2021 年全球活躍黑客組織掠影

2021 年，隨著數字貨幣的流行以及國家間對抗的加劇，以“高級持續性威脅”（APT）組織為代表的黑客組織高度活躍，嚴重危及各國的政治、經濟和軍事安全，甚至一度引發社會動蕩。這一年來，利用主流產品的漏洞入侵系統仍是黑客組織最青睞的攻擊手段，被利用的零日漏洞僅上半年內就多達 40 個，范圍遍及 Window、Microsoft Office、iOS、Android 和 Chrome等幾乎所有主流系統和軟件；自“太陽風”事件以來，軟件供應鏈已然淪為黑客攻擊的重災區，擁有海量客戶的國際航空電信協會（SITA）和代碼測試公司 Codecov 相繼遭到入侵；針對網絡安全機構的攻擊日益增多，黑客組織試圖直接掠奪前者的研究成果為己所用。這一切都反映出黑客組織的活動呈繼續上升之勢，防范 APT 威脅仍是網絡安全領域的重中之重。鑒于黑客組織為數眾多、難以盡述，筆者便選取了五個在 2021 年中相對活躍且具有代表性的組織，以管窺 2021 年中全球黑客組織的活動態勢。

一 DarkSide

Darkside 是疑似來自東歐地區或俄羅斯的勒索軟件組織，一般認為其沒有政府背景。Darkside 從 2020 年 8 月開始活動，并因 2021 年 5 月攻擊美國最大的油氣管道運營商 Colonial Pipeline 而聲名鵲起。Darkside 主要針對以美國為首的非斯拉夫語系國家，且不攻擊醫院、收容所、學校、大學、非營利組織或政府機構，而是專注于有能力支付巨額贖金的大型企業，為此還會事先分析目標的財務狀況。Darkside 的目的是獲取經濟利益，因攻擊 Colonial 公司而引發美國社會動蕩多半不在其預料之內。在美國的強大壓力下， Colonial 事件一結束， Darkside 便被迫終止運行。

1.1　活動情況

1.1.1　2021 年內的活動

2021 年 5 月，美國最大的燃油管道商 Colonial Pipeline 遭到勒索軟件攻擊，該公司被迫關閉了主要的燃料傳輸管道，導致美國東海岸多達 45%的燃料供應中斷，并引發美國民眾恐慌性搶油。Colonial 公司于攻擊當日就已向 DarkSide 支付了 440 萬美元贖金，但由于后者提供的解密工具恢復速度過慢， Colonial 公司最后只得使用備份數據恢復系統，并于 17 日完全恢復正常的燃料供應水平。

1.1.2　以往的重大活動

DarkSide 屬于新興組織，在 Colonial 事件前沒有引起廣泛關注的重大活動，只有一家加拿大軟件公司在 2020 年淪為其受害者。不過 Darkside 于 2020 年 11 月推出了一種“勒索軟件即服務”（RaaS）模式，以供其它網絡犯罪組織有償使用其開發的勒索軟件。

1.2　活動特點

1.2.1　攻擊范圍十分明確

Darkside 的勒索軟件會檢查所入侵系統的位置和語言，以繞開大部分前蘇聯加盟國（波羅的海三國不在此列）以及敘利亞。此外 Darkside 還在公開聲明中明確表示，其不會攻擊醫療機構、教育機構、公共部門和非營利組織。網絡安全公司 Digital Shadows 認為 Darkside 很可能在利用 ZoomInfo 等市場調查公司的數據來判斷受害者的償付能力，以便將目標鎖定在實力雄厚的公司身上。從實際影響來看，受 Darkside 勒索軟件影響最大的國家是美國，但計算機感染率最高的國家是以色列。

1.2.2　對外提供勒索“服務”

Darkside 不但直接投放勒索軟件以索取贖金，還向其他網絡犯罪份子提供所謂的 RaaS 服務，即允許這些“客戶”使用他們的勒索軟件（甚至可在一定程度上為“客戶”定制這些軟件）攻擊目標，并以分享對方得到的贖金作為回報。網絡安全公司 Mandiant 稱， Darkside 至少向五伙網絡犯罪份子提供了其開發的勒索軟件。

1.2.3　實行多重勒索策略

和近年來的許多勒索軟件組織一樣， Darkside 采取了雙重勒索策略，即同時以數據加密和數據泄露來威脅受害者。在 2021 年 4 月， Darkside 又在其 RaaS 服務中新增了 DDoS 攻擊作為威脅，從而將雙重勒索策略升級為三重勒索策略。

1.3　典型工具

DarkSide 只開發了一款同名勒索軟件，并對該軟件進行過更新。該軟件會通過網絡釣魚、濫用遠程桌面協議（ RDP）以及 CVE-2019-5544 和 CVE-2020-3992 等已知漏洞來獲取初始訪問權限，然后收集關于計算機名稱和系統語言的信息，以確定該系統是否在攻擊范圍以內。之后 DarkSide 會通過橫向移動來獲取域控制器（DC）或Active Directory 訪問權限，以此竊取憑據、提升權限（比如通過 CMSTPLUA COM 接口的 UAC 繞過技術來獲取管理員權限）和獲取有價值的數據。該軟件具有以下特點：

