安全研究人員表示，這些黑客組織都是臭名昭著的全球網(wǎng)絡犯罪團伙，且其背后有國家支持。

幾十年前，黑客入侵剛剛興起的時候，從事黑客活動的大多是計算機和網(wǎng)絡狂熱愛好者，他們對學習有關計算機和網(wǎng)絡的一切充滿熱情。如今，民族國家黑客不斷開發(fā)越來越復雜的網(wǎng)絡間諜工具，網(wǎng)絡罪犯則忙著對從財富500強公司到醫(yī)療機構的一切目標下手，持續(xù)變現(xiàn)成千上萬美元。

[[403093]]

網(wǎng)絡攻擊從未如此復雜、如此賺錢，甚或如此令人困惑。有時候，清晰界定各種不同類型的黑客活動很是困難。民族國家有時會為了共同的目標而互相聯(lián)手，有時候他們甚至似乎與網(wǎng)絡犯罪團伙合作。而且，惡意工具一旦發(fā)布，往往會被競爭對手回收再利用。

下面我們來看看幾個最具創(chuàng)意也最危險的網(wǎng)絡間諜和網(wǎng)絡犯罪組織，排名不分先后：

▶ Lazarus(又名Hidden Cobra、Guardians of Peace、APT38、Whois Team、Zinc)

作為與朝鮮相關聯(lián)的黑客組織，Lazarus一戰(zhàn)成名是因為一起可能是有史以來最大型的網(wǎng)絡劫案：孟加拉央行黑客攻擊事件。這起事件發(fā)生在2016年2月，造成超過1億美元失竊。然而，該組織的所作所為遠遠不止于此。

過去十年來，Lazarus一直是多起黑客攻擊事件的背后黑手，從對韓國網(wǎng)站的DDoS攻擊開始，然后繼續(xù)深入到攻擊韓國的金融機構和基礎設施，2014年對索尼影業(yè)下手，2017年又發(fā)起了著名的WannaCry勒索軟件攻擊。

近些年來，Lazarus開始投身勒索軟件和加密貨幣領域，同時緊盯安全研究人員，獲取正在進行的漏洞研究的相關信息。據(jù)卡巴斯基安全研究員Dmitry Galov介紹，該組織擁有“無限的資源和非常好的社會工程技術”。

仍在持續(xù)的新冠肺炎疫情期間，Lazarus將這些社會工程技術用在了醫(yī)藥公司身上，包括疫苗制造商在內(nèi)的相關企業(yè)，成了他們最首要的目標。微軟表示，這些黑客發(fā)送魚叉式網(wǎng)絡釣魚電子郵件，郵件中含有“精心編造的職位描述”，意圖誘使其目標點擊其中的惡意鏈接。

Malwarebytes Labs主管Adam Kujawa稱：“該組織不同于其他黑客組織，因為盡管是國家支持的黑客組織，Lazarus的目標卻不是國家政府，而是可能持有或能接觸到朝鮮間諜感興趣的信息的那些企業(yè)和個人。”

Lazarus使用各種定制惡意軟件，包括后門、隧道構建程序、數(shù)據(jù)挖掘程序和破壞性惡意軟件，這些惡意軟件有時候是內(nèi)部開發(fā)的。該組織不遺余力地持續(xù)從事黑客攻擊活動。

FireEye曼迪安特威脅情報表示：“APT38之所以獨特，在于其在行動中毫不懼怕大肆破壞證據(jù)或受害網(wǎng)絡。該組織謹慎、精明，并且表現(xiàn)出想要長久維持受害環(huán)境訪問權的意愿，以便了解網(wǎng)絡布局、所需權限，以及系統(tǒng)技術，從而達成其目標。”

▶ UNC2452(又名Dark Halo、Nobelium、SilverFish、StellarParticle)

2020年，數(shù)千家企業(yè)和機構下載了帶后門的SolarWinds Orion軟件更新，給攻擊者留下了進入其系統(tǒng)的入口。美國國防部、英國政府、歐洲議會，以及全球多個政府機構及企業(yè)均成為了該供應鏈攻擊的受害者。

