国家黑客组织盘点:伊朗、朝鲜、沙特阿拉伯和俄罗斯
星期四, 十二月 5, 2019
专家称,伊朗、朝鲜、沙特阿拉伯和俄罗斯等民族国家的黑客有了新的目标,并正改变策略。
尽管源自俄罗斯的著名高级持续性威胁 (APT) 组织是人们关注的重点,但许多其他民族国家和类似威胁正陆续在世界各地发起网络攻击。今年的网络战 (Cyberwarcn) 大会上,近 20 名全球顶尖网络安全研究人员分享了自己对这些关注度不高的复杂组织的见解,描述了他们的最新策略与发展。
近些年来,伊朗作为最具破坏力的民族国家网络战力量之一快速崛起,拥有名为 APT33 的威胁组织——堪称该国恶意网络黑客组织的 NO.1。APT33 的下手对象包括航空航天、国防和能源企业。该组织很大程度上针对沙特持有和运营的实体。
APT33 也得名 Refined Kitten、Magnallium、Holmium 和 Alibaba,2014 年现身,大名鼎鼎的 Shamoon 数据清除恶意软件就是其杰作,曾在 2012 年彻底清理了沙特阿美石油公司至少 3 万台计算机。自那以后,APT33 频涉针对中东和欧洲工业公司的黑客入侵事件。
但 2019 年,APT33 的一次行动却范围狭窄,仅针对特定于美国政治目标的一组专门设置的域名和 IP。
APT33 最有趣的方面之一,是其与阿曼湾地缘政治事件的时间线关联。2019 年 5 月和 6 月,海湾地区针对邮轮的爆炸性袭击余波中,APT33 发动了一系列鱼叉式网络钓鱼入侵以配合这些攻击。
有关 APT33 的另一个方面,是美国对伊朗极限施压后,APT33 在一系列伊朗情报与安全机构改革中的权力上升。重组见证了伊朗革命卫队等级与威望的上升,越来越多的鹰派官员充实到实权岗位上。
这些变革使 APT33 在新的当局、权力和资源支持下可能变得更为大胆。过去几个月中 APT33 值得注意的另一个动态,是与俄罗斯合作的可能性。
还有些遥测信息可以推导出有关 APT33 的一些洞见。要点之一是该组织对密码喷射攻击的钟爱,该方法采用用户账户名与一些常用密码的组合尝试入侵在线账户。
另外一个重要的观察所得是,很多人都将 APT33 视为马虎草率的黑客组织。他们通常动静很大。其鱼叉式网络钓鱼相对容易实施。对其遥测数据的研究表明,该组织的运营非常复杂,而且十分注重运营安全。他们可能不在意自身网络钓鱼被检测到,但很注重防范被取证关联回伊朗。
Saud al-Qahtani,沙特王储穆罕默德·本·萨勒曼 (MBS) 前高级顾问,传说中沙特阿拉伯记者贾马尔·卡舒齐 (Jamal Khashoggi) 虐杀案幕后主使。Al-Qahtani 为皇室运营社交媒体并管理监视行动,因善用大量机器人程序而被称为 “蝇王”,试图控制推特喉舌,尤其是阿拉伯语推特。
Motherboard 曾报道过 al-Qahtani 试图从争议性间谍软件供应商 Hacking Team 购买监视工具。从报道中提到的邮件地址追踪,可发现流行黑客站点 Hack Forums 上数年间发布的揭示 al-Qahtani 入侵及监视方法的帖子。Al-Qahtani 在 Hack Forums 上就一系列问题向黑客求助,还寻求木马程序安装方面的指导。他承认自己用过至少 24 种不同远程访问工具 (RAT),最爱 Hack Shades。
某段时间里,al-Qahtani 与 Hack Forums 用户 “Lassie” 合作,改良完善录制房间中所有声音的监视解决方案。还有一次,他试图以每月 500 美元的价格雇佣一名黑客来管理他的僵尸网络。他还运营着大规模社交媒体影响力行动,在 YouTube 上购买了 525 个账户,雇佣了沙特首都利雅得附近数百名年轻人为其巨魔工厂服务。
Al-Qahtani 还试图冻结或封禁特定推特账户。不过,他通过 Hack Forums 获悉,只有获得内部推特操作权限才可以这么做。然后,毫无意外地,就在上月,美国司法部刑事起诉了一名沙特内奸,该人曾在推特工作,现已返回沙特阿拉伯。
尽管在皇室享有高级职位,al-Qahtani 的操作安全却十分糟糕。至少三次,他在 Hack Forums 上发帖承认自己喝醉了,这在禁酒且上位者相当鄙视饮酒行为的沙特可算得上是令人震惊的供认了。而且,al-Qahtani 自 2009 年起个人注册的所有域名中,只有三个未包含个人可识别信息 (PII),其他全都含有包括他全名、电子邮件地址和电话号码在内的 PII。
2019 年 8 月,一名沙特异见份子在推特宣称 al-Qahtani 已经死亡,是被沙特政权毒死的。该断言并未被证实,且看起来非常可疑,因为有其他指征表明 al-Qahtani 还活着,仍在为沙特皇室服务。
俄罗斯最奇特的新信息行动威胁组织之一,是附属于 E. Prigozhin 的一系列实体,包括 Wagner Group——之前专注实体运动战的准军事组织。研究人员现在还不清楚该组织跟 GRU 或影响力及政治宣传喉舌互联网研究机构 (IRA) 之类其他俄罗斯机构是合作还是竞争关系。
全球 APT 竞技场上另一主要力量是朝鲜,拥有一系列不同组织执行混合了该国惯有攻击模式和目标的网络行动。这些组织被称为 Silent Chollima、Velvet Chollima、Ricochet Chollima、Stardust Chollima 和 Lab Chollima。
2015 年,所有 Chollima 组织开始发展其能力。2017 年左右,随着朝鲜领导人金正恩转变该国情报策略重点,他们也开始切换策略,从严格的军事目的转向混合了军事和经济目标的策略。尽管绝大多数目标依然在朝鲜一贯的死对头韩国,这些组织开始全球扩展他们的关注点和工作,从之前单纯的间谍情报获取到执行犯罪和破坏活动。
朝鲜的经济犯罪业务众所周知,很多大规模数字银行劫案和加密货币窃取都与该国有关。各 Chollima 组织已成真正货币盗取新途径。他们开始成为金正恩口中的服务朝鲜目标的“全能利剑”。
而且,不仅有为了朝鲜国家利益的大规模金钱窃取行动,各组织自身也会进行小规模的钱财盗取活动。可能这些活动在支持国家的同时,也是维持各组织运营的自筹资金行为吧。
相关阅读