与勒索软件组织类似的被盗数据市场运营商Marketo的专访实录

编者注：今年早些时候，出现了一个名为“Marketo”并将自身定位为“被盗”数据市场运营商的网站。尽管Marketo并非勒索软件组织，但其关键策略却似乎与之相似。据悉，其运营模式十分简单，首先，站点管理员列出即将成为受害者的清单，然后附上各种证据(通常是可下载的小型文档)。如果受害企业不与黑客合作，则后者将在该站点上泄露这些数据，以免费下载的方式提供或仅向VIP会员开放。

8月下旬，该组织对外宣称，它正在出售日本科技公司富士通的机密数据;本月早些时候，有报道称，从弗吉尼亚军事事务部窃取的数据也可以在该网站上购买。但该组织的勒索行为却要比许多勒索软件运营商更激进——据悉，他们会联系受害者的竞争对手和执法部门，迫使受害组织支付数据费用。

尽管尚不清楚Marketo是如何融入更广泛的网络犯罪生态系统的，但Recorded Future的Insikt Group最近发现，在Conti勒索软件勒索博客和Marketo网站上都公布了同一个受害者——Conti勒索软件团伙采取与Marketo不同的方式(可能包括将数据出售给出价最高的人)威胁受害者以实现被盗数据货币化。

Recorded Future威胁情报分析师Dmitry Smilyanets本月与Marketo的一名代表，就该组织的策略和违法方式进行了交谈。完整采访内容如下：

Dmitry Smilyanets(以下简称DS)：您将Marketo定位为泄露数据市场运营商，那么您与经营勒索博客网站的多个勒索软件家族有何不同?

Mannus Gott(Marketo代表)：我们的根本区别在于我们不是勒索软件组织。此外，我们是该行业中第一个以“拒绝勒索软件，接受审计”原则开展工作的人。除了追逐利益之外，我们还受到所谓的“真正的黑客”——寻求知识、不寻常的举动和策略，寻求优雅的解决方案，推进技术进步以及发展信息安全领域——等因素驱动。在我们的活动中，除了利润和士气外，我们还在寻求知识和保护人们的数据——人们将自己的数据托付给信任的大型企业，而它们却不惜一切代价地利用这些数据盈利，没有真正地保护它们。

我们是为了数据的安全，并提醒人们关注数据安全，尽管方式比较激进。这一切都能够在我们的清单，我们的规则和行动中体现出来。和媒体一样，我们是第一个创建官方代表的组织。顺便说一句，其他受保护网络(如ZeroNet、FreeNet、Mastodon等)很快也会有官方代表。

DS：研究人员将您与网络勒索的先驱TheDarkOverlord进行了比较。您与他们存在任何关系吗?

Marketo：我们知道该组织的行为，所以也为此感到受宠若惊。然而，我们与他们没有共同之处，我们彼此也不认识。事实上，也许有一天我们会见面。但你永远不会知道。

DS：您参与网络犯罪时多大?您自己是黑客吗?

Marketo：这是一个有趣的问题。不过，我不能告诉你我的年龄，也不能告诉你我加入Marketo的日期，这可能会暴露我的身份。与一个戴着面具的人交谈不是会更有意思吗。而且，你是如何定义“黑客”的?这个词的本意意味着寻找最佳的、不寻常的解决方案，这代表着技术创造力。

黑客不一定是罪犯，但罪犯可以是黑客，只是这样的罪犯应该被称为“骇客”。黑客是具有黑客精神、学习精神和IT行业风采的人。那么是的，我是一名黑客，但这并不意味着我个人参与了攻击或其他事情。我可以成为媒体的代言人，我可以参与攻击，或者我什么也做不了——但我会继续做一个黑客。所以让我们使用正确的命名法，你同意吗?

DS：Marketo是一群人，还是你一个人经营?您是否运营博客并出售被第三方黑客窃取的数据?

Marketo：回到“匿名性”问题上，我可以确认自己不能透露我们组织的结构。正如您所说，我们是该领域的先驱。也正如我之前所说，我们——意味着我们是一群人。此外，Marketo不是博客，而是一个市场。数据的购买者绝对可以是任何人。不过，我们的首要任务始终是受害者。

DS：您提到几个联邦机构是您的“合作伙伴”。这种伙伴关系是什么样的?为什么不提联邦调查局(FBI)?

