暗黑勢力地圖:哪些黑客團伙路子最野?
世界上哪些黑客團伙路子最野?這裡有一份世界著名黑客團伙“勢力地圖”,這些黑客團伙不是即興作案,相反,他們非常有耐心地針對一個特定目標,以各種匪夷所思地手段入侵,有時他們默默地潛伏著,收集關於目標對象的一切,只待需要發動時“引爆炸彈”。
問題是,被攻擊的對像也不是什麼“軟柿子”,它們可能是重要的政治、軍事、金融機構,甚至還有不弱的防守力量。那麼,這麼“暗黑”的黑客組織到底有哪些?一起來看看,今年這些APT(高級可持續攻擊)黑客組織的“榜單”。
一、 東亞
圍繞東亞一直是全球APT 威脅活動最為活躍的地域之一,最早在2011 年曝光的Lazarus Group 是歷史上少數幾個最為活躍的APT 組織之一。
Lazarus Group,據公開披露被認為是朝鮮Bureau 121 背景下的APT組織,歷史曾攻擊索尼娛樂,全球多家銀行SWIFT系統以及和Wannacry勒索病毒有關。2018 年9 月,美國DoJ 和FBI 聯合公開指控朝鮮黑客PARK JIN HYOK及Chosun Expo機構與上述攻擊事件有關,並指出其背後為朝鮮政府。
近年來針對Lazarus 活動的披露有所減少,其攻擊目標主要為金融和加密貨幣相關,推測其動機更傾向於獲得經濟利益。
Lazarus組織在近半年的主要攻擊活動,如圖所示:
Lazarus使用的攻擊工具如下:
除了Lazarus,在近兩年來,另外兩個朝鮮語系的APT 團伙表現出了異常的活躍,分別是Group 123 和Kimsuky 。近年來,朝鮮半島的政治局勢日益趨向於緩和的局勢,朝鮮政府也積極就朝核問題、朝韓雙方關係與美國、韓國展開對話,但緩和的政治外交局勢下,並不能掩蓋東亞區域依然頻繁的網絡情報活動。
結合兩個組織歷史攻擊活動,我們推測Kimsuky 更關注於朝鮮半島的政治外交問題,並通常結合相關熱點事件用於誘餌文檔內容;而Group 123則針對更廣泛的網絡情報獲取。
Group 123和Kimsuky通常都利用向目標投遞魚叉郵件和誘餌文檔,包括Office文檔和HWP文檔,誘導目標人員觸發惡意宏代碼或漏洞文檔來建立攻擊立足點。其也通過滲透韓國網站作為載荷分發和控制回傳通道。
Group 123還偏好使用雲服務作為其竊取目標主機信息和資料的重要途徑,其常用的ROKRAT後門就是基於雲服務的實現,利用包括Dropbox,Yandex,pCloud等雲服務。
二、東南亞
海蓮花組織是東南亞地區最為活躍的APT 組織。
海蓮花組織最初主要以中國政府、科研院所、海事機構等行業領域實施攻擊,這也與當時的南海局勢有關。但在近年來的攻擊活動中,其目標地域延伸至柬埔寨、菲律賓、越南等東南亞其他國家,而其針對中國境內的APT 攻擊中,也出現了針對境內高校和金融投資機構的攻擊活動。
海蓮花組織是一個快速變化的APT 組織,其擅長與將定制化的公開攻擊工具和技術和自定制惡意代碼相結合,例如Cobalt Strike 和fingerprintjs2 是其常用的攻擊武器之一。
海蓮花組織經過多年的發展,形成了非常成熟的攻擊戰術技術特徵,並擅長於利用多層shellcode 和腳本化語言混淆其攻擊載荷來逃避終端威脅檢測,往往能夠達到比較好的攻擊效果。
我們總結了海蓮花組織的常用TTP 以便於更好的跟踪其技術特點的變化。
[ 海蓮花近半年攻擊目標]
三、南亞次大陸
南亞次大陸是另一個APT 組織活動的熱點區域,從2013 年5 月Norman 安全公司披露Hangover 行動(即摩訶草組織)以來,出現了多個不同命名的APT組織在該地域持續性的活躍,並且延伸出錯綜複雜的關聯性,包括摩訶草、蔓靈花、肚腦蟲、Confucius,以及其他命名的攻擊活動和攻擊工具,包括Sidewinder、Urpage、Bahamut、WindShift。
造成歸屬問題的主要因素是上述APT活動大多使用非特定的攻擊載荷和工具,腳本化和多種語言開發的載荷往往干擾著歸屬分析判斷,包括使用.Net、Delphi、AutoIt、Python等。但從歷史攻擊活動來看,其也出現了一些共性:
同時具備攻擊PC和智能手機平台能力;
巴基斯坦是主要的攻擊目標,部分組織也會攻擊中國境內;
政府、軍事目標是其攻擊的主要目標,並且投放的誘餌文檔大多也圍繞該類熱點新聞,如克什米爾問題;
以下是結合歷史公開報告的披露時間製作的相關APT 組織的活躍時間線,推測這些APT 組織可能從2015-2016 甚至更早出現了分化,並且趨向於形成多個規模不大的小型攻擊團伙的趨勢。
四、東歐
APT28、APT29、Turla作為東歐地區最為知名的APT 組織一直廣泛活躍。
美國DHS 曾在2016 年12 月對APT28、APT29 組織在同年針對DNC的攻擊事件以及乾擾美國大選活動發布了相關調查報告,並將其惡意攻擊活動稱為GRIZZLY STEPPE,並直指俄羅斯情報部門。
來自倫敦國王學院的安全研究人員在SAS 2017年會議上介紹了Turla APT組織的前身是90年代著名網絡間諜組織Moonlight Maze 。
