是臭名昭著的全球网络犯罪团伙,得到了国家的支持。几十年前,当黑客还处于起步阶段时,黑客大多是计算机和网络极客,他们热衷于学习有关计算机和网络的一切知识。如今,民族国家黑客继续开发越来越复杂的网络间谍工具,网络犯罪分子正忙于瞄准从财富500强公司到医疗机构的一切事物,套现数万美元。网络攻击从未如此复杂、有利可图,甚至令人困惑。有时很难清楚地定义各种类型的黑客攻击。民族国家有时会为了共同的目标而联合起来,有时他们甚至似乎与网络犯罪团伙合作。而且,恶意工具一旦发布,往往会被竞争对手回收利用。以下是一些最具创新性和危险性的网络间谍和网络犯罪组织,排名不分先后:?Lazarus(又名HiddenCobra、GuardiansofPeace、APT38、WhoisTeam、Zinc)黑客组织Lazarus一战成名,因为可能是历史上最大的网络抢劫事件:孟加拉国中央银行黑客事件。该事件发生在2016年2月,导致超过1亿美元被盗。然而,该组织所做的远不止于此。在过去的十年中,Lazarus是多起黑客事件的幕后黑手,从对韩国网站的DDoS攻击开始,然后继续攻击韩国金融机构和基础设施,从2014年的索尼影业开始,到2017年再次发生著名的WannaCry勒索软件攻击.近年来,Lazarus涉足勒索软件和加密货币领域,同时密切关注安全研究人员以获取有关正在进行的漏洞研究的信息。根据卡巴斯基安全研究员DmitryGalov的说法,该组织拥有“无限的资源和非常好的社会工程技术”。在持续的COVID-19大流行期间,Lazarus将这些社会工程技术用于制药公司,包括疫苗制造商在内的相关公司已成为他们的主要目标。微软表示,黑客发送了带有“精心设计的职位描述”的鱼叉式网络钓鱼电子邮件,旨在诱骗目标点击其中的恶意链接。MalwarebytesLabs主管AdamKujawa表示:“该组织与其他黑客组织不同,因为虽然它是一个国家支持的黑客组织,但Lazarus并不针对国家政府,而是那些可能持有或有权访问他们感兴趣的信息的人。朝鲜间谍。企业和个人。”Lazarus使用各种自定义恶意软件,包括后门、隧道构建器、数据挖掘器和破坏性恶意软件,有时是内部开发的。该组织不遗余力地继续其黑客活动。FireEyeMandiant威胁情报表示:“APT38在它的运作无需担心肆意破坏证据或受害者网络。该组织谨慎、精明,并愿意长期保持对受害环境的访问。为了了解网络布局、所需权限和系统技术,从而实现其目标。”?UNC2452(又名DarkHalo、Nobelium、SilverFish、StellarParticle)2020年,数千家公司和机构下载了带有后门的SolarWindsOrion软件更新,让攻击者有一个入口点进入他们的系统。美国国防部、英国政府、欧洲议会以及世界各地的各种政府机构和公司都是供应链攻击的受害者。网络间谍活动在阴影持续了至少九个月,直到2020年12月8日曝光。揭露该活动的安全公司FireEye也是受害者,声称一些红队工具被国家支持的黑客组织窃取。事实证明比最初想象的还要糟糕。SolarWindsOrion软件供应链攻击只是攻击者使用的进入渠道之一。研究人员还发现了另一种供应链攻击,这次针对的是微软云服务。此外,研究人员发现微软和VMware产品中的多个漏洞也被利用。“UNC2452是我们追踪过的最先进、最有纪律、最难以捉摸的黑客组织,”FireEyeMandiant威胁情报公司高级副总裁兼首席技术官CharlesCarmakal说。他们的间谍技术首屈一指。攻击技术和防御技术他们控制着两者,并利用这些知识改进他们的入侵技术并张开双臂隐藏在目标环境中。UNC2452展示了罕见的操作安全级别,能够在政府机构内部保持不被发现和企业很长一段时间。”美国国家安全局、联邦调查局和其他几个机构表示,该黑客组织得到俄罗斯的支持,并已实施制裁。美国机构认为,SolarWinds供应链攻击很可能是俄罗斯联邦外国情报局(SVR)所为。