繼拉撒路(Lazarus Group)之后，又一個(gè)國(guó)家黑客組織被發(fā)現(xiàn)參與大規(guī)模加密貨幣挖礦行動(dòng)。

微軟本周一的報(bào)告發(fā)現(xiàn)，越南政府支持的黑客開(kāi)始在常規(guī)的網(wǎng)絡(luò)間諜工具套件中部署加密貨幣挖礦軟件。

該報(bào)告指出越來(lái)越多的國(guó)家支持的黑客組織開(kāi)始將目光投向了常規(guī)的網(wǎng)絡(luò)犯罪活動(dòng)，這使得對(duì)財(cái)務(wù)動(dòng)機(jī)的犯罪與情報(bào)收集活動(dòng)的區(qū)分變得更加困難。

APT32加入門(mén)羅幣采礦大軍

該越南黑客組織在微軟內(nèi)部的追蹤代號(hào)為Bismuth，自2012年以來(lái)一直活躍，在安全業(yè)界廣為人知的代號(hào)還包括APT32和OceanLotus(海蓮花)等。

APT32成立以來(lái)大部分時(shí)間都在組織國(guó)內(nèi)外的復(fù)雜黑客活動(dòng)，目的是收集信息以幫助其政府處理政治、經(jīng)濟(jì)和外交政策決策。近年來(lái)隨著越南經(jīng)濟(jì)的高速發(fā)展，汽車(chē)行業(yè)成為APT32的關(guān)注重點(diǎn)。

但是微軟的報(bào)告指出，這個(gè)夏天該小組的活動(dòng)策略發(fā)生了變化。

微軟表示：“在2020年7月至2020年8月的美國(guó)總統(tǒng)大選活動(dòng)期間，該組織將門(mén)羅幣礦機(jī)程序部署到了針對(duì)法國(guó)和越南私營(yíng)部門(mén)以及政府機(jī)構(gòu)的攻擊中。”

目前尚不清楚該APT32為何改變策略，微軟認(rèn)為存在兩種可能：首先，APT32可能希望借助加密貨幣挖礦軟件來(lái)掩蓋自己的真實(shí)目的，誘使事件響應(yīng)者以為自己是最低優(yōu)先級(jí)的路過(guò)攻擊。其次，APT32小組可能正在嘗試從常規(guī)的網(wǎng)絡(luò)間諜活動(dòng)中“撈些外快”。

第二種假設(shè)也符合網(wǎng)絡(luò)安全行業(yè)的普遍趨勢(shì)。近年來(lái)，俄羅斯、伊朗和朝鮮政府資助的黑客組織也經(jīng)常會(huì)出于純粹的賺錢(qián)目的而攻擊目標(biāo)，獲取收益。

國(guó)家黑客發(fā)動(dòng)此類(lèi)攻擊的一個(gè)重要原因是，這些團(tuán)體通常在當(dāng)?shù)卣闹苯颖Ｗo(hù)下進(jìn)行活動(dòng)，無(wú)論是作為承包商還是情報(bào)人員，他們也都在與美國(guó)沒(méi)有引渡條約的國(guó)家/地區(qū)內(nèi)開(kāi)展活動(dòng)，從而使他們隨心所欲、肆無(wú)忌憚地發(fā)動(dòng)任何攻擊，而不用擔(dān)心后果。

APT32所在的越南也缺乏與美國(guó)的引渡條約，而且根據(jù)牛津大學(xué)人類(lèi)網(wǎng)絡(luò)犯罪項(xiàng)目主任Lusthaus的調(diào)研《匿名行業(yè)：網(wǎng)絡(luò)犯罪業(yè)務(wù)內(nèi)部》，越南有望在未來(lái)十年成為新的網(wǎng)絡(luò)犯罪中心和避風(fēng)港。事實(shí)上從2018年開(kāi)始，網(wǎng)絡(luò)安全行業(yè)就觀察到越南的進(jìn)攻性網(wǎng)絡(luò)活動(dòng)開(kāi)始激增。

【本文是51CTO專(zhuān)欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文