直到2020年12月8日曝光之前，這起網(wǎng)絡間諜行動至少暗中行事了九個月。曝光這起行動的安全公司FireEye也是其受害者，宣稱自己被此國家支持的黑客組織盜取了幾款紅隊工具。實際情況比最初預想的還要糟糕。SolarWinds Orion軟件供應鏈攻擊不過是攻擊者所用的入口渠道之一。研究人員還發(fā)現(xiàn)了另一起供應鏈攻擊，這次中招的是微軟云服務。而且，研究人員發(fā)現(xiàn)，微軟和VMware產(chǎn)品中也有幾個漏洞被利用了。

FireEye曼迪安特威脅情報高級副總裁兼首席技術官Charles Carmakal表示：“UNC2452是我們追蹤的黑客組織中最先進、最有紀律、最難以捉摸的。他們的諜報技術出類拔萃。攻擊技術和防御技術兩方面他們都掌控自如，并且運用此類知識精煉自身入侵技巧，堂而皇之地藏身目標環(huán)境之中。UNC2452展現(xiàn)出了極少見的操作安全水平，能夠長久駐留政府機構和企業(yè)內(nèi)部而不被發(fā)現(xiàn)。”

美國國家安全局(NSA)、聯(lián)邦調(diào)查局(FBI)和其他幾個機構稱此黑客組織受到俄羅斯的支持，并實施了制裁。這些美國機構辯稱，SolarWinds供應鏈攻擊可能是俄羅斯聯(lián)邦對外情報局(SVR)的手筆。其他線索則指向Cozy Bear/APT29黑客組織。

然而，情況似乎更為混亂?？ò退够芯咳藛T注意到，有幾個代碼片段可將此攻擊與俄語區(qū)黑客團伙Turla(又名Snake、Uroburos)掛鉤，該團伙主要攻擊歐洲和美國的政府和外交官。Secureworks發(fā)布的另一份報告則宣稱，位于中國的黑客組織Spiral在另一起黑客行動中同樣針對的SolarWinds客戶。

▶ Equation Group(方程式組織，又名EQGRP、Housefly、Remsec)

Equation Group是又一個技術精湛且資源豐富的黑客組織。早在21世紀初，甚至可能更早些時候，該組織就開始營業(yè)了。但直到2015年，卡巴斯基安全研究人員發(fā)布報告披露其幾款尖端工具之后，該黑客組織才見諸報端，為大眾所熟知。這篇報道的標題之一是這么寫的：“與網(wǎng)絡間諜之‘神’會面”。

研究人員將該黑客組織命名為Equation Group，是因為其采用了強加密和先進的混淆方法。該組織的工具極端復雜，且與NSA的特定情報獲取行動(TAO)組相關。

Equation Group的目標橫跨多個領域：政府、軍隊和外交機構;金融機構;以及從事電信、航空、能源、油氣、媒體和交通運輸行業(yè)的各大公司。很多受害者都位于伊朗、巴基斯坦、阿富汗、印度、敘利亞和馬里。

Equation Group最強大的工具是一款可以重編程各制造商硬盤固件的模塊，受害硬盤廠商包括希捷、西部數(shù)據(jù)、東芝和IBM。借助該模塊，攻擊者可以在受害硬盤上創(chuàng)建秘密存儲保險箱，其中內(nèi)容甚至可以扛過硬盤擦除和重格。該組織還創(chuàng)立了一套基于USB的命令與控制機制，能夠映射物理隔離網(wǎng)絡。在類似功能集成到震網(wǎng)(Stuxnet)之前，該機制就完成了。

這些先進的技術最終落到了其他民族國家黑客的手中。據(jù)賽門鐵克透露，Equation Group的工具被中國網(wǎng)絡間諜組織Buckeye(又名Gothic Panda、APT3、UPS Team)獲取并另作他用，在2016年用于攻擊歐洲和亞洲的公司。CheckPoint的研究人員發(fā)現(xiàn)，中國支持的另一個黑客組織Zirconium (APT31)克隆了Equation Group的EpMeWindows提權漏洞利用程序，創(chuàng)建了一款名為Jian的工具。所有這些都發(fā)生在2017年Shadow Brokers(影子經(jīng)紀人)數(shù)據(jù)泄露事件之前，該起事件中Equation Group開發(fā)的多款黑客工具現(xiàn)身網(wǎng)上，包括WannaCry攻擊中所用臭名昭著的EternalBlue(永恒之藍)漏洞利用程序。

