隨著網(wǎng)絡(luò)攻擊已經(jīng)成為強(qiáng)大組織的攻擊武器庫中的常見工具，一個(gè)基于提供網(wǎng)絡(luò)攻擊服務(wù)、工具甚至培訓(xùn)潛在客戶的行業(yè)已經(jīng)發(fā)展起來。這一行業(yè)的主要參與者之一是所謂的“網(wǎng)絡(luò)雇傭軍”--顧名思義，為政府、犯罪組織甚至企業(yè)等客戶提供不同種類的基于互聯(lián)網(wǎng)的產(chǎn)品和服務(wù)的團(tuán)體或個(gè)人。從理論上講，這些網(wǎng)絡(luò)雇傭軍可以被用于非惡意目的，比如幫助政府打擊恐怖主義和有組織犯罪。然而，事實(shí)是，他們的服務(wù)最終被用來攻擊客戶的對(duì)手。趨勢(shì)科技（Trend Micro）11月10日發(fā)布研究報(bào)告稱，發(fā)現(xiàn)了一個(gè)新的俄語網(wǎng)絡(luò)雇傭軍組織，該組織一直在攻擊從俄羅斯企業(yè)到記者和政客的各種目標(biāo)。

　　Void Balaur組織曝光

　　2020年3月，與俄羅斯情報(bào)機(jī)構(gòu)有關(guān)的黑客組織“兵風(fēng)暴（Pawn Storm）”（又稱“Fancy Bear”和“APT28”）的長期被攻擊目標(biāo)表示，黑客用釣魚郵件攻擊了他的妻子。研究人員發(fā)現(xiàn)了該組織。趨勢(shì)科技發(fā)現(xiàn)這些指標(biāo)與“兵風(fēng)暴”不符，并將攻擊歸咎于另一個(gè)名為“Void Balaur”的俄語組織。

　　據(jù)趨勢(shì)科技（Trend Micro）稱，與APT28不同，Void Balaur似乎是一個(gè)獨(dú)立組織，它愿意侵入各種目標(biāo)的電子郵件，從俄羅斯的航空公司到烏茲別克斯坦的人權(quán)活動(dòng)人士。

　　“他們的目標(biāo)真是喜憂參半，”首席研究員費(fèi)克·哈克伯德在一次采訪中說?！翱雌饋碛泻芏嗖煌目蛻粼谑褂盟鼈儯@符合我們的印象，即它們實(shí)際上是一個(gè)網(wǎng)絡(luò)雇傭兵，任何人都可以雇傭?！?/p>

　　這項(xiàng)研究突顯了日益增長且不受約束的網(wǎng)絡(luò)雇傭軍行業(yè)，這一行業(yè)引發(fā)了政治和人權(quán)方面的擔(dān)憂。研究人員警告稱，雖然各國可能將網(wǎng)絡(luò)雇傭軍服務(wù)視為國家資產(chǎn)，但雇傭黑客組織很容易針對(duì)本國。

　　俄羅斯黑客，比如勒索軟件組織，在該地區(qū)活動(dòng)往往不受懲罰，因?yàn)樗麄兣c俄羅斯政府達(dá)成了不攻擊俄羅斯目標(biāo)的默契。哈克伯德說，在盜竊和出售俄羅斯個(gè)人數(shù)據(jù)方面，這些協(xié)議沒有那么嚴(yán)格。俄羅斯人的個(gè)人數(shù)據(jù)在俄語論壇上激增。

　　到目前為止，TrendMicro的研究人員已經(jīng)發(fā)現(xiàn)了該組織的3500多個(gè)目標(biāo)。黑客主要集中在能夠提供大量個(gè)人數(shù)據(jù)的組織，包括移動(dòng)運(yùn)營商和體外受精診所。

　　哈克伯德在報(bào)告中寫道：“我們的研究揭示了一個(gè)清晰的畫面：Void Balaur追蹤并攻擊企業(yè)和個(gè)人最私密的個(gè)人數(shù)據(jù)，然后將這些數(shù)據(jù)出售給任何愿意為此付費(fèi)的人?！?/p>

　　Void Balaur組織的受害者

　　該組織在講俄語的地下論壇上以“Rockethack”的名義發(fā)布廣告，出售的數(shù)據(jù)包括俄羅斯護(hù)照信息、俄羅斯機(jī)場(chǎng)乘客數(shù)據(jù)、國際刑警組織（Interpol）記錄和俄羅斯稅務(wù)記錄。趨勢(shì)科技將黑客命名為Void Balaur，這是一個(gè)東歐民間傳說中的多頭怪獸，象征著他們被雇傭的許多目標(biāo)。

