“百花齐放”的全球黑客组织

网络攻击领域的“进步”一年比一年明显。自去年以来,全球安全研究人员发现了大量新对手,更多的攻击方法、更多的大规模攻击。

新加坡网络安全公司Group-IB在近期发布的一份报告,描述了在2018年下半年和2019年上半年中所记录的高威胁网络攻击的演化。

“新人”RedCurl

2019年,出现一个名为RedCurl的新组织,主要针对保险、咨询、采矿、铁厂、零售和建筑公司发起间谍和金融盗窃攻击。

根据Group-IB的说法,这个新组织实力很强且隐匿性较高,往往都使用合法的服务来与其控制服务器通信。

他们通过使用自制的木马来实施一系列恶意攻击,首先尝试从受害者那里窃取重要的文档,然后在目标机器上安装门罗币的挖矿软件。RedCurl似乎对有关支付和商业合作的信息很感兴趣。

这个组织还拥有高超的钓鱼技巧。他们会为每个目标定制独特的钓鱼信息,从而大幅提高成功率。

目前还不清楚RedCurl只是一个单独的网络犯罪组织,还是有政府背景。Group-IB正在尝试探究其背后的各种关联。

大多数受害者在东欧,不过也有位于北美的公司。Group-IB表示,从钓鱼文件的语言和相关电子邮件服务器来看,至少有一名团队成员说的是俄语。

金钱至上

Group-IB在报告中列举了五家极为活跃的针对金融机构的网络犯罪组织,其中三家也有讲俄语的人员(Cobalt、Silence、MoneyTaker),而且还涉及攻击ATM的犯罪组织。

另外两个是Lazarus和SilentCard。SilentCard是一个来自肯尼亚的新组织,他们的目标是非洲的银行,可以说是硕果累累。

尽管还有其它因素威胁着金融行业,但Group-IB在报告表示,这5个团队的“贡献”尤为突出。

他们通常会在已攻陷目标的网络上花费大量时间进行摸索,深入了解其构成,以便对业务和员工实施长期监控。

从统计图来看,自2018年下半年以来,他们一直很“忙”,几乎每个月都在不停攻击。

目前,关于SilentCard的细节还很少,但研究人员确定其在当地已参与了两起成功的攻击。

由于恶意软件样本有限,Group-IB假定SilentCard使用了“目标网络内部的已完全控制的设备,进行深入攻击”。

国家背景的攻击组织

为政府工作的攻击组织(也称为APT组织)也很忙,在Group-IB观察的这段时间里,有38个组织在活动,今年已发现了七起相关网络间谍活动。

尽管有些组织是在去年才发现的,但实际存在时间要长得多,有些甚至早在2011年就出现了。

其中有一个组织名为Windshift,DarkMatter在2018年对其工具和策略进行了分析。不过从2017年以来,它就一直对中东政府机构和关键基础设施进行间谍攻击。

Blue Mushroom(又名蓝蘑菇和APT-C-12),从2011年开始行动,直到2018年年中才正式确定其存在。据奇虎360的报告,它的目标是核工业和科学研究。

而赛门铁克在2018年发现了Gallmaker,至少从2017年12月就开始攻击,依靠非公开的工具对政府和军事目标发动攻击。

而在今年年初,奇虎360披露了一个来自南美的攻击组织(APT-C-36或Blind Eagle),主要从重要公司和政府机构的窃取商业机密。

Whitefly主要针对新加坡的医疗、媒体、电信和工程行业的企业实体。该组织最初的活动可追踪到2017年,而真正让它出名的是2018年7月新加坡最大公共卫生组织遭到网络攻击,150万份病人记录被盗。

Hexane或Lyceum主要对中东地区的关键基础设施很感兴趣,并在8月被首次披露。不过研究人员早就对其进行了详细审查。SecureWorks公布了其攻击方式和技术细节。

第七个APT组织目前仍是未知,因为研究人员对它所使用的攻击框架知之甚少。卡巴斯基发现,这套名为TajMahal的设备包含大约80个模块,被用来攻击中亚的一个外交机构。

网络战争已升级

当前,网络安全已成为政治领导人的共同话题,也是军事行动的主要内容。

政府使用恶意软件来瓦解对手已不再是一种预测,而是真实存在的事件。多家能源工厂遭受网络攻击,而攻击组织是很难从中直接获利的。

而在今年夏天,美国对伊朗的武器系统发起了攻击。因为该系统击落了一架美国无人侦察机,还对油轮发动了攻击。

Group-IB首席技术官Dmitry Volkov表示,2018年的统计信息表明,全球网络世界对于微处理器的漏洞和攻击准备不足,而2019年则展示了网络军队的政治行动。

“多年来,那些以国家利益为目的的组织都没有引起人们的注意,只有少数此类事件为人所知,而大量国家的关键基础设施已遭到破坏。”

(本文转载自 T00ls 

上一篇:2019年粤桂医院信息化交流大会 锐捷“云桌面”助力“智能+”

下一篇:ACSS2020:在新法规时代保护互联汽车