其他线索指向CozyBear/APT29黑客组织。然而,局势似乎更加混乱。卡巴斯基研究人员注意到几个代码片段可以将这次攻击与俄语黑客组织Turla(又名Snake、Uroburos)联系起来,该组织针对欧洲和美国的政府和外交官。Secureworks的另一份报告称,总部位于中国的黑客组织Spiral在另一次黑客攻击中也针对SolarWinds客户。?方程组(equationorganization,又名EQGRP、Housefly、Remsec)方程组是另一个技术精湛、资源丰富的黑客组织。该组织自2000年代初开始营业,甚至可能更早。但直到2015年,卡巴斯基安全研究人员发布了一份报告,揭示了它的几款尖端工具,这个黑客组织才登上了报纸,并为公众所熟知。这篇报道的标题之一是:“拜见网络间谍活动的‘上帝’。”研究人员将黑客组织命名为EquationGroup,因为它具有强大的加密功能和先进的混淆方法。该小组的工具极其复杂,并且与NSA的特定情报获取操作(TAO)小组相关联。方程组的目标跨越多个部门:政府、军事和外交机构;金融机构;以及电信、航空、能源、石油和天然气、媒体和运输行业的主要公司。许多受害者位于伊朗、巴基斯坦、阿富汗、印度、叙利亚和马里。EquationGroup最强大的工具是一个模块,可以对来自不同制造商的硬盘驱动器的固件进行重新编程,包括希捷、西部数据、东芝和IBM。有了这个模块,攻击者可以在受害者的硬盘上创建一个秘密存储保险箱,即使硬盘擦除和重新格式化,其内容也可以幸免。该小组还创建了一种基于USB的命令和控制机制,可以反映物理上隔离的网络。该机制是在类似功能被集成到Stuxnet之前完成的。这些先进技术最终落入了其他国家黑客的手中。据赛门铁克称,中国网络间谍组织Buckeye(又名GothicPanda、APT3、UPSTeam)在2016年获得并使用EquationGroup的工具来攻击欧洲和亚洲的公司。CheckPoint的研究人员发现,另一个中国支持的黑客组织Zirconium(APT31)克隆了EquationGroup的EpMeWindows特权升级漏洞来创建一个名为Jian的工具。所有这一切都发生在2017年ShadowBrokers漏洞事件之前,当时EquationGroup开发的几种黑客工具在网上浮出水面,包括在WannaCry攻击中使用的臭名昭著的EternalBlue漏洞利用程序。CheckPoint研究人员EyalItkin和ItayCohen写道:“网络武器本质上是数字化的和易变的。窃取网络武器并将其转移到另一个大陆就像发送电子邮件一样简单。”?Carbanak(又名Anunak,Cobalt——与FIN7重叠)2013年,多家金融机构被同一种黑客技术攻陷。攻击者发送鱼叉式网络钓鱼电子邮件渗透到这些机构中,然后使用各种工具获得对PC或服务器的访问权限,以便随后提取数据或资金。这些攻击背后的网络犯罪组织Carbanak会极其谨慎地执行他们的活动,就像高级持续威胁(APT)一样,通常会在受害者的系统上悄悄潜伏数月。Carbanak黑客组织总部可能位于乌克兰,其目标金融公司主要分布在俄罗斯、美国、德国和中国。Carbanak的一名受害者因ATM欺诈损失了730万美元,而另一名受害者的网上银行平台遭到黑客攻击后损失了1000万美元。有时,黑客组织会命令自动柜员机在预定时间取款,而无需人工干预。2014年,几家安全公司调查了Carbanak黑客事件,但得出了截然不同的结论。卡巴斯基高级安全研究员ArielJungheit表示:“Carbanak似乎是两个使用相同恶意软件的不同团体。一个团体针对金融机构(卡巴斯基重点关注),而另一个团体则更面向零售公司。而其他人则存在争议由此,主要结论是,最初作为一个组织分裂成几个小组。”2018年3月,欧洲刑警组织宣布,经过“复杂而深入的调查”,Carbanak集团的负责人已被捕。