CheckPoint研究員Eyal Itkin和Itay Cohen寫道：“網(wǎng)絡武器天生是數(shù)字化且易變的。盜竊網(wǎng)絡武器并轉移到另一個大洲就好像發(fā)送一封電子郵件那么簡單。”

▶ Carbanak(又名Anunak、Cobalt——與FIN7重疊)

2013年，多家金融機構被同一黑客攻擊手法所黑。攻擊者先發(fā)送魚叉式網(wǎng)絡釣魚電子郵件來滲透這些機構，然后再使用各種工具進駐個人電腦或服務器，以便后續(xù)抽取數(shù)據(jù)或金錢。這些攻擊背后的網(wǎng)絡罪犯團伙Carbanak嚴謹仔細地執(zhí)行攻擊活動，就像高級可持續(xù)威脅(APT)一樣，常常在受害者的系統(tǒng)中悄無聲息地潛伏數(shù)月時間。

Carbanak黑客組織的總部可能位于烏克蘭，其目標金融公司主要位于俄羅斯、美國、德國和中國。Carbanak的受害者之一因ATM詐騙損失了730萬美元，而另一家受害者在自身網(wǎng)上銀行平臺被黑后損失了1000萬美元。有時候，該黑客組織會命令ATM機在預定的時間吐鈔，無需現(xiàn)場人為干預。

2014年時，多家安全公司調(diào)查了Carbanak黑客事件，但結論迥異?？ò退够呒壈踩芯繂TAriel Jungheit稱：“Carbanak似乎是使用同一款惡意軟件的兩個不同組織。其中一個組織主要針對金融機構(卡巴斯基重點研究了這個組織)，另一個組織則更偏重零售公司。盡管其他人對此有爭議，但主要結論是，一開始是一個組織，后來分裂成了幾個小組。”

2018年3月，歐洲刑警組織(Europol)宣稱，經(jīng)過一番“復雜深入的調(diào)查”，已逮捕了Carbanak組織的首腦。然而，直至今日，該網(wǎng)絡犯罪團伙的很多成員仍然活躍，可能加入了其他黑客組織。FIN7網(wǎng)絡犯罪團伙主要對零售和餐飲業(yè)感興趣，而Cobalt專注金融機構。

FireEye曼迪安特威脅情報高級分析經(jīng)理Jeremy Kennelly表示：“如果司法行動的對象是與FIN7這種資源豐富的大型犯罪組織相關聯(lián)的個人，那其影響就難以判斷了，因為主要責任往往可以由多名個人或多個團隊承擔。逮捕行動之后，F(xiàn)IN7的戰(zhàn)術、技術和程序并沒有出現(xiàn)太大的變化。

▶ Sandworm(沙蟲，又名Telebots、Electrum、Voodoo Bear、Iron Viking)

俄羅斯網(wǎng)絡間諜組織Sandworm涉嫌過去十年來的幾起重大破壞性安全事件，包括2015年和2016年的烏克蘭大停電、2017年以投放勒索軟件為開端的NotPetya供應鏈攻擊、2018年俄羅斯籍運動員因使用禁藥而被禁賽后平昌冬奧會遭受的一系列攻擊，以及與多個國家的競選相關的黑客攻擊行動，例如美國2016大選、法國2017總統(tǒng)競選和2019年格魯吉亞大選。

FireEye曼迪安特威脅情報副總裁John Hultquist稱：“2019年10月對格魯烏(GRU：俄羅斯總參謀部情報部)官員的起訴書，讀起來就像是我們所見過的諸多重大網(wǎng)絡攻擊事件的清單。我們高度確信，俄羅斯軍事情報機構格魯烏的74455部隊在支持Sandworm活動。”

