高級持續性威脅(APT)與網絡犯罪團伙間的持續互惠關系
網絡安全世界中的兩大威脅是國家支持的高級持續性威脅(APT)和網絡罪犯,其深入世界各個角落的基礎設施和圈子也就是所謂的暗網。APT組織和網絡犯罪團伙向來井水不犯河水,各自都有自己的目標、人員和手段。但是近些年來,二者之間出現了一些交叉和重疊。
從進入公眾視野之日起,APT就一直在用通常在暗網上售賣的工具。具體而言,許多APT事件中都出現了Poison Ivy等遠程訪問木馬(RAT)的身影。這種現象非常普遍,以致于許多人對“APT”一詞本身提出了質疑,因為RAT并不被認為是“高級的”(事實上,APT中的“高級”指的是黑客組織背后的基礎設施,即民族國家)。APT事件常以數據滲漏為目標,多年來,APT組織使用暗網上各種網絡犯罪工具達成此目標,二者并不矛盾。
而另一方面,網絡犯罪團伙也借鑒了APT的一些戰術。騙子常常盯上金融機構的客戶,就是因為客戶被認為是金融機構整個安全鏈條中最弱的一環。他們根本不去嘗試突破銀行的安全網絡,而是采用網絡釣魚攻擊來染指其受害者。其他企業淪為網絡犯罪的受害者,則是因為網絡犯罪團伙黑進了他們的系統(比如電子商務網站),從而盜走了各種憑證。但突破銀行的系統就被認為是無法企及的目標,絕大多數網絡犯罪團伙都不會去嘗試。
不過,在某種程度上,網絡犯罪團伙明白,如果APT使用暗網工具訪問企業網絡取得了巨大成功,那他們自己也能做到。一些網絡犯罪團伙已經采用了APT的戰術,使用魚叉式網絡釣魚發送感染了惡意軟件的附件,通過惡意附件來獲取銀行IT系統的訪問權。網絡安全公司Group-B稱,名為Cobalt的網絡犯罪團伙利用銀行系統權限,向ATM機遠程植入了惡意軟件,造成銀行ATM機自動吐鈔(所謂Jackpotting攻擊)。
后來的事件中,APT的目標逐漸開始網絡犯罪團伙化。如果說以前APT的主要目標是數據滲漏,為了竊取知識產權和情報,那最近一些APT組織入侵各大企業就開始是為財了。在這方面最臭名昭著的APT組織是Lazarus,據說該組織與朝鮮有關。一系列攻擊中都出現了Lazarus的身影,包括索尼影業數據泄露事件和針對韓國的多起DDoS攻擊事件。尤為值得一提的是,該組織還與2016年孟加拉央行網絡攻擊事件有關。這起事件中,作案者發起的非法SWIFT網絡轉賬價值近十億美元,不過,三十五條轉賬指令中僅五條成功了。此外,Lazarus與WannaCry勒索軟件也有關系,被認為是2017年5月那波全球性攻擊的幕后黑手。WannaCry勒索軟件使用了最初由NSA研發的被泄漏洞利用程序,感染Windows主機后會加密其上文件并發出勒索信,受害者不支付贖金就無法解鎖文件。這波全球性攻擊中,150多個國家的30多萬臺計算機遭感染。
將作案重點轉向經濟收益的APT并非僅僅有據稱歸屬朝鮮的Lazarus一家。各家網絡安全公司的報告宣稱,伊朗政府支持的黑客組織目前盯上了以色列公司。研究人員聲稱,盡管他們的目標表面上看似乎是為了求財,但這些攻擊背后真正的原因是政治性的。2020年11月20日,名為Black Shadows的黑客組織攻擊了以色列保險公司Shirbit。他們試圖勒索這家保險公司,警告稱如果不付款就曝光被盜數據。Shirbit拒絕付款,而數據隨后也確實泄露了。這家公司遭受了直接經濟損失,并且面臨集體訴訟。安全供應商SentinelOne表示,盡管該事件的性質是網絡犯罪,但所有這些操作都是用來掩蓋伊朗針對以色列的各項行動。這起事件,以及針對KLS Capital等以色列公司的多起其他事件,都是APT攻擊,是兩國間當前冷戰的一部分。ClearSky Cyber Security指出,這一行動中的其他重磅攻擊落在了Amital和Habana Labs身上。
盡管基礎設施、目標和手段存在差異,惡意黑客組織的工作環境并非真空。他們會互相取經。網絡威脅世界中所有惡意團伙都這樣。關注網絡犯罪活動的研究人員也應該注意APT空間中發生的事情,因為這類事情最終可能會滲透到犯罪世界。反過來也一樣,網絡犯罪團伙使用的工具、創新戰術和方法,最終也會落入政府支持的黑客組織手中。
