研究顯示,白俄羅斯、印度和哥倫比亞等國家對一些重大網(wǎng)絡(luò)攻擊有牽連。在過去的一年里,供應(yīng)鏈攻擊和勒索軟件攻擊占據(jù)了新聞頭條,美國及其西方盟友因SolarWinds間諜軟件滲透、colonial油氣管道遭勒索、微軟Exchange黑客攻擊等重大網(wǎng)絡(luò)安全事件的影響,但凡網(wǎng)絡(luò)攻擊就會將矛頭指向俄羅斯、伊朗、朝鮮等國,并促使各民族國家對網(wǎng)絡(luò)安全做出回應(yīng)。然而,在數(shù)字領(lǐng)域,有一些危險的對手往往被忽略了。除了偶爾占據(jù)安全新聞頭條的伊朗、以色列和印度外,還有像敘利亞、巴基斯坦、白俄羅斯、越南、哥倫比亞等規(guī)模較小的威脅組織,在破壞性黑客或間諜活動方面可以獨來獨去。此外,所謂的“黑客活動主義者”團體和來歷不明的威脅行動者往往出于神秘的目的從事惡意活動。
印度:黑客冒充合法公司
路透社記者克里斯·賓(Chris Bing)和拉斐爾·薩特(Raphael Satter)在最近的網(wǎng)絡(luò)戰(zhàn)爭大會(Cyberwarcon)上回顧了他們正在對一個松散的印度黑客組織進行的調(diào)查,該組織模糊了聲譽管理公司和直接雇傭黑客服務(wù)之間的界限。這些黑客為Appin Security Labs和BellTrox等機構(gòu)工作,目標(biāo)是律師、活動人士、高管、投資者、制藥公司、能源公司、資產(chǎn)管理公司、離岸銀行實體和高價值個體。
總部位于德里的BellTrox的目標(biāo)之一是伊朗裔美國航空大亨法哈德·阿齊瑪(Farhad Azima),該公司竊取了他的電子郵件,并在訴訟中用來指控他?!爱?dāng)你們發(fā)現(xiàn)黑客和泄密行動時,我不希望你們認(rèn)為是俄羅斯、朝鮮甚至是印度干的,”Chris Bing說?!拔覀兿胱屇阏J(rèn)為,可能是那個上了新聞的億萬富翁,可能是那個K街游說公司,甚至可能是那個心懷不滿的前配偶?!?/p>
《環(huán)球時報》近日引用多家中國網(wǎng)絡(luò)安全企業(yè)報告,揭示了一張精密、復(fù)雜的真實網(wǎng)絡(luò):來自南亞大陸——以印度為主要代表的頂尖黑客組織,它們在國家和情報機構(gòu)的強大支持下,在過去幾年里不斷攻擊中國、尼泊爾和巴基斯坦的國防、軍事單位以及國有企業(yè)。近些年,印度軍政高層和媒體不斷炒作“中國網(wǎng)攻威脅”,每次都遭到中方駁斥。事實證明,中國才是黑客攻擊的主要受害國之一。安天科技集團、360政企安全集團和奇安信三大中國網(wǎng)絡(luò)安全企業(yè)相關(guān)人士公開了大量翔實的一手資料,從中可以發(fā)現(xiàn)印度對中國重要部門頻密發(fā)動網(wǎng)絡(luò)攻擊的重要信息。
白俄羅斯:幕后黑手不是俄羅斯
最近波蘭和白俄羅斯之間的難民問題變得愈發(fā)嚴(yán)峻,使白俄羅斯成為全球關(guān)注熱點。而網(wǎng)絡(luò)戰(zhàn)爭大會最大的新聞則是,Mandiant的威脅情報集團(Threat Intelligence Group)將國家支持的間諜組織UNC1151與白俄羅斯政府聯(lián)系在一起,此前該組織被研究人員與俄羅斯聯(lián)系在一起。曼迪昂特還得出結(jié)論,UNC1151為名為“槍手”(Ghostwriter)的信息行動提供了技術(shù)支持,該行動培養(yǎng)了符合白俄羅斯政府利益的敘事方式,包括反北約信息。
