分享

揭秘全球最危险的5大网络间谍组织(二)

2022-05-24  牧家图书馆   |  转藏
   

上次给大家介绍过全球最危险的五大网络间谍组织第一弹,今天给大家继续带来全球最危险的五大网络间谍组织第二弹,相信大家都已经清楚的知道了“黑客”究竟是什么,那就话不不多进入正题吧

排名不分先后

UNC2452——全球性供应链危机魁首

又名:Dark Halo、Nobelium、SilverFish、StellarParticle

2020年,成千上万的组织下载了SolarWinds Orion软件的恶意软件更新,为攻击者提供了进入其系统的入口。五角大楼、英国政府、欧洲议会以及世界各地的一些政府机构和公司都成为这种供应链攻击的受害者。

据悉,该网络间谍行为至少潜伏了9个月之久,直到2020年12月8日,安全公司FireEye宣称自己成为了民族国家黑客组织的受害者,该组织窃取了其多个红队工具。事实证明,这种黑客攻击比最初想像得还要广泛。而针对SolarWinds Orion软件的供应链攻击只是攻击者使用的一个入侵渠道。研究人员还发现了另一起供应链攻击,这次是针对Microsoft云服务的。他们还注意到,Microsoft和VMware产品中同样存在一些缺陷。

FireEye高级副总裁兼首席技术官Charles Carmakal表示,

“UNC2452是我们跟踪的最先进、纪律严明且难以捉摸的威胁参与者之一。他们的技巧非同寻常。他们同时掌握进攻和防御的技能,并利用这些知识来完善自己的入侵技术,以藏匿踪迹。UNC2452表现出了一种很少见的操作安全性,这种能力帮助他们潜伏政府机构和企业内部很久也不会被发现。”

美国国家安全局(NSA)、联邦调查局(FBI)和其他一些美国机构认为,这项行动是由俄罗斯发起的,美国对此实施了制裁。他们还认为,黑客入侵很可能是俄罗斯联邦对外情报局(SVR)实施的。其它线索则指向Cozy Bear / APT29组织。

然而,事情并没有这么简单。卡巴斯基研究人员注意到,有几段代码片段将此攻击与讲俄语的团伙Turla(Snake、Uroburos)联系在一起,该组织曾针对欧洲和美国政府及外交官发起过攻击。

Sandworm——格鲁乌的“黑暗”

又名:Telebots、Electrum、Voodoo Bear、Iron Viking

俄罗斯网络间谍组织Sandworm与过去十年中一些最具破坏性的事件有关,包括2015年和2016年乌克兰的电力中断;2017年的NotPetya供应链攻击;在俄罗斯运动员因使用兴奋剂被禁赛后,针对2018年平昌冬季奥运会的攻击;以及针对多个国家、地区选举相关的攻击活动,例如2016年的美国大选,2017年的法国选举以及2019年的格鲁吉亚选举。

FireEye副总裁John Hultquist称,2018年美国司法部公布的针对俄罗斯情报机构GRU(总参谋部军事情报总局,国内一般称格鲁乌或格勒乌)所下属12名情报人员的起诉书就像是过去我们目睹的许多最重要的网络攻击事件的清单。我们有充分的理由认为,俄罗斯军事情报部门GRU下属74455部队资助了Sandworm的行动。

近年来,该组织的策略、技术和程序(TTP)都已经发生了变化以集成勒索软件,对此,研究人员并未感到惊讶。根据FireEye分析主管Ben Read所言,与目标广泛的网络犯罪活动相关的基于加密的勒索软件通常很容易被网络间谍活动者重新利用,以进行破坏性攻击。

LuckyMouse——Lucky(幸运)源于实力

又名:Emissary Panda、Iron Tiger、APT27

该组织已经活跃了十多年,主要针对外国使馆和组织,以及涉及航空、国防、技术、能源、医疗、教育和政府等不同行业的企业实施攻击活动。受害者遍布北美、南美、欧洲、亚洲以及中东等地区。

卡巴斯基的Jungheit介绍称,该组织在渗透测试方面具有很高的技能,习惯使用Metasploit框架等公开可用的工具。除了将鱼叉式网络钓鱼作为一种散布方式外,该组织还在其行动中使用SWC(战略性网络妥协)来针对其中最具价值的目标。

