研究顯示，白俄羅斯、印度和哥倫比亞等國(guó)家對(duì)一些重大網(wǎng)絡(luò)攻擊有牽連。在過(guò)去的一年里，供應(yīng)鏈攻擊和勒索軟件攻擊占據(jù)了新聞?lì)^條，美國(guó)及其西方盟友因SolarWinds間諜軟件滲透、colonial油氣管道遭勒索、微軟Exchange黑客攻擊等重大網(wǎng)絡(luò)安全事件的影響，但凡網(wǎng)絡(luò)攻擊就會(huì)將矛頭指向俄羅斯、伊朗、朝鮮等國(guó)，并促使各民族國(guó)家對(duì)網(wǎng)絡(luò)安全做出回應(yīng)。然而，在數(shù)字領(lǐng)域，有一些危險(xiǎn)的對(duì)手往往被忽略了。除了偶爾占據(jù)安全新聞?lì)^條的伊朗、以色列和印度外，還有像敘利亞、巴基斯坦、白俄羅斯、越南、哥倫比亞等規(guī)模較小的威脅組織，在破壞性黑客或間諜活動(dòng)方面可以獨(dú)來(lái)獨(dú)去。此外，所謂的“黑客活動(dòng)主義者”團(tuán)體和來(lái)歷不明的威脅行動(dòng)者往往出于神秘的目的從事惡意活動(dòng)。

　　印度：黑客冒充合法公司

　　路透社記者克里斯·賓（Chris Bing）和拉斐爾·薩特（Raphael Satter）在最近的網(wǎng)絡(luò)戰(zhàn)爭(zhēng)大會(huì)（Cyberwarcon）上回顧了他們正在對(duì)一個(gè)松散的印度黑客組織進(jìn)行的調(diào)查，該組織模糊了聲譽(yù)管理公司和直接雇傭黑客服務(wù)之間的界限。這些黑客為Appin Security Labs和BellTrox等機(jī)構(gòu)工作，目標(biāo)是律師、活動(dòng)人士、高管、投資者、制藥公司、能源公司、資產(chǎn)管理公司、離岸銀行實(shí)體和高價(jià)值個(gè)體。

　　總部位于德里的BellTrox的目標(biāo)之一是伊朗裔美國(guó)航空大亨法哈德·阿齊瑪（Farhad Azima），該公司竊取了他的電子郵件，并在訴訟中用來(lái)指控他?！爱?dāng)你們發(fā)現(xiàn)黑客和泄密行動(dòng)時(shí)，我不希望你們認(rèn)為是俄羅斯、朝鮮甚至是印度干的，”Chris Bing說(shuō)。“我們想讓你認(rèn)為，可能是那個(gè)上了新聞的億萬(wàn)富翁，可能是那個(gè)K街游說(shuō)公司，甚至可能是那個(gè)心懷不滿的前配偶。”

　　《環(huán)球時(shí)報(bào)》近日引用多家中國(guó)網(wǎng)絡(luò)安全企業(yè)報(bào)告，揭示了一張精密、復(fù)雜的真實(shí)網(wǎng)絡(luò)：來(lái)自南亞大陸——以印度為主要代表的頂尖黑客組織，它們?cè)趪?guó)家和情報(bào)機(jī)構(gòu)的強(qiáng)大支持下，在過(guò)去幾年里不斷攻擊中國(guó)、尼泊爾和巴基斯坦的國(guó)防、軍事單位以及國(guó)有企業(yè)。近些年，印度軍政高層和媒體不斷炒作“中國(guó)網(wǎng)攻威脅”，每次都遭到中方駁斥。事實(shí)證明，中國(guó)才是黑客攻擊的主要受害國(guó)之一。安天科技集團(tuán)、360政企安全集團(tuán)和奇安信三大中國(guó)網(wǎng)絡(luò)安全企業(yè)相關(guān)人士公開(kāi)了大量翔實(shí)的一手資料，從中可以發(fā)現(xiàn)印度對(duì)中國(guó)重要部門(mén)頻密發(fā)動(dòng)網(wǎng)絡(luò)攻擊的重要信息。

　　白俄羅斯：幕后黑手不是俄羅斯

　　最近波蘭和白俄羅斯之間的難民問(wèn)題變得愈發(fā)嚴(yán)峻，使白俄羅斯成為全球關(guān)注熱點(diǎn)。而網(wǎng)絡(luò)戰(zhàn)爭(zhēng)大會(huì)最大的新聞則是，Mandiant的威脅情報(bào)集團(tuán)（Threat Intelligence Group）將國(guó)家支持的間諜組織UNC1151與白俄羅斯政府聯(lián)系在一起，此前該組織被研究人員與俄羅斯聯(lián)系在一起。曼迪昂特還得出結(jié)論，UNC1151為名為“槍手”（Ghostwriter）的信息行動(dòng)提供了技術(shù)支持，該行動(dòng)培養(yǎng)了符合白俄羅斯政府利益的敘事方式，包括反北約信息。

