我不生產錢，但我是金錢的搬運工，你見過專門針對ATM 機的黑客嗎？有些黑客為了錢，有些黑客則是“愛國”，但別國很生氣，你愛國可以，別朝我們國家的核工業伸出黑手啊！還有些黑客口味很重啊，保險、諮詢、採礦、煉鋼、零售、建築公司……一個都不放過。

新加坡網絡安全公司Group-IB 的研究員很惆悵，挖出了一堆在2018 年下半年與2019 年上半年期間，表現得十分沒有“節操”的黑客組織。

他們的滲透方法變得豐富多樣，網絡攻擊更是直接走到了明處。

新對手 RedCurl

2019 年，一個名為RedCurl 的新晉黑客組織開始嶄露頭角，它們既當間諜又搞金融盜竊，而且攻擊範圍很廣，保險、諮詢、採礦、煉鋼、零售與建築公司一個也跑不了。Group-IB 表示，RedCurl 背後的黑客技術超群，非常難追查。RedCurl 能一直隱藏自己主要還是因為它們用合法服務與自己的命令與控制（C2）服務器進行通信。

為了行不法之事，黑客非常依賴自定義的木馬。得手後它們第一個任務就是竊取受害者的重要文檔，隨後安裝XMRIG 借你的算力挖礦（門羅幣）。

當然，RedCurl 也並非所有文檔照單全收，它們更喜歡協議、付款與合同等信息。

與以往粗放式的攻擊不同，RedCurl 這個對手在釣魚攻擊時手法可是相當專業。它們會針對不同的受害者定制專用信息，這樣才能有個更高的成功率。

眼下，RedCurl 的真面目還不夠清晰，沒人知道它們到底是網絡犯罪組織，還是某國家組織的攻擊小隊。不過，Group-IB 還是試圖通過查看工具、技術和手法來尋找蛛絲馬跡。

RedCurl 的大部分受害者都在東歐，但北美也有一家公司中招。從誘餌文件所用的預言以及黑客組織使用的電郵服務來看，它們中至少有一個人是說俄語的。

一切向錢看

Group-IB 揪出了5 個針對金融機構的活躍網絡犯罪組織，而它們中有三個（Cobalt, Silence, MoneyTaker）都說俄語，同時這些組織也是用木馬控制ATM 機最熟練的。

另外兩個組織Lazarus 與 SilentCard 則來自肯尼亞，它們專攻非洲銀行，雖然技術一般，但玩得相當成功。

專門針對銀行的黑客組織

誠然，網絡上威脅金融領域的犯罪組織還很多，但Group-IB 認為這5 個能帶來非常嚴重的破壞。

這些組織通常會在被攻破的網絡上花費大量時間，以學習其中的訣竅，這樣它們就能像被監控的受害者一樣管理金融業務了。

Group-IB 繪製的網絡攻擊地圖顯示，無論得手與否，2018 年下半年開始這些組織就進入了活躍期，它們幾乎每個月都有大動作。

Group-IB 繪製的網絡攻擊地圖

目前我們還沒有關於SilentCard 的詳細資料，但研究人員判斷該組織就在肯尼亞本地運營，它們已經成功完成了兩次盜竊。

借助僅有的惡意軟件樣本，Group-IB 猜測SilentCard 攻擊公司網絡時用了一種自行研發的控制設備。

有國家撐腰的黑客

除了以上這些網絡毒瘤，有政府在背後撐腰的黑客們（也被稱為APT 組織）最近幾年也很忙。Group-IB 在報告中就列出了38 個活躍的組織，其中有7 個是今年新冒出來的網絡間諜組織。

雖然有些新組織去年才露了馬腳，但它們其實很早就開始活動了，最早甚至可以追溯到2011 年。

有國家撐腰的活躍黑客組織

其中的典型之一就是Windshift， DarkMatter 去年8 月份還專門對其工具與策略進行了分析。不過，它們2017 年就開始當網絡間諜，針對中東地區政府僱員和關鍵基礎設施刺探情報了。

Blue Mushroom（別名為Sapphire Mushroom 和 APT-C-12）則是個2011 年就正式啟動的黑客組織，但去年年中它們的隱形模式才被打破。這個組織更狠，它們專攻核工業與科學研究機構。

Gallmaker 也是2018 年才被抓住小辮子的APT 組織，賽門鐵克認為2017 年年末它們就正式成軍了。據悉，Gallmaker 主要依靠自製工具對政府和軍事目標發動攻擊。

今年年初奇虎360 的一份報告則顯示，名為APT-C-36（亦稱Blind Eagle）的南美黑客組織多次參與了重要公司與政府機構的商業機密盜竊。

名為Whitefly 的黑客組織則主要盯上了新加坡的醫療、媒體、通訊與工程公司，它們2017 年就開始活動，去年7 月因為攻擊新加坡最大的公共衛生機構而“成名”，當時有150 萬名病人的資料被竊取。

Hexane 與Lyceum 則只對中東的關鍵基礎設施感興趣，今年8 月份它們才正式脫離隱身狀態。SecureWorks 最近就公佈了該組織進行黑客攻擊時的具體技術手法。

第七家APT 組織TajMahal 現在才只是剛剛露了個頭，關於它們的資料還很少。卡巴斯基發現它們的攻擊框架相當高級，單是一個套件就包含了80 個模組，TajMahal 正是用它攻破了中亞某外交機構的防禦。

網絡戰升級

對政治領袖和軍事行動來說，網絡安全已經成了木筒上那塊板子，任誰也不敢慢待。從現有形勢來看，黑客們已經脫掉了隱形衣，它們開始光著膀子上陣廝殺了。為此，政府機構也不得不加緊數字工具的升級，以防出現不測。

至於借網絡攻擊對敵人進行報復最近更是成了日常手段，比如今年夏天美國對伊朗武器系統的攻擊（報復伊朗擊落美軍無人機）。

Group-IB 公司CTO Dmitry Volkov 指出，2018 年讓我們認識到，網絡世界面對旁路攻擊是多麼的脆弱，而2019 年的主題則是網絡空間上的秘密軍事行動。