研究顯示,白俄羅斯、印度和哥倫比亞等國家對一些重大網絡攻擊有牽連。在過去的一年里,供應鏈攻擊和勒索軟件攻擊占據了新聞頭條,美國及其西方盟友因SolarWinds間諜軟件滲透、colonial油氣管道遭勒索、微軟Exchange黑客攻擊等重大網絡安全事件的影響,但凡網絡攻擊就會將矛頭指向俄羅斯、伊朗、朝鮮等國,并促使各民族國家對網絡安全做出回應。然而,在數字領域,有一些危險的對手往往被忽略了。除了偶爾占據安全新聞頭條的伊朗、以色列和印度外,還有像敘利亞、巴基斯坦、白俄羅斯、越南、哥倫比亞等規模較小的威脅組織,在破壞性黑客或間諜活動方面可以獨來獨去。此外,所謂的“黑客活動主義者”團體和來歷不明的威脅行動者往往出于神秘的目的從事惡意活動。
印度:黑客冒充合法公司
路透社記者克里斯·賓(Chris Bing)和拉斐爾·薩特(Raphael Satter)在最近的網絡戰爭大會(Cyberwarcon)上回顧了他們正在對一個松散的印度黑客組織進行的調查,該組織模糊了聲譽管理公司和直接雇傭黑客服務之間的界限。這些黑客為Appin Security Labs和BellTrox等機構工作,目標是律師、活動人士、高管、投資者、制藥公司、能源公司、資產管理公司、離岸銀行實體和高價值個體。
總部位于德里的BellTrox的目標之一是伊朗裔美國航空大亨法哈德·阿齊瑪(Farhad Azima),該公司竊取了他的電子郵件,并在訴訟中用來指控他。“當你們發現黑客和泄密行動時,我不希望你們認為是俄羅斯、朝鮮甚至是印度干的,”Chris Bing說。“我們想讓你認為,可能是那個上了新聞的億萬富翁,可能是那個K街游說公司,甚至可能是那個心懷不滿的前配偶。”
《環球時報》近日引用多家中國網絡安全企業報告,揭示了一張精密、復雜的真實網絡:來自南亞大陸——以印度為主要代表的頂尖黑客組織,它們在國家和情報機構的強大支持下,在過去幾年里不斷攻擊中國、尼泊爾和巴基斯坦的國防、軍事單位以及國有企業。近些年,印度軍政高層和媒體不斷炒作“中國網攻威脅”,每次都遭到中方駁斥。事實證明,中國才是黑客攻擊的主要受害國之一。安天科技集團、360政企安全集團和奇安信三大中國網絡安全企業相關人士公開了大量翔實的一手資料,從中可以發現印度對中國重要部門頻密發動網絡攻擊的重要信息。
白俄羅斯:幕后黑手不是俄羅斯
最近波蘭和白俄羅斯之間的難民問題變得愈發嚴峻,使白俄羅斯成為全球關注熱點。而網絡戰爭大會最大的新聞則是,Mandiant的威脅情報集團(Threat Intelligence Group)將國家支持的間諜組織UNC1151與白俄羅斯政府聯系在一起,此前該組織被研究人員與俄羅斯聯系在一起。曼迪昂特還得出結論,UNC1151為名為“槍手”(Ghostwriter)的信息行動提供了技術支持,該行動培養了符合白俄羅斯政府利益的敘事方式,包括反北約信息。
Mandiant的網絡間諜分析高級經理本·里德(Ben Read)和技術威脅情報分析師加比·朗科內(Gabby Roncone)說,他們不能完全排除俄羅斯參與的可能性。里德說:“槍手與白俄羅斯有一定的聯系。”“我看到了與UNC1151的關系。我們對你們從這個團隊獲得的技術支持非常有信心。”
“我們沒有看到UNC1151或Ghostwriter活動與其他被公開認為是俄羅斯所為的網絡間諜信息行動之間有任何重疊。它有它自己的東西,我們認為它應該被這樣評價。有很多充分的理由懷疑俄羅斯參與其中。我們只是沒有確鑿的證據。”
越南:長達十年的持續攻擊
海蓮花組織是奇安信于2015年披露并命名的APT組織。該組織自 2012年4月起,針對中國政府、 科研院所、海事機構、海域建設、航運企業等相關重要領域展開了有組織、有計劃、有針對性的長時間不間斷攻擊。OceanLotus的攻擊不局限于國家級網絡間諜活動,也延伸至商業情報竊取,比如汽車制造行業。2019年,豐田、現代、寶馬等跨國汽車企業被報道遭到OceanLotus攻擊,導致數據泄露。
APT-Q-31 屬于攻擊境內目標的境外組織,奇安信威脅情報中心對 APT-Q-31 組織的命名為魔株系——海蓮花,“蓮花”是表現了該組織的地緣及文化特征,“海”則主要表現了該組織以海洋領域為主要攻擊目標的活動特征。
以色列:間諜軟件公司candru老練的水坑攻擊
Cyberwarcon的另一個重大發現是,ESET的研究人員發現,中東一些知名網站遭受的水坑攻擊與以色列間諜軟件公司Candiru有關。受到攻擊的網站包括伊朗駐阿布扎比大使館的網站、總部位于倫敦的數字新聞網站“中東之眼”(Middle East Eye),以及其他批評沙特阿拉伯的網站。美國商務部最近對Candiru進行了制裁,將其列入了禁止美國機構與無證公司開展業務的實體名單。