1.3.1　識別攻擊對象

DarkSide 勒索軟件最先啟動的功能就是收集系統信息，如果判定系統屬于禁止攻擊的對象， DarkSide 則不會攻擊該系統。

1.3.2　代碼與 REvil 相似

DarkSide 勒索軟件與另一款著名的勒索軟件 REvil 有許多相似之處，比如贖金票據的結構相近，都利用 PowerShell 工具從網絡中刪除卷影副本，并都會建立加密信道以便與受害者溝通。這意味著這兩個勒索軟件組織可能存在人員上的交互。

1.3.3　利用洋蔥網絡隱藏身份

DarkSide 勒索軟件主要依靠 RDP 客戶端通過 443 端口建立命令與控制（C2）信道，然后通過 HTTPS 加密協議和洋蔥網絡（Tor）重新定向發送至本地端口的流量，從而將 C2 流量混入正常的 Web 流量，以增加檢測和溯源難度。

1.4 常用攻擊技術

DarkSide 會通過網絡釣魚以及利用可遠程訪問的帳戶、系統和虛擬桌面基礎設施（VDI）獲得初始訪問權限，然后部署 DarkSide 勒索軟件以加密和竊取數據。DarkSide 勒索軟件會根據操作系統選擇不同的加密算法：對 Linux 系統使用 RSA-4096 和 ChaCha20 流密碼，對 Windows 系統則使用 RSA- 1024 和 Salsa20 算法。DarkSide 常用的攻擊技術包括：

1.4.1　初始訪問

DarkSide 勒索軟件會通過網絡釣魚、濫用遠程桌面協議（RDP）以及 CVE-2019-5544 和 CVE-2020-3992 等已知漏洞來獲取初始訪問權限，而在整個攻擊過程中， DarkSide 的攻擊人員還會使用 PowerShell 等合法的工具來掩蓋攻擊。

1.4.2　橫向移動

DarkSide 勒索軟件會利用 PSExec 和 RDP 來實現橫向移動／遠程執行，主要目標則是控制域控制器（DC）。一旦控制 DC，該軟件就會開始收集其它敏感信息和文件（包括存有目標密碼的 SAM），并利用 PowerShell 工具從此前已被感染的其它主機創建的共享文件夾中下載該軟件的二進制代碼。在獲取所有必要數據后，該軟件便會利用 bitsadmin.exe 將這些代碼傳播到內網環境中的其它設備上，以實現最大程度的擴散。

1.4.3　數據滲漏

和其它雙重勒索軟件一樣，在加密文件前， DarkSide 勒索軟件會先利用合法工具來向黑客組織傳輸這些文件，即所謂的“數據滲漏”。DarkSide 勒索軟件會利用 7-Zip 壓縮工具來壓縮文件，然后通過 Rclone 和 Mega 客戶端上傳至云空間，同時利用串行接口連接軟件 PuTTy 來傳輸文件。此外 DarkSide 還使用了隱藏在 Tor 中的多個站點來托管所竊取的數據。

二 Turla

Turla 亦稱 Waterbug 、Venomous Bear、Belugasturgeon 、Ouroboros 和 Snake 等，是專門攻擊政府機構的老牌國家級黑客組織，據信獲得了俄羅斯聯邦安全局（FSS）反情報處（ SKR）的支持。Turla 從 1996 年開始活動，自 2015 年起活動力度有所增大，目前其活動范圍已擴展至 45 個國家。Turla 的目的主要是從外交、政務、軍事和科研部門竊取情報，目前已知的受害單位包括美國中央司令部、美國國務院、美國航空航天局、德國外交部、比利時、烏克蘭、中國、約旦、希臘、哈薩克斯坦、亞美尼亞、波蘭和德國的大使館、法國軍隊以及瑞士軍工企業 RUAG 等，此外 Turla 也曾攻擊過俄羅斯境內存在腐敗嫌疑的目標。

2.1 活動情況

2.1.1　2021 年內的活動

Turla 在 2021 年內的最主要活動仍是 2020 年 12 末曝光、此后一直余波未了的“太陽風”（SolarWinds）軟件供應鏈攻擊活動。據信 Turla 和受俄羅斯對外情報局（ SVR）支持的黑客組織 APT29 展開合作，早在 2019 年 4 月就在“太陽風”公司的網絡管理軟件 Orion 中植入名為 Sunburst 的后門，而該后門與 Turla 此前開發的 Kazuar 存在若干相同特征。Turla 利用該后門入侵多國政府部門、關鍵基礎設施以及全球 500 強企業的內部網絡，是近十年來最嚴重的網絡安全事件之一。

此外網絡安全公司思科（Cisco）還于 2021 年 9 月發現， Turla 至少從 2020 年起就部署了一種名為 TinyTurla 的后門。該后門的代碼非常簡單，難以被安全工具判定為惡意軟件，因此即使清理掉了其它惡意軟件，黑客也仍可通過該后門再次入侵系統。

