网络安全领域的两个最大威胁是国家支持的高级持续性威胁(APT)和渗透到世界各个角落基础设施的网络犯罪分子以及圈子就是所谓的暗网。APT组织与网络犯罪团伙从未有过交集,各有各的目标、人员和手法。但近年来,两者之间出现了一些交叉和重叠。自进入公众视野之日起,APT就一直在使用经常在暗网上出售的工具。具体而言,PoisonIvy等远程访问木马(RAT)已在许多APT事件中出现。这种现象非常普遍,以至于许多人质疑“APT”一词本身,因为RAT不被认为是“先进的”(事实上,APT中的“先进”指的是黑客组织设施背后的基础,即民族国家)。APT事件通常以数据泄露为目标。多年来,APT组织在暗网上使用了各种网络犯罪工具来达到这一目的,两者并不矛盾。另一方面,网络犯罪团伙也借鉴了APT的一些手法。诈骗者通常以金融机构的客户为目标,因为客户被认为是金融机构整个安全链中最薄弱的环节。他们没有试图破坏银行的安全网络,而是诉诸网络钓鱼攻击来感染受害者。其他企业已成为网络犯罪的受害者,因为网络犯罪团伙侵入了他们的系统(例如电子商务网站)以窃取凭证。但闯入银行系统被认为是一个不可能实现的目标,大多数网络犯罪团伙永远不会尝试。不过,在某种程度上,网络犯罪团伙明白,如果APT使用暗网工具获得对公司网络的访问权取得了巨大成功,那么他们自己也可以做到。一些网络犯罪团伙采用APT策略,使用鱼叉式网络钓鱼发送感染恶意软件的附件,以获取对银行IT系统的访问权限。据网络安全公司Group-B称,一个名为Cobalt的网络犯罪团伙利用银行系统的权限远程将恶意软件植入ATM机,导致银行的ATM机自动吐钱(即所谓的Jackpotting攻击)。在随后的事件中,APT目标逐渐开始形成网络犯罪团伙。如果说过去APT的主要目标是数据泄露,以窃取知识产权和情报,那么最近一些APT组织为了金钱入侵各大公司。在这方面最臭名昭著的APT组织是据说与朝鲜有联系的Lazarus。Lazarus参与了许多攻击,包括索尼影业数据泄露和针对韩国的多次DDoS攻击。特别值得一提的是,该组织还与2016年孟加拉央行网络攻击事件有关。在这起事件中,肇事者发起的非法SWIFT网络转账价值近10亿美元。然而,35条转账指令中只有5条成功。此外,Lazarus还与WannaCry勒索软件有关,被认为是2017年5月全球攻击浪潮的幕后黑手。WannaCry勒索软件使用了最初由NSA开发的泄露漏洞利用程序。感染Windows主机后,它会加密主机上的文件并发送赎金通知。受害者在不支付赎金的情况下无法解锁文件。在这波全球性的攻击浪潮中,150多个国家的超过30万台电脑被感染。据说属于朝鲜的Lazarus家族并不是唯一将犯罪重点转向经济利益的APT。来自多家网络安全公司的报告称,伊朗国家支持的黑客组织现在正以以色列公司为目标。研究人员声称,虽然他们的目标似乎是出于经济动机,但这些攻击背后的真正原因是政治性的。2020年11月20日,一个名为BlackShadows的黑客组织袭击了以色列保险公司Shirbit。他们试图勒索保险公司,威胁说如果不付款,就会暴露被盗的数据。Shirbit拒绝付款,数据随后泄露。该公司遭受直接财务损失,并面临集体诉讼。安全提供商SentinelOne表示,尽管这起事件的性质是网络犯罪,但所有这些行动都被用来掩盖伊朗针对以色列的各种行动。这起事件以及其他多起针对KLSCapital等以色列公司的事件都是APT攻击,是两国之间正在进行的冷战的一部分。ClearSkyCyber??Security指出,此活动中的其他重击手落在了Amital和HabanaLabs身上。尽管基础设施、目标和手段各不相同,但恶意黑客团体的工作环境并非真空。他们互相学习。网络威胁世界中的所有恶意组织都是如此。关注网络犯罪活动的研究人员还应该关注APT空间中正在发生的事情,因为这类事情最终可能会渗透到犯罪世界。反之亦然,因为网络犯罪团伙使用的工具、创新策略和方法最终落入了国家支持的黑客组织手中。