最近幾年，該組織的戰(zhàn)術、技術和程序變成了集成勒索軟件，但研究人員對此轉變毫不驚訝。曼迪安特威脅情報分析總監(jiān)Ben Read表示：“基于加密的勒索軟件通常與大范圍廣撒網(wǎng)式網(wǎng)絡犯罪活動相關，很容易被網(wǎng)絡間諜組織重新利用來進行破壞性攻擊。”

▶ Evil Corp(又名Indrik Spider)

Evil Corp得名于美劇《黑客軍團》(Mr. Robot)，但其成員和漏洞利用程序均在劇集播出之前就活躍于網(wǎng)絡上了。這個說俄語的黑客組織是史上最危險銀行木馬之一Dridex(也稱為Cridex或Bugat)的創(chuàng)建者。該組織在2020年攻擊了佳明公司和其他數(shù)十家企業(yè)。

法庭文件顯示，Evil Corp采用特許經(jīng)營模式，付出10萬美元和收益的50%，就可以得到Dridex訪問權。FBI估計，過去十年來，該黑客組織盜取了不少于1億美元。

安全研究人員稱，除了Dridex之外，Evil Corp還創(chuàng)建了WastedLocker勒索軟件系列和Hades勒索軟件。網(wǎng)絡安全公司ESET也宣稱，BitPaymer勒索軟件可能是此黑客組織的杰作。Kujawa說道：“該組織的與眾不同之處在于其攻擊有效性，很多安全攻擊都將Evil Corp的攻擊行動與資源豐富、訓練有素的黑客國家隊相提并論。”

2019年，美國司法部以多項罪名起訴了該組織的兩名重要成員，Maksim Yakubets和Igor Turashev，罪名包括串謀欺詐和電信詐騙，但該司法行動并未阻止Evil Corp繼續(xù)其黑客活動。CrowdStrike Intelligence高級副總裁Adam Meyers表示：“去年，該黑客組織采用了新的工具，并重新命名了幾款工具，從而規(guī)避美國財務部實施的制裁，防止受害者無法支付他們索要的贖金。盡管個別成員受到起訴，黑客行動也受到了制裁，但該組織依然蓬勃發(fā)展。”

▶ Fancy Bear(奇幻熊，又名APT28、Sofacy、Sednit、Strontium)

2000年代中期開始，這個說俄語的黑客組織就出現(xiàn)在我們周圍了，其攻擊目標包括美國、西歐和南高加索的政府和軍隊機構，以及能源和媒體公司。該組織的受害者可能包括德國和挪威議會、白宮、北大西洋公約組織(NATO)，以及法國電視臺TV5。

Fancy Bear最著名的案例是2016年攻入美國民主黨全國委員會和入侵希拉里·克林頓的競選活動，據(jù)稱影響了美國總統(tǒng)選舉的結果。據(jù)信， Fancy Bear的馬甲就是黑客組織Guccifer 2.0。據(jù)CrowdStrike介紹，另一個說俄語的黑客組織，Cozy Bear(安逸熊)，也藏身于民主黨的計算機網(wǎng)絡中，獨立盜取密碼。但很明顯，這兩頭熊并未意識到彼此的存在。

Fancy Bear主要通過周一和周五發(fā)送的魚叉式網(wǎng)絡釣魚郵件來引誘受害者上鉤，偶爾也會注冊極其類似合法網(wǎng)站的域名，構建虛假網(wǎng)站來收割登錄憑證。

▶ LuckyMouse(又名Emissary Panda,、Iron Tiger、APT27)

這個黑客組織說中文，活躍了十年以上，主要針對外國大使和橫跨多個不同行業(yè)的公司，如航空、國防、科技、能源、醫(yī)療保健、教育和政府。其活動范圍包括北美、南美、歐洲、亞洲和中東。

卡巴斯基的Jungheit稱，該組織的滲透測試技術高超，通常使用Metasploit框架等公開可用的工具。“除了作為投放手段的魚叉式網(wǎng)絡釣魚，該黑客組織還在行動中使用SWC(策略性Web攻擊)，以超高成功率拿下受害者。”