Mandiant的網(wǎng)絡(luò)間諜分析高級經(jīng)理本·里德(Ben Read)和技術(shù)威脅情報分析師加比·朗科內(nèi)(Gabby Roncone)說,他們不能完全排除俄羅斯參與的可能性。里德說:“槍手與白俄羅斯有一定的聯(lián)系?!薄拔铱吹搅伺cUNC1151的關(guān)系。我們對你們從這個團隊獲得的技術(shù)支持非常有信心。”
“我們沒有看到UNC1151或Ghostwriter活動與其他被公開認(rèn)為是俄羅斯所為的網(wǎng)絡(luò)間諜信息行動之間有任何重疊。它有它自己的東西,我們認(rèn)為它應(yīng)該被這樣評價。有很多充分的理由懷疑俄羅斯參與其中。我們只是沒有確鑿的證據(jù)。”
越南:長達十年的持續(xù)攻擊
海蓮花組織是奇安信于2015年披露并命名的APT組織。該組織自 2012年4月起,針對中國政府、 科研院所、海事機構(gòu)、海域建設(shè)、航運企業(yè)等相關(guān)重要領(lǐng)域展開了有組織、有計劃、有針對性的長時間不間斷攻擊。OceanLotus的攻擊不局限于國家級網(wǎng)絡(luò)間諜活動,也延伸至商業(yè)情報竊取,比如汽車制造行業(yè)。2019年,豐田、現(xiàn)代、寶馬等跨國汽車企業(yè)被報道遭到OceanLotus攻擊,導(dǎo)致數(shù)據(jù)泄露。
APT-Q-31 屬于攻擊境內(nèi)目標(biāo)的境外組織,奇安信威脅情報中心對 APT-Q-31 組織的命名為魔株系——海蓮花,“蓮花”是表現(xiàn)了該組織的地緣及文化特征,“?!眲t主要表現(xiàn)了該組織以海洋領(lǐng)域為主要攻擊目標(biāo)的活動特征。
以色列:間諜軟件公司candru老練的水坑攻擊
Cyberwarcon的另一個重大發(fā)現(xiàn)是,ESET的研究人員發(fā)現(xiàn),中東一些知名網(wǎng)站遭受的水坑攻擊與以色列間諜軟件公司Candiru有關(guān)。受到攻擊的網(wǎng)站包括伊朗駐阿布扎比大使館的網(wǎng)站、總部位于倫敦的數(shù)字新聞網(wǎng)站“中東之眼”(Middle East Eye),以及其他批評沙特阿拉伯的網(wǎng)站。美國商務(wù)部最近對Candiru進行了制裁,將其列入了禁止美國機構(gòu)與無證公司開展業(yè)務(wù)的實體名單。
ESET的惡意軟件研究員Matthieu Faou在他的Cyberwarcon演講中表示,在公民實驗室、谷歌和微軟發(fā)布詳細(xì)描述Candiru活動的博客幾周后,Mandiant在2021年7月底就沒有再觀測到這種活動了。
以色列盛產(chǎn)技術(shù)偽造的網(wǎng)絡(luò)安全公司,同時也盛產(chǎn)優(yōu)秀的間諜軟件。今年7月份美國《華盛頓郵報》、英國《衛(wèi)報》和法國《世界報》等17家媒體共同披露,一款名叫“飛馬”(Pegasus)的間諜軟件在全球至少50多個國家,被用來監(jiān)視人權(quán)活動人士、記者和律師。涉及人數(shù)可能高達5萬人。“飛馬”由總部位于以色列特拉維夫的網(wǎng)絡(luò)科技公司NSO集團開發(fā),能夠侵入蘋果和安卓操作系統(tǒng),提取短信、照片和電子郵件,對通話進行錄音,并在使用者不知情的情況下,遠(yuǎn)程啟動手機的話筒和攝像頭。
另外,以色列與伊朗曠日持久的黑客對攻戰(zhàn)也常常是安全新聞的頭條。
巴基斯坦和敘利亞:Facebook實施黑客組織瓦解行動
Facebook負(fù)責(zé)全球威脅破壞的主管戴維·阿格拉諾維奇(David Agranovich)和領(lǐng)導(dǎo)Facebook網(wǎng)絡(luò)間諜團隊的邁克·德維利揚斯基(Mike Dvilyanski)分享了過去幾個月該公司在巴基斯坦和敘利亞針對四個不同黑客組織采取的行動細(xì)節(jié)。Facebook禁用了這些群體的賬戶,禁止他們的域名在其平臺上發(fā)布,與業(yè)內(nèi)同行、安全研究人員和執(zhí)法部門分享信息,并提醒了它認(rèn)為是黑客攻擊目標(biāo)的人。
