人员注意到,该机构可以迅速升级并存档修改器专用工具,让安全性科研工作人员无法检验。
▶ REvil(别名Sodinokibi、Pinchy Spider—与GandCrab有关)
REvil黑客组织而出名于影片《生化危机》(Resident Evil)以及系列产品手机游戏,坐落于德语区,经营着好多个最能够赚钱的勒索软件即服务项目(RaaS)。该黑客组织初次进到人们视线是在2019年4月,灭绝人性的GandCrab被停业整顿以后没多久,其业务流程自那以后好像就蒸好日上。该安排的受害人包含宏碁、广州本田、Travelex和杰克丹尼威士忌酒的制造商Brown-Forman。
Jungheit称:“REvil经营者索取的保释金为2021年之最。为了更好地派发勒索软件,REvil与在网络诈骗社区论坛上征募的组员机构协作,分到组员机构60%到75%的保释金。”
开发者常常升级REvil勒索软件,进而防止检验到已经开展的进攻。Jungheit称:“该机构在网络诈骗社区论坛的贴子里发布全部关键升级以及合作方方案中的缺口岗位。”
Malwarebytes Labs的Kujawa表明,REvil有别于其他组织的地区取决于,其开发者是以工作为核心的。“上年,该安排的一名组员接纳了访谈,称她们根据敲诈勒索和危害要公布数收益了1亿美金,并且还方案在未来根据DDoS进攻扩展其敲诈勒索工作能力。”
▶ Wizard Spider
说德语的Wizard Spider机构在2016年初次露出水面,但在最近几年已显得越发繁杂高档,打造出了几款用以网络诈骗的专用工具。最开始,Wizard Spider因其商业化的金融机构恶意程序TrickBot而出名,但以后,该机构就拓展了其工具箱,列入了Ryuk、Conti和BazarLoader。并且,Wizard Spider仍在不断健全其军械库,便于更为能够赚钱。
CrowdStrike Intelligence的Meyers称:“Wizard Spider的恶意程序库并没有在违法犯罪社区论坛上公布做广告,说明她们很有可能只想要与可以信赖的违法犯罪机构买卖或协作。”该安排的网络黑客主题活动各种各样,在其中一些十分实际,趋向于所说“捕猎大中型猎食”的高目的性、高收益勒索软件进攻主题活动。
Wizard Spider依据总体目标的使用价值估计索取的保释金,好像沒有哪个领域是雷区。新冠肺炎新冠疫情期内,该机构用Ryuk和Conti恶意程序进攻了英国几十家定点医疗机构。世界各地的好几家医院门诊也得到了危害。
▶ 小彩蛋:Winnti(别名Barium、Double Dragon、Wicked Panda、APT41、Lead、Bronze Atlas)
Winnti可能是说中文的好多个团队的结合,既从业互联网犯罪行为,也实行我国扶持的黑客攻击。其互联网特工行为对于医药企业和科技公司,经常窃取专利权。与此同时,其经济发展利益的网络诈骗能量进攻网络游戏产业链,控制数字货币,并尝试布署勒索软件。
Jungheit称:“无法界定该黑客组织根本原因是其从业的网络黑客主题活动与别的说中文的APT机构中间存有重合。例如,有一些专用工具和恶意程序是好几个说中文的黑客组织中间共享资源的。”
Winnti应用的不一样编码集和专用工具达到数十种,并且经常借助鱼叉式钓鱼攻击电子邮箱渗入总体目标企业。曼迪安特威胁情报汇报称:“在一次不断近一年的网络黑客主题活动中,APT41侵入了数千系统软件,应用了近150种恶意程序,主要包括侧门、凭据偷盗程序流程、键盘记录器和rootkit。APT41也有程度地布署rootkit和主引导记录(MBR)bootkit,用以在主要的受害人系统软件上掩藏其恶意程序和保持停留。”