網(wǎng)絡(luò)安全世界中的兩大威脅是國(guó)家支持的高級(jí)持續(xù)性威脅(APT)和網(wǎng)絡(luò)罪犯，其深入世界各個(gè)角落的基礎(chǔ)設(shè)施和圈子也就是所謂的暗網(wǎng)。APT組織和網(wǎng)絡(luò)犯罪團(tuán)伙向來井水不犯河水，各自都有自己的目標(biāo)、人員和手段。但是近些年來，二者之間出現(xiàn)了一些交叉和重疊。

從進(jìn)入公眾視野之日起，APT就一直在用通常在暗網(wǎng)上售賣的工具。具體而言，許多APT事件中都出現(xiàn)了Poison Ivy等遠(yuǎn)程訪問木馬(RAT)的身影。這種現(xiàn)象非常普遍，以致于許多人對(duì)“APT”一詞本身提出了質(zhì)疑，因?yàn)镽AT并不被認(rèn)為是“高級(jí)的”(事實(shí)上，APT中的“高級(jí)”指的是黑客組織背后的基礎(chǔ)設(shè)施，即民族國(guó)家)。APT事件常以數(shù)據(jù)滲漏為目標(biāo)，多年來，APT組織使用暗網(wǎng)上各種網(wǎng)絡(luò)犯罪工具達(dá)成此目標(biāo)，二者并不矛盾。

而另一方面，網(wǎng)絡(luò)犯罪團(tuán)伙也借鑒了APT的一些戰(zhàn)術(shù)。騙子常常盯上金融機(jī)構(gòu)的客戶，就是因?yàn)榭蛻舯徽J(rèn)為是金融機(jī)構(gòu)整個(gè)安全鏈條中最弱的一環(huán)。他們根本不去嘗試突破銀行的安全網(wǎng)絡(luò)，而是采用網(wǎng)絡(luò)釣魚攻擊來染指其受害者。其他企業(yè)淪為網(wǎng)絡(luò)犯罪的受害者，則是因?yàn)榫W(wǎng)絡(luò)犯罪團(tuán)伙黑進(jìn)了他們的系統(tǒng)(比如電子商務(wù)網(wǎng)站)，從而盜走了各種憑證。但突破銀行的系統(tǒng)就被認(rèn)為是無法企及的目標(biāo)，絕大多數(shù)網(wǎng)絡(luò)犯罪團(tuán)伙都不會(huì)去嘗試。

不過，在某種程度上，網(wǎng)絡(luò)犯罪團(tuán)伙明白，如果APT使用暗網(wǎng)工具訪問企業(yè)網(wǎng)絡(luò)取得了巨大成功，那他們自己也能做到。一些網(wǎng)絡(luò)犯罪團(tuán)伙已經(jīng)采用了APT的戰(zhàn)術(shù)，使用魚叉式網(wǎng)絡(luò)釣魚發(fā)送感染了惡意軟件的附件，通過惡意附件來獲取銀行IT系統(tǒng)的訪問權(quán)。網(wǎng)絡(luò)安全公司Group-B稱，名為Cobalt的網(wǎng)絡(luò)犯罪團(tuán)伙利用銀行系統(tǒng)權(quán)限，向ATM機(jī)遠(yuǎn)程植入了惡意軟件，造成銀行ATM機(jī)自動(dòng)吐鈔(所謂Jackpotting攻擊)。

后來的事件中，APT的目標(biāo)逐漸開始網(wǎng)絡(luò)犯罪團(tuán)伙化。如果說以前APT的主要目標(biāo)是數(shù)據(jù)滲漏，為了竊取知識(shí)產(chǎn)權(quán)和情報(bào)，那最近一些APT組織入侵各大企業(yè)就開始是為財(cái)了。在這方面最臭名昭著的APT組織是Lazarus，據(jù)說該組織與朝鮮有關(guān)。一系列攻擊中都出現(xiàn)了Lazarus的身影，包括索尼影業(yè)數(shù)據(jù)泄露事件和針對(duì)韓國(guó)的多起DDoS攻擊事件。尤為值得一提的是，該組織還與2016年孟加拉央行網(wǎng)絡(luò)攻擊事件有關(guān)。這起事件中，作案者發(fā)起的非法SWIFT網(wǎng)絡(luò)轉(zhuǎn)賬價(jià)值近十億美元，不過，三十五條轉(zhuǎn)賬指令中僅五條成功了。此外，Lazarus與WannaCry勒索軟件也有關(guān)系，被認(rèn)為是2017年5月那波全球性攻擊的幕后黑手。WannaCry勒索軟件使用了最初由NSA研發(fā)的被泄漏洞利用程序，感染W(wǎng)indows主機(jī)后會(huì)加密其上文件并發(fā)出勒索信，受害者不支付贖金就無法解鎖文件。這波全球性攻擊中，150多個(gè)國(guó)家的30多萬臺(tái)計(jì)算機(jī)遭感染。

將作案重點(diǎn)轉(zhuǎn)向經(jīng)濟(jì)收益的APT并非僅僅有據(jù)稱歸屬朝鮮的Lazarus一家。各家網(wǎng)絡(luò)安全公司的報(bào)告宣稱，伊朗政府支持的黑客組織目前盯上了以色列公司。研究人員聲稱，盡管他們的目標(biāo)表面上看似乎是為了求財(cái)，但這些攻擊背后真正的原因是政治性的。2020年11月20日，名為Black Shadows的黑客組織攻擊了以色列保險(xiǎn)公司Shirbit。他們?cè)噲D勒索這家保險(xiǎn)公司，警告稱如果不付款就曝光被盜數(shù)據(jù)。Shirbit拒絕付款，而數(shù)據(jù)隨后也確實(shí)泄露了。這家公司遭受了直接經(jīng)濟(jì)損失，并且面臨集體訴訟。安全供應(yīng)商SentinelOne表示，盡管該事件的性質(zhì)是網(wǎng)絡(luò)犯罪，但所有這些操作都是用來掩蓋伊朗針對(duì)以色列的各項(xiàng)行動(dòng)。這起事件，以及針對(duì)KLS Capital等以色列公司的多起其他事件，都是APT攻擊，是兩國(guó)間當(dāng)前冷戰(zhàn)的一部分。ClearSky Cyber Security指出，這一行動(dòng)中的其他重磅攻擊落在了Amital和Habana Labs身上。

盡管基礎(chǔ)設(shè)施、目標(biāo)和手段存在差異，惡意黑客組織的工作環(huán)境并非真空。他們會(huì)互相取經(jīng)。網(wǎng)絡(luò)威脅世界中所有惡意團(tuán)伙都這樣。關(guān)注網(wǎng)絡(luò)犯罪活動(dòng)的研究人員也應(yīng)該注意APT空間中發(fā)生的事情，因?yàn)檫@類事情最終可能會(huì)滲透到犯罪世界。反過來也一樣，網(wǎng)絡(luò)犯罪團(tuán)伙使用的工具、創(chuàng)新戰(zhàn)術(shù)和方法，最終也會(huì)落入政府支持的黑客組織手中。