Void Balaur黑客雇傭組織 正在出售被盜郵箱和高敏數據
現如今,個人數據與信息保護的熱議度居高不下,在各種數據安全布局持續加強的同時,以竊取數據為目標的黑客活動卻依然層出不窮。名為Void Balaur的黑客雇傭組織就是其中之一。
五年多來,Void Balaur一直在竊取電子郵件和高度敏感的信息。趨勢科技的安全研究人員在研究后表示,其商業模式是竊取“企業和個人最私密的數據”,并將其出售給具有雄厚財力和間諜目的的客戶。
這個活躍的威脅組織正在俄羅斯地下論壇宣傳他們的服務:號稱擁有3500多個目標,幾乎遍布所有大陸。
歷史回溯
Void Balaur 的黑客活動可以追溯到 2015 年,但最早的提及者是在 2017 年 9 月,其形式是投訴該組織在其服務上發布垃圾郵件。
Void Balaur的付費廣告從 2018 年開始出現在俄語論壇 Darkmoney (carding)、Probiv、Tenec (stolen credentials)和 Dublikat上。這些服務包括訪問免費網絡郵件(Gmail、Protonmail、Mail.ru、Yandex、VK)、社交媒體(電報)和公司電子郵件帳戶。黑客會向客戶提供被破壞郵箱的副本。
(根據2021年9月14日的匯率換算成美元)
多樣化的服務
2019 年,隨著俄羅斯的個人敏感私人數據開始以 21 美元至 124 美元的起價出售,該組織的服務變得多樣化。
這些信息包括:
- 護照和航班信息
- 交通攝像頭快照
- 交警數據(罰款、汽車登記)
- 武器登記
- 犯罪記錄
- 信用記錄
- 銀行賬戶余額和對賬單
- 稅務服務記錄
不僅如此,新服務還提供來自手機服務的數據,如電話號碼、電話和短信記錄(有或沒有手機塔位置)、地圖通話、電話或SIM卡位置、短信打印件。
當前,對于Void Balaur 獲取這些信息的途徑仍然沒有定論。一種解釋認為,向電信公司內部人士行賄是一種可能性。另一種解釋則基于趨勢科技獲得的作證,即,Void Balaur 攻擊了俄羅斯各電信公司的關鍵工程師和管理人員。
廣泛的目標
根據加拿大非營利組織eQualitie和Amnesty International的報告,研究人員可以將Void Balaur活動與2016年開始的針對烏茲別克斯坦人權活動家和記者的攻擊聯系起來。
該組織在2020年9月的最新活動針對白俄羅斯的政治人物、總統候選人和反對黨成員。
2021年9月,黑客們的關注點集中在“一個情報機構前負責人、五名現任政府部長(包括國防部長)和兩名東歐國家議會議員的私人電子郵件地址“。
除此之外,其他國家(亞美尼亞、烏克蘭、哈薩克斯坦、俄羅斯、法國、意大利、挪威、斯洛伐克)的政治人物和外交官、媒體組織、數十名記者也是Void Balaur網絡釣魚活動的目標。
同時,在2020年9月至2021年8月期間的另一場活動中,Void Balaur則將目標對準了一家俄羅斯大公司的董事會成員、董事和高管(及其家庭成員)。
另一組目標包括處理大量個人敏感數據的組織。這些數據可用于促進出于經濟動機的攻擊。
包括:
- 移動和核心電信公司
- 蜂窩設備供應商
- 無線電和衛星通信公司
- ATM供應商
- 銷售點(POS)系統供應商
- 金融科技公司和銀行
- 商用航空公司
- 俄羅斯至少三個地區的醫療保險機構
- 俄羅斯的體外受精(IVF)診所
- 提供基因檢測服務的生物技術公司
此外,Void Balaur 還一直在尋求訪問各種交換服務(Binance、EXMO、BitPay、YoBit)的加密貨幣錢包,利用網絡釣魚網站來引誘受害者。
與Fancy Bear活動的重疊
在知情人提供了多封網絡釣魚電子郵件后,Void Balaur出現在了趨勢科技的雷達上。
研究人員最初認為這些郵件出自Pawn Storm的手筆。Pawn Storm是一名俄羅斯威脅行為者(threat actor),也被稱為Fancy Bear、Sednit、Pawn Storm和Sronium。
盡管他們最終將這些電子郵件歸因于Void Balaur,但研究人員發現這兩個群體之間存在重疊,雖然雇傭黑客顯示出更多不同的客戶和目標。
研究人員如今在一份報告中寫道:“總的來說,我們觀察到了12個電子郵件地址,這些地址分別在2014年至2015年期間被Pawn Storm、2020年至2021年期間被Void Balaur鎖定。”
對此,趨勢科技還補充道:“除了宗教領袖,我們還看到了外交官、政治家和記者遭到襲擊。”
從趨勢科技收集的證據可以看出,Void Balaur專注于將私人數據出售給任何愿意支付適當費用的人。這是一個網絡雇傭集團,它不在乎客戶如何處理他們購買的數據。