2.1.2　以往的重大活動

Turla 曾發動過多次重大網絡攻擊活動，其中最引人注目的活動如下：

Moonlight Maze：1996 年， Turla 從美國航空航天局、美國國防部、美國能源部及其它許多美國政府機構、科研機構及軍事承包商的網絡中竊取了大量保密信息，包括技術信息、軍事地圖、軍隊部署、軍用硬件的設計以及加密技術等。

Agent.BTZ：2008 年，駐中東美軍人員拾取了帶有 Agent.BTZ 蠕蟲病毒（由 Turla 開發的竊密軟件，能夠掃描計算機中的敏感信息，并將數據發送到遠程命令與控制服務器）的 U 盤，并將其插入軍用電腦，導致病毒擴散到美軍中央司令部的網絡中，最終美軍花了 14 個月才將該病毒清理干凈。此事件迫使美軍全面禁用 U 盤，并因此建立了網絡司令部。

Epic Turla：2013 年，網絡安全公司卡巴斯基發現了名為“Epic Turla”的大規模網絡間諜活動，此次活動中有超過45 個國家／地區的數百臺計算機被感染，主要入侵目標是歐盟國家的內政、商貿、外交、情報、軍事、研究和教育機構以及制藥公司，其中法國是受害最嚴重的國家。

2.2　活動特點

2.2.1　主要針對 Windows 平臺

Turla 的網絡攻擊活動主要針對 Windows 平臺，并為此開發了多語言環境下的自研特馬和開源木馬，其中部分特馬不斷更新，迄今仍在使用。

2.2.2　借助衛星通信隱藏身份

自 2007 年以來， Turla 利用衛星通信中固有的安全缺陷來隱藏 C2 服務器的位置和控制中心，并傾向于選擇使用僅覆蓋非洲地區的衛星提供商，這使非洲之外的研究人員很難調查 Turla 小組的活動。

2.2.3　劫持其它 APT 組織的基礎設施

Turla 曾于 2017 年至 2018 年間入侵伊朗黑客組織 APT34 的服務器，利用被 APT34 感染的計算機來投放 Turla 自己的惡意軟件，而 APT34 似乎對此毫無察覺。

2.3　典型工具

Turla 的工具庫中包括具備數據收集和shell 執行功能的后門，具備遠程監測與控制功能的組件以及開源工具等。這些工具種類繁多，難以追蹤，且大多都能及時進行技術更新。這些工具主要有以下特點：

2.3.1　采用多種持久化設計

為確保長期滲透， Turla 采用了將 Powershell 的攻擊核心載荷存儲于 Windows 注冊表項中以及注冊自啟服務等多種持久化方式。

2.3.2　注重環境適用性

為保證攻擊載荷能在多種 PC 環境下穩定運行， Turla 為其大部分攻擊組件編寫了與環境適配、工具探測及繞過安全機制有關的代碼。

2.3.3　加密算法獨特

Turla 的攻擊組件不使用常見的傳統加密算法，而是采用了獨特的加密算法和密鑰。

表 1 Turla 使用的部分典型工具

2.4　常用攻擊技術

Turla 擅于利用魚叉攻擊和水坑攻擊等社會工程學手段來投送攻擊載荷，再利用后門收集 PC 數據，然后根據所得數據來決定是否實施下一階段的攻擊。之后攻擊載荷會在攻擊者的指示下于局域網橫向移動，并通過管道協議的 RPC 通信監聽局域網段。Turla 常用的攻擊方式包括：

2.4.1　魚叉攻擊

Turla 慣于投遞夾帶惡意程序和漏洞的電子郵件，并通過社會工程學手段誘導用戶點擊執行文件。其魚叉攻擊載荷通常為漏洞文件、宏文件或偽裝安裝包。

2.4.2　水坑攻擊

Turla 偏愛引誘目標受害者訪問設有“水坑”的合法網站。早期 Turla 傾向于在網站中嵌入 JavaScript 代碼，并在用戶訪問的時候執行這些代碼，以獲取瀏覽器的插件列表等信息；近期 Turla 的攻擊方式則更為直接，比如在完成指紋識別后下發惡意的 Adobe Flash 安裝包。

2.4.3 MITM 流量劫持與篡改

Turla 曾多次以“中間人攻擊”（MITM）的方式劫持 Adobe 的網絡，從而暗中替換用戶下載的軟件更新包，由此控制目標主機。不過該方式需獲取核心路由權限，甚至需要劫持企業／政府的關鍵節點。