趨勢科技的研究人員注意到，該組織可以快速更新并修改器工具，讓安全研究人員難以檢測。

▶ REvil(又名Sodinokibi、Pinchy Spider—與GandCrab相關)

REvil黑客組織得名于電影《生化危機》(Resident Evil)及其系列游戲，位于俄語區(qū)，運營著幾個最有利可圖的勒索軟件即服務(RaaS)。該黑客組織首次進入大眾視野是在2019年4月，臭名昭著的GandCrab被關停之后不久，其業(yè)務自那以后似乎就蒸蒸日上了。該組織的受害者包括宏碁、本田、Travelex和杰克丹尼威士忌的生產(chǎn)商Brown-Forman。

Jungheit稱：“REvil運營者索要的贖金為2021年之最。為了分發(fā)勒索軟件，REvil與在網(wǎng)絡犯罪論壇上招募的成員組織合作，分給成員組織60%到75%的贖金。”

開發(fā)人員經(jīng)常更新REvil勒索軟件，從而避免檢測到正在進行的攻擊。Jungheit稱：“該組織在網(wǎng)絡犯罪論壇的帖子里公布所有主要更新及其合作伙伴計劃中的空缺職位。”

Malwarebytes Labs的Kujawa表示，REvil不同于其他組織的地方在于，其開發(fā)人員是以業(yè)務為中心的。“去年，該組織的一名成員接受了采訪，稱他們通過勒索和威脅要披露數(shù)收入了1億美元，而且還計劃在未來通過DDoS攻擊拓展其勒索能力。”

▶ Wizard Spider

說俄語的Wizard Spider組織在2016年首次浮出水面，但在最近幾年已變得越來越復雜高端，打造了多款用于網(wǎng)絡犯罪的工具。最初，Wizard Spider以其商業(yè)化銀行惡意軟件TrickBot而聞名，但之后，該組織就擴展了其工具集，納入了Ryuk、Conti和BazarLoader。而且，Wizard Spider仍在持續(xù)完善其武器庫，以便更加有利可圖。

CrowdStrike Intelligence的Meyers稱：“Wizard Spider的惡意軟件庫并未在犯罪論壇上公開打廣告，表明他們可能只想與信得過的犯罪組織交易或合作。”該組織的黑客活動多種多樣，其中一些非常具體，傾向于所謂“狩獵大型獵物”的高針對性、高回報勒索軟件攻擊活動。

Wizard Spider根據(jù)目標的價值估算索要的贖金，似乎沒有哪個行業(yè)是禁區(qū)。新冠肺炎疫情期間，該組織用Ryuk和Conti惡意軟件攻擊了美國幾十家醫(yī)療機構。世界各國的多家醫(yī)院也受到了影響。

▶ 彩蛋：Winnti(又名Barium、Double Dragon、Wicked Panda、APT41、Lead、Bronze Atlas)

Winnti可能是說中文的幾個小組的集合，既從事網(wǎng)絡犯罪活動，也執(zhí)行國家支持的網(wǎng)絡攻擊。其網(wǎng)絡間諜行動針對醫(yī)療企業(yè)和科技公司，常常盜取知識產(chǎn)權。同時，其經(jīng)濟利益驅(qū)動的網(wǎng)絡犯罪力量攻擊電子游戲產(chǎn)業(yè)，操縱虛擬貨幣，并試圖部署勒索軟件。

Jungheit稱：“難以定義該黑客組織主要是因為其從事的黑客活動與其他說中文的APT組織之間存在重疊。例如，有些工具和惡意軟件是多個說中文的黑客組織之間共享的。”

Winnti使用的不同代碼集和工具高達數(shù)十種，而且常常依靠魚叉式網(wǎng)絡釣魚電子郵件滲透目標公司。曼迪安特威脅情報報告稱：“在一次持續(xù)近一年的黑客活動中，APT41入侵了數(shù)百個系統(tǒng)，使用了近150種惡意軟件，其中包括后門、憑證盜竊程序、鍵盤記錄器和rootkit。APT41還有限度地部署rootkit和主引導記錄(MBR)bootkit，用于在重要的受害者系統(tǒng)上隱藏其惡意軟件和維持駐留。”