國(guó)家黑客組織盤點(diǎn):伊朗朝鮮沙特阿拉伯和俄羅斯
時(shí)間:2019-12-06
專家稱�����,伊朗��、朝鮮�、沙特阿拉伯和俄羅斯等民族國(guó)家的黑客有了新的目標(biāo)����,并正改變策略。
盡管源自俄羅斯的著名高級(jí)持續(xù)性威脅 (APT) 組織是人們關(guān)注的重點(diǎn)�����,但許多其他民族國(guó)家和類似威脅正陸續(xù)在世界各地發(fā)起網(wǎng)絡(luò)攻擊��。今年的網(wǎng)絡(luò)戰(zhàn) (Cyberwarcn) 大會(huì)上��,近 20 名全球頂尖網(wǎng)絡(luò)安全研究人員分享了自己對(duì)這些關(guān)注度不高的復(fù)雜組織的見解�����,描述了他們的最新策略與發(fā)展��。
伊朗APT33攻擊范圍與力度具增
近些年來�����,伊朗作為最具破壞力的民族國(guó)家網(wǎng)絡(luò)戰(zhàn)力量之一快速崛起,擁有名為 APT33 的威脅組織——堪稱該國(guó)惡意網(wǎng)絡(luò)黑客組織的 NO.1��。APT33 的下手對(duì)象包括航空航天����、國(guó)防和能源企業(yè)����。該組織很大程度上針對(duì)沙特持有和運(yùn)營(yíng)的實(shí)體。
APT33 也得名 Refined Kitten����、Magnallium、Holmium 和 Alibaba��,2014 年現(xiàn)身����,大名鼎鼎的 Shamoon 數(shù)據(jù)清除惡意軟件就是其杰作,曾在 2012 年徹底清理了沙特阿美石油公司至少 3 萬臺(tái)計(jì)算機(jī)��。自那以后�,APT33 頻涉針對(duì)中東和歐洲工業(yè)公司的黑客入侵事件���。
但 2019 年,APT33 的一次行動(dòng)卻范圍狹窄��,僅針對(duì)特定于美國(guó)政治目標(biāo)的一組專門設(shè)置的域名和 IP�。
APT33 最有趣的方面之一,是其與阿曼灣地緣政治事件的時(shí)間線關(guān)聯(lián)����。2019 年 5 月和 6 月,海灣地區(qū)針對(duì)郵輪的爆炸性襲擊余波中��,APT33 發(fā)動(dòng)了一系列魚叉式網(wǎng)絡(luò)釣魚入侵以配合這些攻擊�。
有關(guān) APT33 的另一個(gè)方面,是美國(guó)對(duì)伊朗極限施壓后�����,APT33 在一系列伊朗情報(bào)與安全機(jī)構(gòu)改革中的權(quán)力上升�����。重組見證了伊朗革命衛(wèi)隊(duì)等級(jí)與威望的上升��,越來越多的鷹派官員充實(shí)到實(shí)權(quán)崗位上�。
這些變革使 APT33 在新的當(dāng)局��、權(quán)力和資源支持下可能變得更為大膽���。過去幾個(gè)月中 APT33 值得注意的另一個(gè)動(dòng)態(tài),是與俄羅斯合作的可能性��。
還有些遙測(cè)信息可以推導(dǎo)出有關(guān) APT33 的一些洞見�����。要點(diǎn)之一是該組織對(duì)密碼噴射攻擊的鐘愛��,該方法采用用戶賬戶名與一些常用密碼的組合嘗試入侵在線賬戶���。
另外一個(gè)重要的觀察所得是,很多人都將 APT33 視為馬虎草率的黑客組織�。他們通常動(dòng)靜很大。其魚叉式網(wǎng)絡(luò)釣魚相對(duì)容易實(shí)施���。對(duì)其遙測(cè)數(shù)據(jù)的研究表明��,該組織的運(yùn)營(yíng)非常復(fù)雜����,而且十分注重運(yùn)營(yíng)安全。他們可能不在意自身網(wǎng)絡(luò)釣魚被檢測(cè)到��,但很注重防范被取證關(guān)聯(lián)回伊朗�����。
沙特為監(jiān)視而黑�����,并使用機(jī)器人程序施加社交媒體影響力
Saud al-Qahtani����,沙特王儲(chǔ)穆罕默德·本·薩勒曼 (MBS) 前高級(jí)顧問,傳說中沙特阿拉伯記者賈馬爾·卡舒齊 (Jamal Khashoggi) 虐殺案幕后主使����。Al-Qahtani 為皇室運(yùn)營(yíng)社交媒體并管理監(jiān)視行動(dòng),因善用大量機(jī)器人程序而被稱為 “蠅王”�����,試圖控制推特喉舌�����,尤其是阿拉伯語推特。
Motherboard 曾報(bào)道過 al-Qahtani 試圖從爭(zhēng)議性間諜軟件供應(yīng)商 Hacking Team 購(gòu)買監(jiān)視工具�。從報(bào)道中提到的郵件地址追蹤,可發(fā)現(xiàn)流行黑客站點(diǎn) Hack Forums 上數(shù)年間發(fā)布的揭示 al-Qahtani 入侵及監(jiān)視方法的帖子�。Al-Qahtani 在 Hack Forums 上就一系列問題向黑客求助,還尋求木馬程序安裝方面的指導(dǎo)���。他承認(rèn)自己用過至少 24 種不同遠(yuǎn)程訪問工具 (RAT)�,最愛 Hack Shades���。