三 APT29

APT29 亦稱 Cozy Bear 、Dark Halo 、The Dukes 和 NOBELIUM 等，是主要攻擊北約及歐盟成員國政府網絡、研究機構和智庫的黑客組織，據信獲得了俄羅斯對外情報局（ SVR）網絡行動中心（COC）的支持。APT29 從 2008 年開始活動，目前其活動范圍已擴展至 40 多國。APT29 的目的主要是收集情報，以支持俄羅斯的外交和安全政策。目前已知的受害者包括美國國防部、美國國務院、白宮、美國民主黨全國委員會、美國共和黨全國委員會、荷蘭警方、荷蘭總務部、挪威國防部和挪威外交部等政府機構，新美國安全中心（CNAS）、國際戰略研究所（IISS）和美國對外關系委員會（CFR）等知名智庫，以及新冠疫苗研發機構等科研院所。此外據稱車臣叛亂組織和俄羅斯販毒團伙等非法組織也屬于 APT29 的攻擊目標。

3.1　活動情況

3.1.1　2021 年內的活動

2021 年 7 月， APT29 入侵了美國共和黨全國委員會（RNC）的承包商Synnex 的計算機系統。作為微軟解決方案的分銷商， Synnex 證實有黑客試圖通過微軟云環境入侵其客戶的網絡， RNC 在得知此事后立即關閉了 Synnex 賬戶對其云環境的訪問權限，而微軟檢查 RNC 的系統后未發現入侵跡象。

3.1.2 以往的重大活動

APT29 曾發動過多次重大網絡攻擊活動，其中最引人注目的活動如下：

Ghost：2019 年 10 月，網絡安全公司 ESET 發現 APT29 至少從2013年起就入侵了三個歐洲國家的外交部以及一個歐盟國家的駐美大使館。APT29 在活動中使用了MiniDuke 等五種后門，并利用 Twitter、Imgur 和 Reddit等社交平臺作為主要的命令與控制（C2）渠道。

入侵五角大樓：2015 年，美國國防部的非保密電子郵件系統遭到APT29 的魚叉式網絡釣魚攻擊，后者使用的惡意軟件能夠快速收集大量數據，并在一分鐘內就將收集到的所有信息發送給互聯網上的數千個加密帳戶。美國國防部在幾天后才發現遭到入侵，隨即將上述郵件系統暫時關閉了近兩周，導致約 4000 名軍職和文職人員的工作受到影響。

入侵 DNC：2016 年， APT29 與 APT28 （據信受到俄羅斯情報部門支持的另一個黑客組織）共同攻擊了美國民主黨全國委員會（DNC）的網絡，有數十個 DNC 電子郵箱淪為魚叉式網絡釣魚的攻擊目標。APT29 竊取了數千份文件，其中包括民主黨的戰略文件、籌款數據以及政治對手分析等，數據量多達 300 GB 左右。APT29 將一些電子郵件交給維基揭密（WikiLeak）網站，后者隨即發布了這些郵件，此舉對美國民主黨的聲譽造成巨大打擊，甚至可能影響了 2016 年的美國大選。

入侵挪威政府：2017 年，挪威警察安全局（PST）指控 APT29 對挪威國防部、外交部、輻射防護局、工黨和一所學校的 9 名重要人物（包括 PST 局長）的電子郵箱實施魚叉式網絡釣魚攻擊。此次攻擊的目標不明，但 PST 聲稱黑客并未獲取任何保密信息。

太陽風事件：2020 年，網絡安全公司 FireEye 發現 APT29 和 Turla早在 2019 年 4 月就在“太陽風”公司的網絡管理軟件 Orion 中植入名為 Sunburst 的后門，由此入侵了多國政府部門、關鍵基礎設施以及全球 500 強企業的內部網絡，堪稱近十年來最嚴重的網絡安全事件之一。

3.2　活動特點

3.2.1　擅長大規模魚叉式網絡釣魚

APT29 在多次重大活動中都采用了大規模魚叉式網絡釣魚的攻擊方式，其會向特定范圍內的數百甚至數千個電子郵箱發送帶有惡意鏈接或惡意程序的郵件，一旦入侵成功，其惡意程序就會快速收集受感染設備的數據并上傳至 APT29 控制的服務器。之后一旦通過數據分析從中發現較有價值的目標， APT29 就會迅速改用其它工具，以便更隱蔽地長期入侵該目標。

3.2.2　著重收集地緣政治情報

不同于具有相似背景的 APT28 ，APT29 一般不實施破壞性攻擊，而是以更加隱蔽而復雜的手段收集地緣政治情報，比如其雖入侵了美國兩黨、挪威政府和荷蘭政府的網絡，但皆未采取任何破壞行動。

3.2.3　編碼水平高超

APT29 很罕見地采用了匯編語言來編寫代碼，此類語言編寫困難，調試不易，但能高效且精確地執行惡意程序。此舉意味著 APT29 成員擁有十分高超的編程能力，能夠熟練運用此類使用不便的低級語言來開發最高效的惡意軟件。

3.3　典型工具

APT29 的工具庫十分豐富，其中有大量服務于魚叉式網絡釣魚的工具，比如內藏惡意宏的 Word 文檔和作出初始后門的 HammerToss 和 PowerDuke 等，另外也有通過初始后門下載的次級后門 POSHSPY、用于執行任意 shell 命令的 WellMess 以及用于入侵 VPN 服務的 SoreFang 等形形色色的工具。這些工具主要有以下特點：

