CrowdStrike發(fā)布圖表，闡述網(wǎng)絡(luò)犯罪團(tuán)伙間關(guān)系與相互合作方式。網(wǎng)絡(luò)安全報(bào)告往往將黑客團(tuán)伙及其惡意軟件/黑客行動(dòng)當(dāng)成獨(dú)立事件加以描述，但實(shí)際上，網(wǎng)絡(luò)犯罪圈子并不大，而且網(wǎng)絡(luò)犯罪團(tuán)伙間的相互聯(lián)系遠(yuǎn)比外行認(rèn)知的緊密得多。網(wǎng)絡(luò)犯罪團(tuán)伙的供應(yīng)鏈?zhǔn)謴?fù)雜，甚至包括真正的軟件公司，而且他們常與圈子里其他同行建立合作關(guān)系，方便獲得重要技術(shù)支持其黑客行動(dòng)，或者最大化網(wǎng)絡(luò)犯罪收益。

網(wǎng)絡(luò)安全公司CrowdStrike表示，這些第三方技術(shù)可歸為三類：服務(wù)、分銷和貨幣化。每一類再細(xì)分的話，服務(wù)類技術(shù)通常包括：

(1) 訪問代理 - 突破企業(yè)網(wǎng)絡(luò)，并將公司內(nèi)部網(wǎng)絡(luò)訪問權(quán)限賣給其他網(wǎng)絡(luò)犯罪團(tuán)伙的黑客組織。

(2) DDoS攻擊工具 - 也稱為DDoS booter或DDoS-for-hire(網(wǎng)絡(luò)罪犯提供給付費(fèi)客戶的按需DDoS攻擊能力);付費(fèi)獲得訪問權(quán)后，任何人都可通過此類網(wǎng)絡(luò)犯罪組織提供的Web前端控制頁面對所選目標(biāo)發(fā)起DDoS攻擊。

(3) 匿名與加密 - 售賣私有代理和虛擬專用網(wǎng)絡(luò)訪問權(quán)，其他黑客可利用這些團(tuán)伙提供的服務(wù)偽裝自身位置和攻擊源。

(4) 網(wǎng)絡(luò)釣魚工具包 - 此類網(wǎng)絡(luò)犯罪團(tuán)伙創(chuàng)建并維護(hù)網(wǎng)絡(luò)釣魚工具包、用于自動(dòng)化網(wǎng)絡(luò)釣魚攻擊的Web工具，并且收集網(wǎng)絡(luò)釣魚釣到的憑證。

(5) 出售硬件 - 售賣ATM刮取器、網(wǎng)絡(luò)嗅探設(shè)備等定制硬件的黑客團(tuán)伙。

(6) 勒索軟件 - 也稱勒索軟件即服務(wù)或RaaS，這些網(wǎng)絡(luò)犯罪團(tuán)伙售賣勒索軟件系列或Web前端控制頁面訪問權(quán)，供其他團(tuán)伙打造自己的定制勒索軟件。

(7) 犯罪即服務(wù) - 與RaaS類似，但此類網(wǎng)絡(luò)犯罪團(tuán)伙提供的是銀行木馬或其他形式的惡意軟件。

(8) 加載器 - 亦稱“僵尸主機(jī)安裝”，這些黑客團(tuán)伙已經(jīng)以自己的惡意軟件感染了計(jì)算機(jī)、智能手機(jī)和服務(wù)器，提供將其他黑客團(tuán)伙的惡意軟件“加載/安裝”到同一系統(tǒng)上的服務(wù)，這樣其他團(tuán)伙就能通過勒索軟件、銀行木馬、信息竊取器等惡意軟件獲利了。

(9) 反殺毒軟件服務(wù)/檢測器 - 私有Web門戶，惡意軟件開發(fā)者可以上載樣本測試現(xiàn)有殺毒軟件系統(tǒng)引擎是否會(huì)查殺，而無需擔(dān)心惡意軟件檢測結(jié)果會(huì)在殺軟制造商間共享。

(10) 惡意軟件打包服務(wù) - 基于Web或桌面系統(tǒng)的工具，惡意軟件開發(fā)者可以之打亂自身惡意軟件品系代碼，讓殺毒軟件更難難以檢測出來。

(11) 信用卡/借記卡測試服務(wù) - 供黑客測試所獲支付卡號是否為有效格式及卡本身是否仍然有效的工具。

(12) Web注入工具包 - 常與銀行木馬聯(lián)合使用的專業(yè)化工具，供銀行木馬黑客團(tuán)伙在受害者訪問電子銀行(或其他任何)網(wǎng)站時(shí)將惡意代碼注入其瀏覽器。

(13) 托管與基礎(chǔ)設(shè)施 - 也稱防彈托管提供商，顧名思義，這些人提供網(wǎng)絡(luò)犯罪組織專用的私有Web托管基礎(chǔ)設(shè)施。

(14) 犯罪招募 - 專門招募、收買或誘騙普通公民從事網(wǎng)絡(luò)犯罪活動(dòng)的組織(如假借旅游名義到美國收買特斯拉雇員在該公司內(nèi)部網(wǎng)絡(luò)中運(yùn)行惡意工具的人)。