國外安全廠商ESET在2018年披露了BlackEnergy的繼任者,命名為GreyEnergy[17],一個專注於工業系統的APT組織。
從2019年上半年的公開披露情況來看,除了APT28以外,其他三個組織的公開披露活動有所減少。而APT28 組織的主要活動似乎更多旨在干擾其目標國家的選舉活動。
安全廠商披露在3 月捕獲的一份在野誘餌文檔,其使用的內容以烏克蘭總統競選人Volodymyr Zelenskiy和烏俄問題為誘導,其正值烏克蘭總統競選時機。
國外安全廠商也披露從2018 年中以來,APT28 組織針對歐洲的網絡間諜活動大幅增加,以及針對歐洲民主機構的攻擊,其也可能與2019 年的歐盟議會選舉有關。
從戰術和技術角度來看,似乎從2018 年起APT28 更傾向於使用多種語言開發的Zebrocy 攻擊組件並用於魚叉攻擊後的第一階段的載荷植入。其模塊可能由Delphi,C#,Python,AutoIt甚至Go。卡巴在最新的研究報告中將其作為獨立的組織進行追踪。而在ESET 對Turla 最新的研究報告中,其更傾向於基於定制化的開源項目(如Posh-SecMod)和腳本,並加載其過去的自定義武器庫。
我們並不認為這些改變是其攻擊能力削弱的體現,在2018 年曝光的VPNFilter 事件和Lojax rootkit 都被懷疑與東歐APT 組織有關。我們推測攻擊組織做出積極的改變旨在提高攻擊的效率和效果,並著力於混淆和隱藏攻擊活動的來源,以及對抗目標網絡的防禦機制。
五、中東
中東地區,其擁有全球最為複雜的政治、外交和軍事局勢,多年以來,充斥著戰亂、恐怖主義、軍事行動以及頻繁的網絡間諜活動和情報活動。在此背景下,網絡攻擊活動往往作為刺探對手情報,監控人員輿論,配合間諜活動和情報活動甚至製造虛假言論和虛假新聞的最有效方式之一。而在中東地區,公開披露最多的屬據稱為伊朗政府背景的相關網絡攻擊活動,這也源於伊朗與以美國為首的西方國家的政治和外交關係相左的原因。
我們在這裡列舉了近半年來中東地區發生的一些重點事件:
多家安全廠商披露大規模的DNS劫持活動,並稱疑似與伊朗有關[26 27 28];
卡巴多次披露FruityArmor(又稱Stealth Falcon)使用的多個Windows提權0day漏洞(CVE-2019-0797、CVE-2018-8453、CVE-2018-8611、CVE-2018-8589);
據稱是伊朗背景的多個APT組織發生內部資料和網絡武器洩露;
美、伊的外交形式急劇惡化,伊朗政府從情報活動、軍事活動等多方面採取更加強硬的姿態,包括破壞CIA在其情報網絡、擊落無人機等,美國回應將對其採取網絡軍事行動。
我們在這裡結合上半年洩露的據稱是伊朗黑客組織的資料和網絡武器對其近年來主要活躍的APT組織進行總結。
今年上半年發生了多起針對中東地區APT 組織的相關資料洩露和拍賣事件,通過洩露資料,再一次幫助我們將虛擬的APT 組織與現實世界的人員、機構及國家聯繫到一起。
APT34,又稱OilRig ,一個最早從2014年起就開始活躍的APT組織,其被公開披露聲稱與伊朗情報與國家安全部(Iranian Ministry of Intel ligence)有關。在過去,其主要活躍地
區為中東,並針對如金融,政府,能源,化學和電信等多個行業實施攻擊。
洩露的網絡武器庫:
另一個被公開認為和伊朗有關的APT 組織MuddyWater,最早由Palo Alto Networks Unit 42 於2017 年11月發現並命名,並迅速成為中東地區非常活躍的APT組織之一,其主要使用Powershell 後門POWERSTATS,以及名為MuddyC3 的控制後台。
有黑客成員公開聲稱MuddyWater 和另一個APT組織APT33 關聯到同一個名為Nima Nikjoo 的人員,並將其相關資料進行拍賣。
六、北美
結合公開披露資料,作為網絡空間能力的強國,歷史曝光的震網事件,方程式組織都被認為與北美情報機構有關。
從2013 年以來,相關情報機構的多次洩密事件展示了其完備的網絡空間攻擊體系和自動化攻擊武器,並暴露了其將中國作為其實施全球網絡間諜活動的重要目標之一的相關證據。
在2018 和2019 年的美國國防部網絡戰略情報報告中,都將中國和俄羅斯作為其重要的戰略對手。
在2018 年的網絡空間戰略摘要中提到了“Defend forward”概念,旨在從源頭上破壞或製止惡意網絡空間活動,並且同年美國政府取消了第20 號總統政策指令,取消了針對美國對手的進攻性網絡攻擊批准程序的一些限制。這些都表明美國作為超級網絡強國正在積極進入網絡空間的備戰狀態。而在近期紐約時報也報導了美國正在加強針對俄羅斯電網的網絡入侵,展示了其在網絡空間攻防中採取了更加主動積極的姿態。
從歷史洩露的方程式資料分析,其具備的網絡攻擊能力是全方位的,下圖是根據洩露NSA 資料和公開情報整理的其網絡武器及攻擊技術所覆蓋的領域和目標。