3.3.1　利用域名前移規避審查

雖然 Tor 可以有效防止溯源，但攻擊方若直接通過 Tor 入侵目標，則可能被某些防御機制判定為可疑流量。有鑒于此， APT29 利用 Meek 插件將 Tor 流量包裝到看似無害的 google.com HTTPS POST請求中，從而通過這種“域名前移”（Domain Fronting）技術來規避網絡審查。

3.3.2　依靠社交平臺傳遞 C2 命令

APT29 往往不會在服務器與受感染設備之間建立專門的命令與控制（C2）信道，而是借助 Twitter 和 github 等社交平臺來控制惡意軟件，以利用合法數據流來掩蓋 C2 指令。舉例來說， APT29 會讓惡意軟件定時訪問某個 Twitter 賬戶，而 APT29 會按時用該賬戶發送一條帶網址鏈接的推文。該網址指向的圖片看似正常，實則是藏有 C2 指令并附帶密鑰的加密圖片。

3.3.3　利用隱寫術加強隱蔽性

APT29 的惡意軟件 PolyglotDuke 和 RegDuke 使用了圖像隱寫術來隱藏 C2 命令，在用于發布命令的 png 圖片中，每個像素的 RGB 值都存放了 1 字節的信息，而惡意軟件可按預定順序識別出這些信息，再將其組合成 AES 加密字符串，從而解密出完整命令。

表 2 APT29 使用的部分典型工具

3.4 常用攻擊技術

APT29 通常使用公開可用的漏洞來大范圍掃描和利用安全水平不佳的系統，以此獲取身份憑證。之后 APT29 可能會暫時按兵不動，以免被網絡安全工具和人員所察覺；而當使用竊取的憑證時， APT29 則可能使用 Tor 和 VPN 等匿名信道來傳輸 C2 命令和數據。APT29 常用的攻擊技術包括：

3.4.1　落地環境檢測

為加強攻擊的針對性以及避免落入蜜罐等虛擬環境， APT29 的早期惡意軟件 Dukes 系列采用了一種基于數理統計的簡單檢測方式。APT29 會在環境檢測代碼中設置一個初始值為 0 的score 變量，然后逐一檢測是否存在殺毒軟件、是否處于虛擬環境、是否存在安全工具、是否包含異常 PC 用戶名稱以及是否存在異常文件名稱等。如有任何匹配，則在 score 值的基礎上加上對應權值，待檢測代碼執行之后再將 score 值與給定閾值進行比較，以判斷當前環境是否為目標環境。

3.4.2　軟件延時上線

為了隱藏核心 APT 特馬， APT29 的部分惡意軟件在入侵設備后，會用特定算法來計算休眠時間，然后進入暫時休眠狀態。舉例來說，“太陽風” 事件中的 APT29 木馬就會在入侵后進行為期 12 到 14 天的休眠。

3.4.3　數據混合加密

APT29 的惡意軟件往往會采用獨特的混合式加密算法。以 WellMess 為例，該木馬會通過 HTTP header 的 Cookie 字段傳輸 C2 指令，并通過 RC6 ＋Base64＋垃圾數據混淆的混合方式加密此類指令（RC6 密鑰多以硬編碼形式存在于木馬的二進制文件中）。

四 Lazarus

Lazarus 亦稱 Hidden Cobra 、Zinc 、APT-C-26 和 Guardians of Peace 等，是規模最大且最活躍的朝鮮黑客組織，據信隸屬于朝鮮情報機構偵察總局（RGB）第 121 局第 110 號實驗室。Lazarus 從 2007 年開始活動，自 2013 年起活動力度有所加強。Lazarus 的活動范圍遍及全球 20 多個國家，但頭號攻擊對象始終是韓國和美國。Lazarus 的目的主要是從全球各地的金融機構竊取資金和通過勒索軟件索取贖金，獲取技術情報，并攻擊損害朝鮮形象的機構。目前已知的受害者包括韓國政府、多家韓國銀行、索尼影視公司、若干美國國防承包商以及全球多家加密貨幣交易所。

4.1　活動情況

4.1.1　2021 年內的活動

2021 年 1 月，谷歌安全團隊發現 Lazarus 長期潛伏在 Twitter、LinkedIn 、 Telegram 等社交媒體，冒充網絡安全人員與真正的網絡安全人員進行交流，博取信任后以共同研究漏洞為幌子，向對方發送內含惡意軟件的 Visual Studio 項目文件，或是誘使對方訪問內藏惡意代碼的博客，從而入侵對方的系統。此舉可令 Lazarus 直接竊取網絡安全人員最新發現的漏洞，大大節省黑客工具的研發成本。

4.1.2　以往的重大活動

Lazarus 曾發動過多次重大網絡攻擊活動，其中最引人注目的活動如下：

Troy：2009 年， Lazarus 向白宮、美國國防部、紐約證券交易所和韓國總統府等美韓重要政企網站發起大規模分布式拒絕服務（DDoS）攻擊，包括韓國總統府、韓國國防部、韓國國會、新韓銀行、韓國外匯銀行和頂級互聯網門戶網站 Naver 在內的韓國重要網站因此癱瘓。