　　Mandiant的網(wǎng)絡(luò)間諜分析高級(jí)經(jīng)理本·里德（Ben Read）和技術(shù)威脅情報(bào)分析師加比·朗科內(nèi)（Gabby Roncone）說(shuō)，他們不能完全排除俄羅斯參與的可能性。里德說(shuō)：“槍手與白俄羅斯有一定的聯(lián)系。”“我看到了與UNC1151的關(guān)系。我們對(duì)你們從這個(gè)團(tuán)隊(duì)獲得的技術(shù)支持非常有信心?！?/p>

　　“我們沒(méi)有看到UNC1151或Ghostwriter活動(dòng)與其他被公開(kāi)認(rèn)為是俄羅斯所為的網(wǎng)絡(luò)間諜信息行動(dòng)之間有任何重疊。它有它自己的東西，我們認(rèn)為它應(yīng)該被這樣評(píng)價(jià)。有很多充分的理由懷疑俄羅斯參與其中。我們只是沒(méi)有確鑿的證據(jù)?！?/p>

　　越南：長(zhǎng)達(dá)十年的持續(xù)攻擊

　　海蓮花組織是奇安信于2015年披露并命名的APT組織。該組織自 2012年4月起，針對(duì)中國(guó)政府、 科研院所、海事機(jī)構(gòu)、海域建設(shè)、航運(yùn)企業(yè)等相關(guān)重要領(lǐng)域展開(kāi)了有組織、有計(jì)劃、有針對(duì)性的長(zhǎng)時(shí)間不間斷攻擊。OceanLotus的攻擊不局限于國(guó)家級(jí)網(wǎng)絡(luò)間諜活動(dòng)，也延伸至商業(yè)情報(bào)竊取，比如汽車(chē)制造行業(yè)。2019年，豐田、現(xiàn)代、寶馬等跨國(guó)汽車(chē)企業(yè)被報(bào)道遭到OceanLotus攻擊，導(dǎo)致數(shù)據(jù)泄露。

　　APT-Q-31 屬于攻擊境內(nèi)目標(biāo)的境外組織，奇安信威脅情報(bào)中心對(duì) APT-Q-31 組織的命名為魔株系——海蓮花，“蓮花”是表現(xiàn)了該組織的地緣及文化特征，“?！眲t主要表現(xiàn)了該組織以海洋領(lǐng)域?yàn)橹饕裟繕?biāo)的活動(dòng)特征。

　　以色列：間諜軟件公司candru老練的水坑攻擊

　　Cyberwarcon的另一個(gè)重大發(fā)現(xiàn)是，ESET的研究人員發(fā)現(xiàn)，中東一些知名網(wǎng)站遭受的水坑攻擊與以色列間諜軟件公司Candiru有關(guān)。受到攻擊的網(wǎng)站包括伊朗駐阿布扎比大使館的網(wǎng)站、總部位于倫敦的數(shù)字新聞網(wǎng)站“中東之眼”（Middle East Eye），以及其他批評(píng)沙特阿拉伯的網(wǎng)站。美國(guó)商務(wù)部最近對(duì)Candiru進(jìn)行了制裁，將其列入了禁止美國(guó)機(jī)構(gòu)與無(wú)證公司開(kāi)展業(yè)務(wù)的實(shí)體名單。

　　ESET的惡意軟件研究員Matthieu Faou在他的Cyberwarcon演講中表示，在公民實(shí)驗(yàn)室、谷歌和微軟發(fā)布詳細(xì)描述Candiru活動(dòng)的博客幾周后，Mandiant在2021年7月底就沒(méi)有再觀測(cè)到這種活動(dòng)了。

　　以色列盛產(chǎn)技術(shù)偽造的網(wǎng)絡(luò)安全公司，同時(shí)也盛產(chǎn)優(yōu)秀的間諜軟件。今年7月份美國(guó)《華盛頓郵報(bào)》、英國(guó)《衛(wèi)報(bào)》和法國(guó)《世界報(bào)》等17家媒體共同披露，一款名叫“飛馬”（Pegasus）的間諜軟件在全球至少50多個(gè)國(guó)家，被用來(lái)監(jiān)視人權(quán)活動(dòng)人士、記者和律師。涉及人數(shù)可能高達(dá)5萬(wàn)人?！帮w馬”由總部位于以色列特拉維夫的網(wǎng)絡(luò)科技公司NSO集團(tuán)開(kāi)發(fā)，能夠侵入蘋(píng)果和安卓操作系統(tǒng)，提取短信、照片和電子郵件，對(duì)通話進(jìn)行錄音，并在使用者不知情的情況下，遠(yuǎn)程啟動(dòng)手機(jī)的話筒和攝像頭。

　　另外，以色列與伊朗曠日持久的黑客對(duì)攻戰(zhàn)也常常是安全新聞的頭條。

　　巴基斯坦和敘利亞：Facebook實(shí)施黑客組織瓦解行動(dòng)