某段時(shí)間里���,al-Qahtani 與 Hack Forums 用戶 “Lassie” 合作,改良完善錄制房間中所有聲音的監(jiān)視解決方案����。還有一次��,他試圖以每月 500 美元的價(jià)格雇傭一名黑客來管理他的僵尸網(wǎng)絡(luò)��。他還運(yùn)營(yíng)著大規(guī)模社交媒體影響力行動(dòng)�����,在 YouTube 上購(gòu)買了 525 個(gè)賬戶,雇傭了沙特首都利雅得附近數(shù)百名年輕人為其巨魔工廠服務(wù)�����。
Al-Qahtani 還試圖凍結(jié)或封禁特定推特賬戶����。不過,他通過 Hack Forums 獲悉���,只有獲得內(nèi)部推特操作權(quán)限才可以這么做�。然后�,毫無意外地,就在上月�����,美國(guó)司法部刑事起訴了一名沙特內(nèi)奸��,該人曾在推特工作��,現(xiàn)已返回沙特阿拉伯����。
盡管在皇室享有高級(jí)職位����,al-Qahtani 的操作安全卻十分糟糕�。至少三次,他在 Hack Forums 上發(fā)帖承認(rèn)自己喝醉了����,這在禁酒且上位者相當(dāng)鄙視飲酒行為的沙特可算得上是令人震驚的供認(rèn)了。而且�,al-Qahtani 自 2009 年起個(gè)人注冊(cè)的所有域名中,只有三個(gè)未包含個(gè)人可識(shí)別信息 (PII)�,其他全都含有包括他全名、電子郵件地址和電話號(hào)碼在內(nèi)的 PII�����。
2019 年 8 月����,一名沙特異見份子在推特宣稱 al-Qahtani 已經(jīng)死亡��,是被沙特政權(quán)毒死的��。該斷言并未被證實(shí),且看起來非??梢桑?yàn)橛衅渌刚鞅砻?al-Qahtani 還活著���,仍在為沙特皇室服務(wù)�����。
俄羅斯Wagner Group專注實(shí)體破壞
俄羅斯最奇特的新信息行動(dòng)威脅組織之一�,是附屬于 E. Prigozhin 的一系列實(shí)體����,包括 Wagner Group——之前專注實(shí)體運(yùn)動(dòng)戰(zhàn)的準(zhǔn)軍事組織。研究人員現(xiàn)在還不清楚該組織跟 GRU 或影響力及政治宣傳喉舌互聯(lián)網(wǎng)研究機(jī)構(gòu) (IRA) 之類其他俄羅斯機(jī)構(gòu)是合作還是競(jìng)爭(zhēng)關(guān)系���。
朝鮮APT組織軍事商業(yè)兩手抓
全球 APT 競(jìng)技場(chǎng)上另一主要力量是朝鮮���,擁有一系列不同組織執(zhí)行混合了該國(guó)慣有攻擊模式和目標(biāo)的網(wǎng)絡(luò)行動(dòng)。這些組織被稱為 Silent Chollima�、Velvet Chollima、Ricochet Chollima����、Stardust Chollima 和 Lab Chollima�。
2015 年���,所有 Chollima 組織開始發(fā)展其能力���。2017 年左右,隨著朝鮮領(lǐng)導(dǎo)人金正恩轉(zhuǎn)變?cè)搰?guó)情報(bào)策略重點(diǎn)��,他們也開始切換策略�,從嚴(yán)格的軍事目的轉(zhuǎn)向混合了軍事和經(jīng)濟(jì)目標(biāo)的策略。盡管絕大多數(shù)目標(biāo)依然在朝鮮一貫的死對(duì)頭韓國(guó)��,這些組織開始全球擴(kuò)展他們的關(guān)注點(diǎn)和工作����,從之前單純的間諜情報(bào)獲取到執(zhí)行犯罪和破壞活動(dòng)。
朝鮮的經(jīng)濟(jì)犯罪業(yè)務(wù)眾所周知�,很多大規(guī)模數(shù)字銀行劫案和加密貨幣竊取都與該國(guó)有關(guān)。各 Chollima 組織已成真正貨幣盜取新途徑�。他們開始成為金正恩口中的服務(wù)朝鮮目標(biāo)的“全能利劍”。
而且���,不僅有為了朝鮮國(guó)家利益的大規(guī)模金錢竊取行動(dòng)��,各組織自身也會(huì)進(jìn)行小規(guī)模的錢財(cái)盜取活動(dòng)�??赡苓@些活動(dòng)在支持國(guó)家的同時(shí),也是維持各組織運(yùn)營(yíng)的自籌資金行為吧����。(安全牛)
在線咨詢
在線咨詢
0371-63319761