另一方面，分銷服務(wù)大致有如下幾種：

(1) 在社交網(wǎng)絡(luò)上或通過即時(shí)通訊應(yīng)用進(jìn)行垃圾郵件分發(fā)活動(dòng)的團(tuán)伙。

(2) 專門從事垃圾郵件分發(fā)的團(tuán)伙。

(3) 開發(fā)和售賣漏洞利用工具包的團(tuán)伙。

(4) 此類團(tuán)伙購買被黑網(wǎng)站流量，然后分發(fā)至托管著漏洞利用工具包、技術(shù)支持騙局、金融騙局、網(wǎng)絡(luò)釣魚工具包等等的惡意網(wǎng)頁。

至于貨幣化服務(wù)，CrowdStrike認(rèn)為這一類別通常包括：

(1) 錢騾服務(wù) - 這些人親身從被黑ATM取錢，用自身銀行賬戶收錢，再將錢轉(zhuǎn)給黑客、所選洗錢或轉(zhuǎn)運(yùn)欺詐服務(wù)。

(2) 洗錢 - 此類團(tuán)伙常經(jīng)營著空殼公司網(wǎng)絡(luò)，通過空殼公司洗白來自被黑銀行賬戶、ATM套現(xiàn)或加密貨幣盜竊的資金。一些洗錢服務(wù)還作為比特幣混合服務(wù)在暗網(wǎng)上運(yùn)營。

(3) 轉(zhuǎn)運(yùn)欺詐網(wǎng)絡(luò) - 用被盜資金購買真實(shí)產(chǎn)品運(yùn)往另一國家的團(tuán)伙。此類產(chǎn)品多為汽車、電子產(chǎn)品或珠寶等奢侈品，運(yùn)抵別國后轉(zhuǎn)賣換成干凈的法幣，再打入委托了此類服務(wù)的黑客手中。

(4) 轉(zhuǎn)儲(chǔ)商店 - 通過專用網(wǎng)站和社交媒體渠道售賣被黑公司數(shù)據(jù)的團(tuán)伙。

(5) 贖金支付與勒索 - 專門勒索受害者的團(tuán)伙，可供持有被盜數(shù)據(jù)的其他團(tuán)伙委托。

(6) 支付卡信息收集與出售 - 也稱之為售卡店，通常是網(wǎng)絡(luò)犯罪團(tuán)伙出售被盜支付卡數(shù)據(jù)的論壇。

(7) 加密貨幣服務(wù) - 另一種洗錢形式，可供“混合”被盜資金，幫助黑客擺脫被盜資金痕跡。

(8) 電匯欺詐 - 顧名思義，專業(yè)進(jìn)行BE詐騙等電匯欺詐的團(tuán)伙。

??

由于現(xiàn)今各方廣泛運(yùn)用加密通信渠道，我們幾乎不可能追蹤各網(wǎng)絡(luò)犯罪團(tuán)伙與其供應(yīng)商之間的所有聯(lián)系，搞清誰與誰合作。

??

不過，在惡意軟件攻擊領(lǐng)域，通過觀察惡意軟件從攻擊者流向被感染主機(jī)的途徑，還是可以發(fā)現(xiàn)一些合作的跡象。盡管永遠(yuǎn)不能完全驗(yàn)證這些聯(lián)系，在Emotet惡意軟件下載TrickBot惡意軟件時(shí)，這兩個(gè)網(wǎng)絡(luò)犯罪團(tuán)伙合作，Emotet組織為TrickBot團(tuán)伙提供“加載器”機(jī)制的事實(shí)也十分明顯了。

在2月22日發(fā)布的《2021年全球威脅報(bào)告》中，安全公司CrowdStrike首次總結(jié)了網(wǎng)絡(luò)犯罪地下世界中各網(wǎng)絡(luò)犯罪團(tuán)伙間現(xiàn)有的一些聯(lián)系。該公司采用了其特有的網(wǎng)絡(luò)犯罪團(tuán)伙命名法，所以有些網(wǎng)絡(luò)犯罪團(tuán)伙名稱可能與我們之前看到的不太一樣。不過，CrowdStrike還提供了交互索引，任何人都能更深入了解各個(gè)網(wǎng)絡(luò)犯罪團(tuán)伙，并將之與其他公司所用名稱關(guān)聯(lián)起來。

上述圖表表明，在網(wǎng)絡(luò)入侵活動(dòng)中，支持者的角色與執(zhí)行入侵的團(tuán)伙同樣重要。正如Chainalysis上個(gè)月在另一份報(bào)告中指出的，只要盯緊這些共享服務(wù)提供商，司法機(jī)構(gòu)就很有可能在摧毀網(wǎng)絡(luò)犯罪活動(dòng)上取得更大戰(zhàn)果，因?yàn)槎⒕o這些提供商就可以一次性破壞多個(gè)網(wǎng)絡(luò)犯罪團(tuán)伙的行動(dòng)。

除此之外，這么做還有些別的好處。例如，頂級網(wǎng)絡(luò)犯罪團(tuán)伙常擁有頂尖的運(yùn)營安全(OpSec)，不會(huì)泄露任何行動(dòng)細(xì)節(jié)，但次級提供商未必總能保護(hù)自己的身份，司法機(jī)構(gòu)可以從這些次級提供商處獲得信息，揭開大型團(tuán)伙的面紗，省時(shí)省力一網(wǎng)打盡。

CrowdStrike《2021全球威脅報(bào)告》：(戳閱讀原文打開)https://www.crowdstrike.com/resources/reports/global-threat-report/

交互式索引：云服務(wù)已成黑客攻擊新平臺(tái)https://adversary.crowdstrike.com/