　　Facebook負(fù)責(zé)全球威脅破壞的主管戴維·阿格拉諾維奇（David Agranovich）和領(lǐng)導(dǎo)Facebook網(wǎng)絡(luò)間諜團(tuán)隊(duì)的邁克·德維利揚(yáng)斯基（Mike Dvilyanski）分享了過(guò)去幾個(gè)月該公司在巴基斯坦和敘利亞針對(duì)四個(gè)不同黑客組織采取的行動(dòng)細(xì)節(jié)。Facebook禁用了這些群體的賬戶，禁止他們的域名在其平臺(tái)上發(fā)布，與業(yè)內(nèi)同行、安全研究人員和執(zhí)法部門(mén)分享信息，并提醒了它認(rèn)為是黑客攻擊目標(biāo)的人。

　　這個(gè)來(lái)自巴基斯坦的組織名為SideCopy，該組織一直以前阿富汗政府成員和其他駐阿富汗人員為目標(biāo)。在敘利亞，F(xiàn)acebook刪除了三個(gè)與敘利亞政府有關(guān)的群組：敘利亞電子軍，APT-C-37，以及一個(gè)以少數(shù)群體、活動(dòng)人士、反對(duì)派、庫(kù)爾德記者、活動(dòng)人士、人民保護(hù)部隊(duì)（YPG）成員和敘利亞民防或白盔組織（一個(gè)基于志愿的人道主義組織）為目標(biāo)的組織。

　　哥倫比亞：威脅組織“彎刀”（Machete）的重點(diǎn)是拉丁美洲

　　Blake Djavaherian是CrowdStrike的全球威脅分析小組（GTAC）的情報(bào)分析師，他詳細(xì)介紹了他的公司對(duì)“彎刀”的調(diào)查。“彎刀”是一個(gè)專注于拉丁美洲的威脅行動(dòng)者，至少?gòu)?010年就開(kāi)始活躍?！皬澋丁币砸环N高度針對(duì)性的方式運(yùn)作，幾乎總是關(guān)注拉丁美洲的問(wèn)題或組織。

　　該組織通過(guò)對(duì)政府通信進(jìn)行很好的惡搞來(lái)傳播惡意軟件。“彎刀”特別關(guān)注厄瓜多爾、委內(nèi)瑞拉、尼加拉瓜、古巴和哥倫比亞的一些內(nèi)部組織。雖然CrowdStrike并未將威脅行為者歸咎于某個(gè)特定國(guó)家，但Djavaherian表示，“目標(biāo)范圍與哥倫比亞政府可能的情報(bào)收集重點(diǎn)非常相關(guān)，包括可能為哥倫比亞政府從事此類活動(dòng)的承包商和分包商?！?/p>

　　伊朗：四個(gè)伊朗組織正在轉(zhuǎn)向犯罪角色

　　Alex Orleans是CrowdStrike Intelligence公司GTAC的入侵任務(wù)負(fù)責(zé)人，Katie Blankenship在會(huì)議上透露了他們調(diào)查的四個(gè)伊朗組織的細(xì)節(jié)：Tarnished Gauntlet, Pioneer Kitten, Spectral Kitten和Nemesis Kitten。Blankenship說(shuō)，這些組織正從黑客角色轉(zhuǎn)變?yōu)榉缸锝巧虼恕八麄兛梢杂袡C(jī)地利用勒索軟件的破壞能力，同時(shí)允許參與者混入大量新的犯罪活動(dòng)?！?/p>

　　微軟觀察到六個(gè)伊朗威脅組織部署勒索軟件。微軟威脅情報(bào)中心（MSTIC）的James Elliott、Simeon Kakpovi和Ned Moran分析了伊朗惡意網(wǎng)絡(luò)運(yùn)營(yíng)商使用的工具、技術(shù)和程序的逐漸演變。自2020年9月以來(lái)，MSTIC觀察到6個(gè)伊朗威脅組織平均每6至8周部署一波又一波的勒索軟件來(lái)實(shí)現(xiàn)其戰(zhàn)略目標(biāo)。其中一個(gè)組織，PHOSPHORUS，針對(duì)Fortinet FortiOS SSL VPN和全球未打補(bǔ)丁的內(nèi)部交換服務(wù)器，目的是在脆弱的網(wǎng)絡(luò)上部署勒索軟件。

　　另外，釋放信號(hào)可能是黑客活動(dòng)分子的目標(biāo)。SentinelOne的主要威脅研究員胡安·安德烈斯·格雷羅-薩德（Juan Andres Guerrero-Saade）回顧了一系列涉及所謂黑客活動(dòng)組織或參與者的網(wǎng)絡(luò)安全事件。比如知名的Phineas Fisher，它聲稱在2015年入侵了監(jiān)控公司Hacking Team，以及因德拉（Indra），后者聲稱對(duì)伊朗的攻擊負(fù)責(zé)，包括對(duì)該國(guó)火車(chē)站的一次黑客攻擊。因德拉還策劃了最近對(duì)伊朗加油站的襲擊。格雷羅-薩德說(shuō)，在大多數(shù)情況下，黑客攻擊不一定是最終目的。相反，黑客們正在釋放一種信號(hào)。擾亂正常的工作生產(chǎn)秩序，讓人們感到心煩意亂！