DarkSeoul： 2013 年， Lazarus 擦除了韓國 3 家電視臺和 3 家銀行的近 4 萬臺計算機的硬盤數據，導致相關銀行的業務中斷數天，造成約 7.5 億美元的損失。

Blockbuster：2014 年，索尼影視公司因拍攝嘲諷朝鮮領導人的電影而引起朝方強烈不滿， Lazarus 隨即入侵索尼公司的內部網絡，竊取了約 6800 名員工的個人記錄、工資數據和電子郵件，以及索尼的商業記錄、幾部未發行的電影和尚未拍攝的劇本，并刪除了 3000 多臺計算機和 800 多臺服務器上的數據。此次攻擊迫使索尼取消了另一部關于朝鮮的電影。

SWIFT 劫案：2016 年， Lazarus 通過 Alreay 攻擊組件篡改極其重要的跨國結算系統“環球同業銀行金融電訊協會”（SWIFT）軟件，然后將孟加拉國央行存儲在紐約聯邦儲備銀行的 10 億美元轉入位于斯里蘭卡和菲律賓的非法賬戶，最終有 6300 萬美元未能追回。

WannaCry：2017 年， Lazarus 利用美國國家安全局（NSA）存儲并泄露的“永恒之藍”（Eternal Blue）漏洞來散布勒索軟件 WannaCry，該軟件最終感染了 150 多個國家的 30 多萬臺計算機，光是英國就有三分之一的醫院因受到攻擊而癱瘓，而全球范圍內造成的損失超過 40 億美元。

AppleJeus：2018 年起， Lazarus 以虛假加密貨幣交易公司的名義開發了多款看似合法、實則內藏木馬的加密貨幣交易應用程序，以便從下載者的賬戶中竊取加密數字貨幣，其受害者遍及全球 30 多個國家。

4.2　活動特點

4.2.1　經濟動機明顯

在朝鮮遭到國際制裁的背景下，為繞開制裁及獲取外匯， Lazarus 的首要動機就是竊取美元資產。為此 Lazarus 攻擊過韓國、美國、孟加拉國、墨西哥和烏拉圭等國的銀行及加密貨幣交易平臺，是對金融機構威脅最大的 APT 之一。

4.2.2　注重意識形態

Lazarus 可能是唯一對影視公司發動大規模攻擊的知名 APT 組織，其在 2013年對韓國媒體的攻擊以及2014年對索尼影視公司的攻擊顯然是出于意識形態，并確實在一定程度嚇阻了對朝負面宣傳。

4.2.3　組織分工明確

Lazarus 下設三個小組，其中 BlueNorOff 小組（亦稱 APT 38 或 Stardust Chollima）負責偽造 SWIFT 指令，以便實現非法轉賬；AndAriel 小組（亦稱 Silent Chollima）專門攻擊韓國，韓國的政府、國防和金融機構皆是其攻擊目標；BeagleBoyz 小組負責從發展中國家的銀行系統中竊取資金，自 2015年以來，該小組已嘗試竊取近 20 億美元的資金。

4.3　典型工具

Lazarus 的工具庫中包括復雜的定制版惡意軟件、 DDoS 僵尸網絡、擦除器、勒索軟件和 SWIFT 軟件篡改工具等，這些工具的代碼有許多相似之處，可見 Lazarus 背后應有穩定的黑客工具開發團隊。這些工具主要有以下特點：

4.3.1　注重擦除程序

Lazarus 開發了 DESTOVER 等配備擦除功能的惡意軟件，這些工具可以刪除硬盤數據和事件記錄等，以便實施破壞性攻擊或在行動后擦除攻擊者的活動痕跡。

4.3.2　采用反取證技術

Lazarus （尤其是 Bluenoroff 小組）的惡意軟件往往會采用組件分離技術，以加大取證難度。

4.3.3　實施多層加密

為掩蓋黑客活動， Lazarus 不但會在受感染的服務器之間建立 SSL 加密信道，還會加密在這些信道間傳輸的數據。

表 3 Lazarus 使用的部分典型工具

4.4 常用攻擊技術

Lazarus 早期多利用僵尸網絡對目標進行 DDoS 攻擊，中后期改用魚叉攻擊、水坑攻擊和供應鏈攻擊等手段，并對高價值人員實施針對性的社會工程學攻擊。總的來說， Lazarus 的攻擊周期普遍較長，通常會長時間潛伏在目標網絡中。此外為加大溯源難度， Lazarus 每次攻擊后都會修改其工具集的源代碼。Lazarus 常用的攻擊技術包括：

4.4.1　魚叉攻擊

Lazarus 通常以夾帶惡意文檔（多為 docx 格式，后期增加了 bmp 格式）的郵件作為誘餌，并主要利用惡意宏、 Office 常見漏洞、零日漏洞和植入遠程訪問工具（RAT）的方式實現入侵。