　?。╒oid Balaur從2020年開始在其網(wǎng)站上提供一些產(chǎn)品）

　　通過將基礎(chǔ)設(shè)施、主機(jī)名和電子郵件地址等指標(biāo)與eQualit的外部報(bào)告中發(fā)現(xiàn)的信息相關(guān)聯(lián)，研究人員能夠確定威脅參與者的受害者的性質(zhì)。報(bào)告提到了對(duì)人權(quán)活動(dòng)人士、記者、媒體網(wǎng)站和政治新聞網(wǎng)站的攻擊。Void Balaur也不反對(duì)攻擊更高調(diào)的目標(biāo)，因?yàn)樵摻M織還攻擊了一個(gè)情報(bào)機(jī)構(gòu)的前負(fù)責(zé)人，活躍的政府部長，東歐國家的國民議會(huì)成員，甚至總統(tǒng)候選人。

　　這可能不是一次性的攻擊，而是一個(gè)更大的戰(zhàn)役的一部分，有多個(gè)戰(zhàn)線。此外，雖然威脅行動(dòng)者的許多活動(dòng)似乎是出于經(jīng)濟(jì)動(dòng)機(jī)，但其動(dòng)機(jī)可能是希望在受害者之間造成破壞和沖突。

　　Void Balaur組織的攻擊工具

　　根據(jù)國際特赦組織的報(bào)告，Void Balaur也使用了看似簡單但高度專業(yè)化的惡意軟件。其中一種名為Z*Stealer的惡意軟件旨在收集各種類型的軟件的證書，如即時(shí)通訊應(yīng)用程序、電子郵件客戶端、瀏覽器和遠(yuǎn)程桌面協(xié)議（RDP）程序。此外，它還能夠竊取加密貨幣錢包。

　　DroidWatcher是該組織在其活動(dòng)中使用的另一個(gè)惡意軟件。與Z*Stealer類似，它也用于信息盜竊，同時(shí)增加了間諜和遠(yuǎn)程跟蹤功能，允許用戶訪問敏感位置和通信信息。

　　TrendMicro還以“中等的信心”將Void Balaur與針對(duì)烏茲別克斯坦記者和活動(dòng)人士的間諜活動(dòng)聯(lián)系在一起，這一活動(dòng)可以追溯到Void Balaur于2017年首次在網(wǎng)上發(fā)布廣告的一年前。

　　Void Balaur組織已引起聯(lián)合國的關(guān)注

　　聯(lián)合國專家周五發(fā)布了一份報(bào)告，對(duì)“網(wǎng)絡(luò)空間中與雇傭軍有關(guān)的活動(dòng)”提出警告，并敦促各國不要招募、資助和培訓(xùn)此類個(gè)人。

　　如何防范Void Balaur？

　　像“Void Balaur”這樣的網(wǎng)絡(luò)雇傭軍組織擁有大量的工具和資源，可以對(duì)高調(diào)的目標(biāo)發(fā)動(dòng)攻擊。趨勢(shì)科技的研究報(bào)告建議實(shí)施如下安全最佳實(shí)踐，可以幫助減輕攻擊的影響，甚至阻止攻擊的成功。

　　選擇優(yōu)先考慮安全性并有強(qiáng)大安全協(xié)議的電子郵件提供商。

　　在訪問電子郵件和社交媒體賬戶時(shí)使用雙因素認(rèn)證（2FA），最好使用專為2FA設(shè)計(jì)的應(yīng)用程序或設(shè)備。

　　確保用于傳輸敏感信息的應(yīng)用程序?qū)νㄐ胚M(jìn)行端到端加密。

　　刪除舊的消息，以減少敏感數(shù)據(jù)落入惡意人員手中的機(jī)會(huì)。一些手機(jī)應(yīng)用程序有一項(xiàng)設(shè)置，可以在一定時(shí)間后自動(dòng)刪除聊天記錄。

　　對(duì)所有機(jī)器使用驅(qū)動(dòng)器加密。

　　在不使用時(shí)，關(guān)掉儲(chǔ)存重要數(shù)據(jù)的工作和個(gè)人電腦

　　考慮在涉及敏感信息或?qū)υ挼耐ㄐ胖惺褂眉用芟到y(tǒng)。