趋势科技的研究人员注意到,该组织可以快速更新和修改其工具,这使得研究人员很难检测到它们。

Lazarus——加密世界最成功的窃贼

又名:Hidden Cobra、Guardians of Peace、APT38、Whois Team、Zinc

Lazarus(拉撒路),一个与朝鲜有关的组织,最轰动的事迹可能要数有史以来最大的网络大劫案:2016年2月,孟加拉银行遭到袭击,导致超过1亿美元失窃。当然,该组织的所作所为远不止于此。

说起Lazarus的攻击活动,最早可以追溯到2007年,不过由于其身份的隐秘,再加上活动范围并不广泛,所以,一开始,Lazarus并没有引起人们的注意。

直到2014年,索尼影业推出了一部名为《刺杀金正恩》(《The Interview》)的喜剧电影,正是由于这部影片,让隐蔽的Lazarus开始浮出水面。当时,在影片上映之前,就已经引起了朝鲜方的强烈反对,与此同时,一个自称为“和平守卫队”的黑客团队在窃取了11TB的敏感数据之后向索尼影业发布了一封“警告信”。

信中写道,

“我们已向索尼管理层提出了明确要求,但他们拒绝接受。如果想摆脱我们,就乖乖照我们说的做。立即停止播放恐怖主义影片,它将破坏地区和平,引发战争!”

鉴于此,不少安全机构都认为其隶属于朝鲜。

近年来,Lazaru开始将研究重心放在了勒索软件和加密货币上,甚至还以安全研究人员为目标,以获取有关正在进行的漏洞研究的相关信息。卡巴斯基安全研究人员Dmitry Galov表示,该小组拥有“无限的资源和非常出色的社会工程技能”。

这些社会工程学技能在新冠疫情大流行中发挥了重要作用,当时,包括疫苗制造商在内的制药公司都成了Lazaru最紧迫的目标。根据微软的说法,黑客发送了包括“虚假的工作描述”在内的鱼叉式网络钓鱼电子邮件,诱使他们的目标点击恶意链接。

Malwarebytes研究室主管Adam Kujawa表示,

“该组织与其他组织有所不同,因为尽管它是民族国家资助的组织,但他们的目标并不是政府机构,而是可能掌握朝鲜间谍活动信息或访问权限的企业,有时甚至是个人。”

Lazarus会使用各种自定义恶意软件家族,包括后门、隧道、数据挖掘器和破坏性恶意软件,这些软件有时是内部开发的,在持续不断的攻击活动中创下了赫赫战功。

根据FireEye的说法,APT38的独特之处在于,他们不惧怕在行动过程中大肆破坏证据或受害者网络。该组织是谨慎的、心思缜密的,并且对受害者环境的访问权限表现出了极度的渴望,他们渴望了解受害者的网络布局,所需的权限以及实现其目标所需的系统技术。

Wizard Spider——“大猎杀”施暴者

Wizard Spider于2016年首次被发现,但近年来它变得越来越复杂,建立了一些用于网络犯罪的工具。最初,Wizard Spider以其银行木马TrickBot而闻名,但后来又将其工具集扩展到Ryuk,Conti和BazarLoader。该组织正在不断调整其武器库,以获取更高利润。

Wizard Spider的恶意软件没有在任何犯罪论坛上公开广告,表明它们很可能只出售给可信任的犯罪集团访问权限或与受信任的犯罪集团一起工作。该组织开展了不同类型的活动,其中包括倾向于针对性强、回报率高的勒索软件活动,这些活动被称为“大猎杀”。

据悉,Wizard Spider会根据其目标价值计算其要求的赎金,而且似乎没有任何行业能够幸免于难。在新冠疫情期间,它与Ryuk和Conti一起袭击了美国数十家医疗机构。来自世界各地的医院也受到了影响。

    本站是提供个人知识管理的网络存储空间,所有内容均由用户发布,不代表本站观点。请注意甄别内容中的联系方式、诱导购买等信息,谨防诈骗。如发现有害或侵权内容,请点击一键举报。
    转藏 全屏 打印 分享 献花(0

    0条评论

    发表

    请遵守用户 评论公约

    类似文章 更多