然而,直到今天,网络犯罪团伙的许多成员仍然活跃,可能加入了其他黑客组织。FIN7网络犯罪团伙主要对零售和餐饮业感兴趣,而Cobalt则专注于金融机构。FireEyeMandiantThreatIntelligence的高级分析经理JeremyKennelly表示:“如果司法行动针对的是与像FIN7这样资源丰富的大型犯罪组织有关联的个人,其影响很难判断,因为通常可以确定主要责任由多个个人或多个团队。被捕后,FIN7的战术、技术和程序没有太大变化。过去十年发生的重大破坏性安全事件,包括2015年和2016年乌克兰停电、2017年以交付勒索软件开始的NotPetya供应链攻击以及2018年俄罗斯运动员因服用兴奋剂被捕等一系列攻击事件停赛后的平昌冬奥会,以及各国选举相关的黑客行动,比如美国2016年大选、法国2017年总统竞选和格鲁吉亚2019年大选。FireEyeMandiant威胁情报副总裁JohnHultquist说:“2019年10月对GRU(GRU:俄罗斯总参谋部情报局)官员的起诉书读起来像是我们所见过的许多重大网络攻击的清单。我们高度相信74455部队俄罗斯军事情报机构GRU的负责人正在支持Sandworm活动。“近年来,该组织的战术、技术和程序已经发展到整合勒索软件,但研究人员对这种转变并不感到惊讶。“基于加密的勒索软件通常与广泛的网络犯罪活动有关,这些活动很容易被网络间谍组织重新用于破坏性攻击。”?EvilCorp(又名IndrikSpider)EvilCorp的名字来源于美剧《黑客军团》(Mr.Robot),但其成员和漏洞在剧集播出前就活跃在互联网上。这个俄罗斯黑客组织是有史以来最危险的银行木马之一Dridex(也称为Cridex或Bugat)的幕后黑手,它攻击了Garmin和数十个2020年的其他业务。法庭文件显示,EvilCorp采用特许经营模式,支付100,000美元和收益的50%以获得Dridex的使用权。美国联邦调查局估计,该黑客组织在过去十年中盗窃的资金不少于1亿美元。据安全研究人员称,除了Dridex之外,EvilCorp还创建了WastedLocker勒索软件系列和Hades勒索软件。网络安全公司ESET也称,BitPaymer勒索软件可能是该黑客??组织的杰作。Kujawa说:“让这个组织与众不同的是其攻击的有效性,许多安全攻击将EvilCorp的运作比作资源充足、训练有素的国家黑客团队。”该组织的两名主要成员马克西姆·雅库贝茨(MaksimYakubets)和伊戈尔·图拉舍夫(IgorTurashev)被指控串谋诈骗和电汇诈骗等罪名,但司法行动并未阻止EvilCorp继续其黑客活动。CrowdStrikeIntelligence高级副总裁AdamMeyers表示:“去年,黑客组织采用了新工具并重新命名了多个工具,以规避美国财政部实施的制裁,并防止受害者无法支付他们所要求的赎金。尽管个别成员受到起诉,黑客行为受到制裁,但该组织继续蓬勃发展。”?FancyBear(又名APT28、Sofacy、Sednit、Strontium)自2000年代中期以来,这个讲俄语的黑客组织出现在WeAreAround中,其目标包括美国、西欧和南高加索地区的政府和军??事机构,以及能源和媒体公司。该组织的受害者可能包括德国和挪威议会、白宫、北大西洋公约组织(NATO)和法国电视台TV5。FancyBear最著名的案例是其2016年的黑客攻击进入民主党全国委员会和希拉里克林顿的竞选活动,据称影响了美国总统大选的结果。据信,FancyBear的马甲是黑客组织Guccifer2.0。据CrowdStrike称,另一个俄语黑客组织CozyBear也躲进民主党电脑网络,独立窃取密码,但显然,这两只熊并不知道对方的存在。