這個來自巴基斯坦的組織名為SideCopy,該組織一直以前阿富汗政府成員和其他駐阿富汗人員為目標(biāo)。在敘利亞,F(xiàn)acebook刪除了三個與敘利亞政府有關(guān)的群組:敘利亞電子軍,APT-C-37,以及一個以少數(shù)群體、活動人士、反對派、庫爾德記者、活動人士、人民保護部隊(YPG)成員和敘利亞民防或白盔組織(一個基于志愿的人道主義組織)為目標(biāo)的組織。
哥倫比亞:威脅組織“彎刀”(Machete)的重點是拉丁美洲
Blake Djavaherian是CrowdStrike的全球威脅分析小組(GTAC)的情報分析師,他詳細(xì)介紹了他的公司對“彎刀”的調(diào)查?!皬澋丁笔且粋€專注于拉丁美洲的威脅行動者,至少從2010年就開始活躍?!皬澋丁币砸环N高度針對性的方式運作,幾乎總是關(guān)注拉丁美洲的問題或組織。
該組織通過對政府通信進行很好的惡搞來傳播惡意軟件。“彎刀”特別關(guān)注厄瓜多爾、委內(nèi)瑞拉、尼加拉瓜、古巴和哥倫比亞的一些內(nèi)部組織。雖然CrowdStrike并未將威脅行為者歸咎于某個特定國家,但Djavaherian表示,“目標(biāo)范圍與哥倫比亞政府可能的情報收集重點非常相關(guān),包括可能為哥倫比亞政府從事此類活動的承包商和分包商?!?/p>
伊朗:四個伊朗組織正在轉(zhuǎn)向犯罪角色
Alex Orleans是CrowdStrike Intelligence公司GTAC的入侵任務(wù)負(fù)責(zé)人,Katie Blankenship在會議上透露了他們調(diào)查的四個伊朗組織的細(xì)節(jié):Tarnished Gauntlet, Pioneer Kitten, Spectral Kitten和Nemesis Kitten。Blankenship說,這些組織正從黑客角色轉(zhuǎn)變?yōu)榉缸锝巧?,因此“他們可以有機地利用勒索軟件的破壞能力,同時允許參與者混入大量新的犯罪活動?!?/p>
微軟觀察到六個伊朗威脅組織部署勒索軟件。微軟威脅情報中心(MSTIC)的James Elliott、Simeon Kakpovi和Ned Moran分析了伊朗惡意網(wǎng)絡(luò)運營商使用的工具、技術(shù)和程序的逐漸演變。自2020年9月以來,MSTIC觀察到6個伊朗威脅組織平均每6至8周部署一波又一波的勒索軟件來實現(xiàn)其戰(zhàn)略目標(biāo)。其中一個組織,PHOSPHORUS,針對Fortinet FortiOS SSL VPN和全球未打補丁的內(nèi)部交換服務(wù)器,目的是在脆弱的網(wǎng)絡(luò)上部署勒索軟件。
另外,釋放信號可能是黑客活動分子的目標(biāo)。SentinelOne的主要威脅研究員胡安·安德烈斯·格雷羅-薩德(Juan Andres Guerrero-Saade)回顧了一系列涉及所謂黑客活動組織或參與者的網(wǎng)絡(luò)安全事件。比如知名的Phineas Fisher,它聲稱在2015年入侵了監(jiān)控公司Hacking Team,以及因德拉(Indra),后者聲稱對伊朗的攻擊負(fù)責(zé),包括對該國火車站的一次黑客攻擊。因德拉還策劃了最近對伊朗加油站的襲擊。格雷羅-薩德說,在大多數(shù)情況下,黑客攻擊不一定是最終目的。相反,黑客們正在釋放一種信號。擾亂正常的工作生產(chǎn)秩序,讓人們感到心煩意亂!