黑色產業鏈的角色分工
我們正處在這樣一個時刻:包括勒索軟件團伙在內的網絡犯罪分子,已經建立起組織化的機構,進行非法的業務活動,而不是一個人單打獨斗。
勒索軟件團伙、敲詐勒索組織和DDoS攻擊者的日益成功絕非偶然。在一個個奇幻的名字背后,是組織化的機構,由不同層次的參與者組成,他們同步工作,瓜分利益,以實現最終目標。
以下是幾種典型的網絡犯罪角色:
1、入口訪問經紀人(IAB)
IAB(Initial access brokers)是指將企業的網絡訪問權限出售給買家的人,主要通過地下數據交易市場、論壇或是即時通信工具、聊天組來完成交易。然后購買訪問權限的人,得以進入受害者的網絡,再安裝間諜軟件、竊取商業秘密,或者安裝勒索軟件、拖走數據等。IAB本身一般不會去做這些事情。
在以往,網絡犯罪對IAB的需求并不很高,大部分是商業競爭對手雇傭從事間諜活動和盜竊的需求。但勒索軟件時代導致了對IAB的需求“指數級增長”,成為網絡犯罪產業鏈的“入口”角色。
2、一切即服務(XaaS)
在網絡犯罪的語境下,一切即服務(XaaS)通常是指勒索軟件即服務(RaaS)或惡意軟件即服務(MaaS),甚至是犯罪即服務(CaaS),這些平臺構成了網絡犯罪的新商業模式。與軟件即服務(SaaS)的提供模式非常類似,這些aaS是一種專門為具體實施攻擊的網絡犯罪分子,提供勒索軟件工具、網絡釣魚工具的平臺,使用這些工具即可實施網絡犯罪,而不用掌握高深的技術。當然,這是收費的。
作為這種服務提供商,無論他的客戶攻擊是否成功,都會獲得一定的收益。不僅如此,在這種XaaS的模式下,意味著可能在法律上還是安全的。他們只負責提供工具,拿工具干什么用是客戶的事情。
在勒索軟件時代之前,網絡罪犯一般都會是技術熟練的黑客,獨自進行尋找目標、入侵網絡、竊取數據、自行交易。但XaaS模式則降低了黑客攻擊并獲益的技術門檻,包括IAB、RaaS、MaaS等服務,網絡罪犯只需精通一個領域,甚至無需精通任何領域,就能夠實施網絡攻擊。因此,勒索軟件事件才得以愈演愈烈。
3、勒索軟件附屬
勒索軟件附屬可以被視為勒索軟件組織雇來執行操作任務的綜合“承包商”,從IAB購買網絡的初始訪問權,到獲取可能有助于攻擊的憑證、數據等,再到發起攻擊。
在執行成功的攻擊和勒索后,勒索軟件附屬從受害者支付的勒索金額中提取傭金。為了加快攻擊速度,勒索軟件附屬可能會租用RaaS平臺,用“租用的勒索軟件”加密文件,或是使用任何現有的工具、服務和漏洞,以實現攻擊并獲利的目的。正是因為這些XaaS的出現,降低了攻擊的技術門檻,無需自行開發工具,只需專注于攻擊活動的組織運營。
4、惡意軟件開發者
惡意軟件最為核心的組成是針對零日漏洞或已知漏洞的EXP(漏洞利用),可攻擊存在相應漏洞的各種網絡設備、應用程序,甚至是嵌入應用程序中的某個組件,如Log4j。
在早期,惡意軟件和漏洞利用的開發者各種各樣,從最普通的“腳本小子”到黑客高手,但隨著黑色產業的形成,網絡犯罪分子的分工合作,許多復雜的惡意軟件開發團隊已經成為“正規部隊”,甚至有著軟件開發生命周期和編程文檔,與合法的軟件開發流程一樣。
去年發生的一起勒索軟件團伙(Conti)的泄密事件,對其不滿的合作者(勒索軟件附屬)泄露了該團伙的數據,包括滲透測試工具、手冊、培訓材料,以及提供給該附屬的文件。另外一起類似的事件中,一名自稱Babuk勒索軟件管理員的人,則放出了該組織的Visual Studio項目文檔和源代碼。從這些文檔和代碼可以看出,Babuk的開發流程與合法軟件公司無異,遵循同樣的規范和結構。
另一方面,加密貨幣的流行,令其交易平臺成為網絡攻擊的重災區。精通密碼學并對區塊鏈協議有深入了解的惡意軟件開發者,利用這些平臺中的零日漏洞或未修補的漏洞,盜取巨大價值的加密貨幣。
今年2月,Wormhole價值3.26億美元的加密貨幣被盜,源于GitHub平臺上公開的一個未修補漏洞。去年Poly Network遭受了“史上最大的DeFi黑客攻擊”,一名白帽黑客通過平臺的漏洞轉移了價值6.11億美元的加密貨幣,但事后幾乎全部退回。
5、APT組織
APT(高級持續威脅)之前大多是指有著國家資源支持的網絡犯罪集團采取的攻擊策略,目標是進行破壞、間諜活動,或者攫取經濟利益。但現在,APT所使用的戰術也被一些非國家支持的網絡攻擊者采用。
史上最著名的APT攻擊事件是震網(Stuxnet)事件,該事件利用多個Windows零日漏洞感染計算機并進行傳播,最終對核電站的離心機造成損壞。這種“極其復雜的電腦蠕蟲”據傳是美國和以色列情報機構合作開發的。
另一起針對工業控制系統的例子是TRITON。該惡意軟件于2017年入侵了沙特的一家石化廠,并試圖引發爆炸。幸運的是,TRITON代碼中自身存在的一個漏洞觸發了關鍵系統的攔截,攻擊未能得逞。
APT最主流的手法是通過魚叉式網絡釣魚進入網絡,悄悄傳播有效負載,拖走數據,并植入持久后門,對受害者進行秘密監視。
與之前相比,現在的APT更加隱蔽、更具戰略性。如將后門植入上游軟件或源代碼,或入侵第三方供應商。SolarWinds就是一起典型的供應鏈攻擊事件。
6、數據或信息掮客
“數據經紀人”或“信息經紀人”(IB)即可以指合法的服務商也可以是非法的攻擊者。
前者從公共來源獲取數據,如法庭記錄、社交媒體檔案、聯系方式、企業注冊記錄,并進行數據聚合。然后,這些信息可以合法地與營銷人員、研究人員和企業共享,并收取一定費用。后者則是非法的數據經濟人。例如,在暗網和數據泄露市場上出售黑客盜取的資料或機密數據。這些數據包括但不限于賬戶憑證、信用卡信息、購物歷史、企業通訊錄,以及個人信息等。
結語
從開發者到XaaS,再到IAB、IB,這些分工都是黑產鏈各個環節的貨幣化,各自出售攻擊鏈的一部分或向更廣泛的買家出售相同的惡意軟件(配置不同)來成倍地增加利潤。通過這種模式,能夠賺更多的錢,同時做更少的工作。
黑色產業鏈儼然已經是一個“自然競爭的商業環境”,形成了競爭群體和一個真正的市場。這些市場隨之帶來的,則是網絡攻擊門檻的降低,攻擊者無需精通各個方面的技術,就能夠有效開展網絡犯罪活動。