FancyBear主要通过周一、周五发送的鱼叉式钓鱼邮件引诱受害者,偶尔会注册与合法网站非常相似的域名,搭建虚假网站获取登录凭证。?LuckyMouse(又名EmissaryPanda、IronTiger、APT27)是一个华语黑客组织,已经活跃了十多年,主要针对外国大使和许多不同行业的公司,如航空、国防、科技、能源、医疗保健、教育和政府。其活动范围包括北美、南美、欧洲、亚洲和中东。卡巴斯基的Jungheit表示,该组织的渗透测试技术非常熟练,通常使用Metasploit框架等公开可用的工具。“除了鱼叉式网络钓鱼作为一种交付方式外,黑客组织还在其行动中使用SWC(战略网络攻击)来击倒受害者,成功率非常高。”趋势科技研究人员指出,该组织可以快速更新和修改工具,使安全研究人员难以检测到它们。?REvil(又名Sodinokibi,PinchySpider——与GandCrab有关)REvil黑客组织以电影《生化危机》(生化危机)及其系列游戏命名,位于俄语地区,经营着数个最赚钱的勒索软件即服务(RaaS)。该黑客组织于2019年4月首次进入公众视野,那是在臭名昭著的GandCrab关闭后不久,此后其业务似乎蒸蒸日上。该组织的受害者包括宏碁、本田、Travelex和杰克丹尼威士忌制造商Brown-Forman。“REvil运营商要求的赎金是2021年最高的,”Jungheit说。“为了分发勒索软件,REvil与在网络犯罪论坛上招募的成员组织合作,并将60%到75%的赎金分发给成员组织。”开发人员经常更新REvil勒索软件以避免检测到正在进行的攻击。“该组织在网络犯罪论坛的帖子中宣布了其合作伙伴计划的所有重大更新和开放,”Jungheit说。MalwarebytesLabs的Kujawa说REvil与其他团体的不同之处在于它的开发人员是面向业务的。中央。“去年,该组织的一名成员接受采访时表示,他们通过敲诈勒索和披露威胁赚取了1亿美元,他们计划在未来通过DDoS攻击扩大勒索能力。”?WizardSpider说俄语的WizardSpider组织于2016年首次浮出水面,但近年来变得越来越复杂和复杂,为网络犯罪创造了各种工具。最初,WizardSpider以其反银行恶意软件TrickBot的商业而闻名,该组织此后扩展了其工具集,包括Ryuk、Conti和BazarLoader。此外,WizardSpider继续完善其武器库以提高盈利能力。CrowdStrikeIntelligence的Meyers“WizardSpider的恶意软件库并未在犯罪论坛上公开宣传,这表明他们可能只想与受信任的犯罪组织进行交易或合作。该组织的黑客活动多种多样,其中一些非常具体,倾向于针对性强、回报高的勒索软件活动,即所谓的“大型游戏狩猎”。WizardSpider是根据目标的价值来估算赎金需求的,似乎没有哪个行业是禁区。在COVID-19爆发期间,该组织使用Ryuk和Conti恶意软件攻击了美国的数十家医疗机构。世界各国的许多医院也受到影响。?彩蛋:Winnti(又名Barium、DoubleDragon、WickedPanda、APT41、Lead、BronzeAtlas)Winnti可能是几个从事网络犯罪和国家支持的网络攻击的华语团体的集合。其网络间谍活动针对医疗和科技公司,经常窃取知识产权。同时,受其经济利益驱动的网络犯罪势力攻击视频游戏行业,操纵虚拟货币,并试图部署勒索软件。Jungheit说:“很难对这个黑客组织进行定义,主要是因为其黑客活动与其他华语APT组织相似,之间存在重叠。例如,一些工具和恶意软件在多个华语黑客组织之间共享”Winnti使用了数十种不同的代码集和工具,通常依靠鱼叉式网络钓鱼电子邮件来渗透目标公司。在持续近一年的黑客活动中,APT41数百个系统遭到破坏,并使用了近150种恶意软件,包括后门程序、凭证窃取程序、键盘记录程序和Rootkit。APT41还在有限的基础上部署了rootkit和主引导记录(MBR)bootkit,以隐藏其恶意软件并在关键的受害者系统上保持存在。“