4.4.2　水坑攻擊

Lazarus 慣于對欠發達地區的小規模銀行及金融機構使用水坑攻擊，比如 Lazarus 于 2017 年在波蘭金融監管機構的官方網站中植入惡意JavaScript 漏洞，從而將惡意軟件下載至訪問該網站的用戶設備上。Lazarus 的惡意軟件最多感染了 31 個國家的 104 個組織，其中大多是波蘭、智利、美國、墨西哥和巴西的金融機構。

4.4.3　社會工程學攻擊

Lazarus 十分擅長社會工程學攻擊手段，甚至可能是最擅長冒充身份的 APT 組織。比如在 2020 年， Lazarus 不但冒充衛生官員向制藥公司索取關于新冠疫苗的信息，還冒充加密貨幣交易平臺的招聘人員，通過向求職者發送惡意文檔的形式入侵對方的加密貨幣錢包。

五 Cyber Partisans

Cyber Partisans 是白俄羅斯的反政府黑客組織，其自稱共 15 人，其中 3 到 4 人負責實施網絡攻擊，其他人則負責分析獲取的數據。Cyber Partisans 從 2020 年 8 月的白俄羅斯總統大選后開始活動，并因利用網絡攻擊來支持反政府活動而聲名大噪。Cyber Partisans 的目標是通過泄露保密信息和篡改政府網站信息等方式來影響輿論，從而破壞白俄羅斯的政治穩定，最終顛覆現政府。Cyber Partisans 的活動目前只針對白俄羅斯政府、公務人員及親政府人士，尚無企業及一般公眾受到攻擊的案例。

5.1　活動情況

5.1.1　2021 年內的活動

2021 年 7 月， Cyber Partisans 入侵了白俄羅斯內政部數據庫，獲取了政府秘密監聽的電話記錄（總時長近 200 萬分鐘）、警方線人名單、政府官員的個人信息，警方無人機拍攝的視頻、拘留中心的監控錄像、護照數據、機動車輛注冊信息以及新冠疫情死亡率統計數據等，數據總量超過 5T。考慮到這些信息的重要性，此次入侵堪稱史上最成功的黑客攻擊之一。舉例來說，白俄羅斯駐外特工的護照信息和便衣警察車輛信息等保密信息一旦外泄，就極有可能危及白俄羅斯的國家安全。

此外為妨礙白俄羅斯當局鎮壓游行示威， Cyber Partisans 還于 9 月公布了 1000 多名高級警官的個人信息（包括姓名、出生日期、所屬部門和職務等），此舉可能使這些警官因害怕被私下報復而在鎮壓行動中束手束腳。

5.1.2　以往的重大活動

Cyber Partisans 在 2021 年前沒有發動過重大網絡攻擊，僅開展過一些象征意義大于實際意義的入侵活動。這些活動主要集中在 2020 年 9 月，主要包括：入侵白俄羅斯國營媒體 All-National TV 和 Belarus- 1 的線上頻道，將新聞替換為警察鎮壓示威者的片段；入侵白俄羅斯內政部網站，將總統盧卡申科和內政部長尤里列入網頁上的通緝名單；入侵白俄羅斯總統府網站，在網頁上展示白紅相間的旗幟（反政府活動的象征）。

5.2 活動特點

5.2.1 與反對派里應外合

Cyber Partisans 之所以“戰果豐碩”，很可能是因為該組織與 BYPOL 等其它反政府團體進行了密切合作。BYPOL 的成員中不但有許多前政府官員，甚至還有數百人仍在安全機構、內政部和邊境管制部門等政府部門任職。BYPOL 曾明確表示，其不但向 Cyber Partisans 提供了政府數據庫結構等技術信息，還提供了安全部門對黑客活動的反應等重要情報。不難想象， BYPOL 或許還向 Cyber Partisans 提供了身份憑證、系統薄弱環節和訪問權限等便利條件，甚至直接將內部人員竊取的數據交給 Cyber Partisans。

5.2.2　竭盡所能顛覆政府

不同于追求經濟利益的勒索軟件團伙和遮遮掩掩的國家級 APT，Cyber Partisans 宣布其唯一目標就是推翻白俄羅斯現政府，堪稱全球政治傾向最明確的黑客組織。Cyber Partisans 為此實施了各式各樣的黑客活動，包括利用 “電報”（Telegram）等匿名社交平臺及 Nexta 等境外媒體頻繁發布對現政府不利的信息，篡改政府機構及國營媒體的網站，曝光安全人員信息，以及建立對政府目標發動網絡攻擊的懸賞平臺等。盡管這些活動不足以直接推翻政府，但確實使白俄羅斯政府承受了巨大的壓力，比如美國就以 Cyber Partisans 發布的信息為由，對白俄羅斯實施了制裁。