ESET的惡意軟件研究員Matthieu Faou在他的Cyberwarcon演講中表示,在公民實驗室、谷歌和微軟發布詳細描述Candiru活動的博客幾周后,Mandiant在2021年7月底就沒有再觀測到這種活動了。
以色列盛產技術偽造的網絡安全公司,同時也盛產優秀的間諜軟件。今年7月份美國《華盛頓郵報》、英國《衛報》和法國《世界報》等17家媒體共同披露,一款名叫“飛馬”(Pegasus)的間諜軟件在全球至少50多個國家,被用來監視人權活動人士、記者和律師。涉及人數可能高達5萬人。“飛馬”由總部位于以色列特拉維夫的網絡科技公司NSO集團開發,能夠侵入蘋果和安卓操作系統,提取短信、照片和電子郵件,對通話進行錄音,并在使用者不知情的情況下,遠程啟動手機的話筒和攝像頭。
另外,以色列與伊朗曠日持久的黑客對攻戰也常常是安全新聞的頭條。
巴基斯坦和敘利亞:Facebook實施黑客組織瓦解行動
Facebook負責全球威脅破壞的主管戴維·阿格拉諾維奇(David Agranovich)和領導Facebook網絡間諜團隊的邁克·德維利揚斯基(Mike Dvilyanski)分享了過去幾個月該公司在巴基斯坦和敘利亞針對四個不同黑客組織采取的行動細節。Facebook禁用了這些群體的賬戶,禁止他們的域名在其平臺上發布,與業內同行、安全研究人員和執法部門分享信息,并提醒了它認為是黑客攻擊目標的人。
這個來自巴基斯坦的組織名為SideCopy,該組織一直以前阿富汗政府成員和其他駐阿富汗人員為目標。在敘利亞,Facebook刪除了三個與敘利亞政府有關的群組:敘利亞電子軍,APT-C-37,以及一個以少數群體、活動人士、反對派、庫爾德記者、活動人士、人民保護部隊(YPG)成員和敘利亞民防或白盔組織(一個基于志愿的人道主義組織)為目標的組織。
哥倫比亞:威脅組織“彎刀”(Machete)的重點是拉丁美洲
Blake Djavaherian是CrowdStrike的全球威脅分析小組(GTAC)的情報分析師,他詳細介紹了他的公司對“彎刀”的調查。“彎刀”是一個專注于拉丁美洲的威脅行動者,至少從2010年就開始活躍。“彎刀”以一種高度針對性的方式運作,幾乎總是關注拉丁美洲的問題或組織。
該組織通過對政府通信進行很好的惡搞來傳播惡意軟件。“彎刀”特別關注厄瓜多爾、委內瑞拉、尼加拉瓜、古巴和哥倫比亞的一些內部組織。雖然CrowdStrike并未將威脅行為者歸咎于某個特定國家,但Djavaherian表示,“目標范圍與哥倫比亞政府可能的情報收集重點非常相關,包括可能為哥倫比亞政府從事此類活動的承包商和分包商。”
伊朗:四個伊朗組織正在轉向犯罪角色
Alex Orleans是CrowdStrike Intelligence公司GTAC的入侵任務負責人,Katie Blankenship在會議上透露了他們調查的四個伊朗組織的細節:Tarnished Gauntlet, Pioneer Kitten, Spectral Kitten和Nemesis Kitten。Blankenship說,這些組織正從黑客角色轉變為犯罪角色,因此“他們可以有機地利用勒索軟件的破壞能力,同時允許參與者混入大量新的犯罪活動。”
微軟觀察到六個伊朗威脅組織部署勒索軟件。微軟威脅情報中心(MSTIC)的James Elliott、Simeon Kakpovi和Ned Moran分析了伊朗惡意網絡運營商使用的工具、技術和程序的逐漸演變。自2020年9月以來,MSTIC觀察到6個伊朗威脅組織平均每6至8周部署一波又一波的勒索軟件來實現其戰略目標。其中一個組織,PHOSPHORUS,針對Fortinet FortiOS SSL VPN和全球未打補丁的內部交換服務器,目的是在脆弱的網絡上部署勒索軟件。
另外,釋放信號可能是黑客活動分子的目標。SentinelOne的主要威脅研究員胡安·安德烈斯·格雷羅-薩德(Juan Andres Guerrero-Saade)回顧了一系列涉及所謂黑客活動組織或參與者的網絡安全事件。比如知名的Phineas Fisher,它聲稱在2015年入侵了監控公司Hacking Team,以及因德拉(Indra),后者聲稱對伊朗的攻擊負責,包括對該國火車站的一次黑客攻擊。因德拉還策劃了最近對伊朗加油站的襲擊。格雷羅-薩德說,在大多數情況下,黑客攻擊不一定是最終目的。相反,黑客們正在釋放一種信號。擾亂正常的工作生產秩序,讓人們感到心煩意亂!
