高级持续性威胁(APT)与网络犯罪团伙间的持续互惠关系

攻防
2年前

n1itc.jpg

  网络安全世界中的两大威胁是国家支持的高级持续性威胁(APT)和网络罪犯,其深入世界各个角落的基础设施和圈子也就是所谓的暗网。APT组织和网络犯罪团伙向来井水不犯河水,各自都有自己的目标、人员和手段。但是近些年来,二者之间出现了一些交叉和重叠。 

  从进入公众视野之日起,APT就一直在用通常在暗网上售卖的工具。具体而言,许多APT事件中都出现了Poison Ivy等远程访问木马(RAT)的身影。这种现象非常普遍,以致于许多人对“APT”一词本身提出了质疑,因为RAT并不被认为是“高级的”(事实上,APT中的“高级”指的是黑客组织背后的基础设施,即民族国家)。APT事件常以数据渗漏为目标,多年来,APT组织使用暗网上各种网络犯罪工具达成此目标,二者并不矛盾。

  而另一方面,网络犯罪团伙也借鉴了APT的一些战术。骗子常常盯上金融机构的客户,就是因为客户被认为是金融机构整个安全链条中最弱的一环。他们根本不去尝试突破银行的安全网络,而是采用网络钓鱼攻击来染指其受害者。其他企业沦为网络犯罪的受害者,则是因为网络犯罪团伙黑进了他们的系统(比如电子商务网站),从而盗走了各种凭证。但突破银行的系统就被认为是无法企及的目标,绝大多数网络犯罪团伙都不会去尝试。 

  不过,在某种程度上,网络犯罪团伙明白,如果APT使用暗网工具访问企业网络取得了巨大成功,那他们自己也能做到。一些网络犯罪团伙已经采用了APT的战术,使用鱼叉式网络钓鱼发送感染了恶意软件的附件,通过恶意附件来获取银行IT系统的访问权。网络安全公司Group-B称,名为Cobalt的网络犯罪团伙利用银行系统权限,向ATM机远程植入了恶意软件,造成银行ATM机自动吐钞(所谓Jackpotting攻击)。

  后来的事件中,APT的目标逐渐开始网络犯罪团伙化。如果说以前APT的主要目标是数据渗漏,为了窃取知识产权和情报,那最近一些APT组织入侵各大企业就开始是为财了。在这方面最臭名昭著的APT组织是Lazarus,据说该组织与朝鲜有关。一系列攻击中都出现了Lazarus的身影,包括索尼影业数据泄露事件和针对韩国的多起DDoS攻击事件。尤为值得一提的是,该组织还与2016年孟加拉央行网络攻击事件有关。这起事件中,作案者发起的非法SWIFT网络转账价值近十亿美元,不过,三十五条转账指令中仅五条成功了。此外,Lazarus与WannaCry勒索软件也有关系,被认为是2017年5月那波全球性攻击的幕后黑手。WannaCry勒索软件使用了最初由NSA研发的被泄漏洞利用程序,感染Windows主机后会加密其上文件并发出勒索信,受害者不支付赎金就无法解锁文件。这波全球性攻击中,150多个国家的30多万台计算机遭感染。

  将作案重点转向经济收益的APT并非仅仅有据称归属朝鲜的Lazarus一家。各家网络安全公司的报告宣称,伊朗政府支持的黑客组织目前盯上了以色列公司。研究人员声称,尽管他们的目标表面上看似乎是为了求财,但这些攻击背后真正的原因是政治性的。2020年11月20日,名为Black Shadows的黑客组织攻击了以色列保险公司Shirbit。他们试图勒索这家保险公司,警告称如果不付款就曝光被盗数据。Shirbit拒绝付款,而数据随后也确实泄露了。这家公司遭受了直接经济损失,并且面临集体诉讼。安全供应商SentinelOne表示,尽管该事件的性质是网络犯罪,但所有这些操作都是用来掩盖伊朗针对以色列的各项行动。这起事件,以及针对KLS Capital等以色列公司的多起其他事件,都是APT攻击,是两国间当前冷战的一部分。ClearSky Cyber Security指出,这一行动中的其他重磅攻击落在了Amital和Habana Labs身上。

  尽管基础设施、目标和手段存在差异,恶意黑客组织的工作环境并非真空。他们会互相取经。网络威胁世界中所有恶意团伙都这样。关注网络犯罪活动的研究人员也应该注意APT空间中发生的事情,因为这类事情最终可能会渗透到犯罪世界。反过来也一样,网络犯罪团伙使用的工具、创新战术和方法,最终也会落入政府支持的黑客组织手中。



参考阅读

一个潜藏了九年的APT

网络犯罪团伙加紧API攻击脚步

图解网络犯罪团伙间关系