5.2.3　積極配合游行示威

Cyber Partisans 將游行示威視為推翻現政府的最大希望，因此采取了多種手段來支援游行示威。舉例來說， Cyber Partisans 在谷歌地圖的基礎上繪制路障地圖，以便示威者避開警方關卡；啟動“白俄羅斯黑地圖”等平臺來曝光安全人員的家庭住址和聯系方式，甚至利用人臉識別技術來揭露蒙面特警的身份，以借社會之手向這些人員施加壓力；入侵 240 多個街道監控攝像頭，由此繪制了一張標明攝像頭位置、類型和視角等信息的地圖，以供示威者更好地躲開官方監控。這些行為明顯助長了游行示威的勢頭，加劇了白俄羅斯的政局動蕩。

5.3 典型工具與攻擊技術

Cyber Partisans 并未使用能在網絡中大肆傳播的感染型黑客工具，白俄羅斯政府顯然也不會透露政府網絡的漏洞，因此外界對該組織使用的工具和技術知之甚少。目前僅知道 Cyber Partisans創建了一個網絡社區，以便與白俄羅斯的其它反政府黑客組織共享云基礎設施、工具、代碼、虛擬專用網絡（VPN）和各類開源系統，并將其獲取的數據以加密形式保存在不聯網的服務器上。不過 Cyber Partisans 于 2021 年年中表示，其準備使用一款名為“X-App”的惡意軟件來關閉政府部門的計算機。此外正如前文所述，雖然沒有公開任何細節，但基本可以肯定政府部門中的“內鬼”為 Cyber Partisans 提供了很大幫助。

六近期黑客組織活動趨勢

6.1　網絡安全機構淪為新目標

2020 年 12 月，不明黑客組織從頂級網絡安全公司“火眼”（FireEye）處竊取了測試用的網絡攻擊工具，這標志著繼政府機構和大型企業后，連網絡安全的保護者也不幸淪為了黑客組織的圍獵對象。以 Lazarus 在 2021 年中的活動為例，該組織提前一年就在推特、 Github 和 Youtube 等社交平臺上注冊了賬號，然后連續數月發布與漏洞安全有關的文章。這些文章獲得了大量網絡安全人員的關注和轉載，從而使這些由 Lazarus 操控的賬號贏得了網絡安全界的普遍信任。此后 Lazarus 便以共同研究為名，向網絡安全人員發送帶有惡意代碼的 POC 源碼包，從而悄然入侵對方的設備和系統。 Lazarus 等黑客組織之所以試圖入侵網絡安全機構，多半是為了竊取后者發現的漏洞或研發的測試工具，從而大大減少在攻擊準備付出上的成本。從 Lazarus 不惜花費一年時間進行布局來看，網絡安全機構的成果對黑客組織來說頗具吸引力，未來針對此類機構的攻擊很可能出現爆發式增長。

6.2　軟件供應鏈攻擊趨于常態化

從2020年起，以軟件供應商為目標的供應鏈攻擊逐漸與日俱增。在2021 年上半年，有多家知名軟件供應商都遭到黑客攻擊，從供應、設計、研發、服務直到運維的各個環節都未能幸免。在 2020 年中，軟件供應鏈攻擊還僅僅針對政府和教育界；而到 2021 年，此類攻擊則進一步蔓延到交通等領域，比如有黑客組織于 2021 年 3 月入侵了 SITA 的旅客服務系統，由此竊取了十余家航空公司的旅客私密數據。在選擇軟件供應鏈攻擊的具體目標時，除了攻擊主流產品的軟件供應商以及供應商與用戶之間的代理機構外，為了更有利于接觸最終目標單位的核心數據，黑客組織還會優先選擇長期為該單位提供專屬信息通信技術（ICT）服務的供應商，比如 2021 年 11 月對美國聯邦調查局（FBI）對外郵件系統的入侵就是如此。即使在網絡安全事件頻發的今日，絕大部分用戶也仍舊默認供應商提供的軟件皆安全無虞，而黑客組織必然會繼續利用這種心態，將軟件供應鏈視作最“有用”的攻擊目標之一。

6.3　攻擊手法緊跟時事熱點

利用人性弱點的社會工程學攻擊向來是所有黑客組織的慣用手段，其中一種手法就是以最熱門的政治經濟信息來吸引受害者，這一點在 2021 年中也不例外。這一年來， ScarCruft 、LuminousMoth 和 EdwardsPhesant 等眾多黑客組織繼續利用時事熱點來引誘用戶點擊惡意鏈接。舉例來說，名為 SideCopy 的黑客組織就放出新冠疫情相關信息，引誘亞洲和中東地區的外交和政府機構用戶進入含有惡意 HTA 文件和 JS 文件的網站；而在 2021 年夏季的東京奧運會期間，奧運官方網站和奧組委系統則遭到了數量驚人的約 4.5 億次網絡攻擊（其中大多都是由黑客組織發起的 DDoS 攻擊），此外還出現了不少偽裝的奧運相關非法網站，以騙取用戶的系統權限和個人信息。與去年同期相比，黑客組織跟進時事熱點的頻率和范圍已明顯上了一個臺階，對受害者的吸引力進一步加強。毫無疑問，未來黑客組織將繼續以時事熱點為餌，引誘缺乏防范意識的用戶在不經意間進入惡意網站或下載惡意程序。