Marketo：所谓“合作伙伴”其实就是我们每周都会为其提供被黑企业报告的人。这些报告中的每一个都是决定不与我们合作的企业。我们也由此判断它们是不关心员工、客户、运营商和合作伙伴数据安全的企业，并对其进行“惩罚”。虽然我们知道自己本意是在推动数据安全进展，但总有一天我们会为此付出代价。顺便说一下，FBI也在我们的清单中。

DS：在您的行为准则中，您表示不会发布或出售“关键数据”的某些部分。这些数据会如何处理?您最初为什么要创建该代码?

Marketo：也许你误解了我们的意思。正如我们在清单中所说，我们首先将数据出售给公司本身。如果公司不回购数据，则将其出售给愿意付费的人。数据仅发送给买方，我们不会发布。当组织不为我们的工作买单时，其余的关键数据(即未售出部分)将100%发布出去。这实际上是一种信息安全审计。而且部分数据是立即作为证据发布的。这就是我们的工作方式。

我们创建清单本身是为了回答常见问题，并表明我们有原则，我们将在任何情况下遵循这些原则。我们的清单涵盖了几乎所有场景并展示了我们的行为。稍后我们将添加每个场景的证明和结果，例如商业报价，这样每个人都会看到我们是如何工作的。当然，前提是团队同意这样做。我们支持透明化，我们提供服务，尽管是强制的。这就是我们的立场。

DS：您将一些泄密标记为“绝密”。您如何处理这些数据?是否有任何被盗数据具有机密属性?

Marketo：这个问题我们很有话语权。想象一下，在数据中有一个蓝图上面有一个标记——它是秘密的，它是某个公司的财产并且不能透露给第三方，它是商业秘密。在这些情况下，数据将被标记为绝密。

另一方面，即便蓝图没有标记机密状态，我们也会分析数据并得出结论。例如，一家公司丢失了F-16 战隼的机载电子数据和B-2精神轰炸机的硬翼蓝图。当然，这是机密数据，我们从许多其他公司(同样拥有机密数据)处获得了这些蓝图。

即便如此，这些公司还是无视我们的警告长达1-2个月，有些甚至口出不逊，甚至完全没有考虑公民及其国家的安全。

DS：从四月份开始，您已经赚了多少钱?您卖的最贵的数据是什么?

Marketo：很不幸，这个问题超出了我的权限，也违反了我们的保密政策。我们不是IT公司，也不发布财务报告。此外，我们向所有公司保证协商的隐私性并协议销毁数据。

DS：您称DarkSide及其声明“令人作呕”，因为“他们应该知道自己在做什么”。那您呢?您如何从法律角度看待自己?

Marketo：您误解了我的意思。我们没有说他们恶心，但他们的行为确实是。而且有一个简单的原因：他们攻击关键基础设施，这可能会导致饥饿、骚乱甚至内战。我们不支持此类行为。我们的目标是发展各国的经济，迫使他们投资于信息安全，将其提升到一个新的水平。对公司亦是如此。我们对破坏任何县的经济不感兴趣，我们不追求任何政治事业。是的，我们的行为确实违法，但我们从不交易人命。

DS：您只是出于经济动机还是这次行动有政治/黑客行为主义的一面?

Marketo：我想我已经明确表示我们有原则，我们支持黑客的原始含义，但我们不追求任何政治原因。

DS：你如何选择攻击目标?

Marketo：这是商业机密——我不能透露。

DS：您在其他地方看到过最有趣的泄密事件是什么?您的灵感是什么?

Marketo：很难选出最有趣的。我在之前的答案中几乎涵盖了最令人震惊的案例。他们可能是最有趣的。我的灵感——学习新东西。寻求知识、优雅且简单的解决方案。

DS：为什么大多数受害者都在美国?为什么亚洲、南美洲等区域几乎没有?

Marketo：美国似乎是有前途发展信息安全的一个国家。其具备敏捷的法律体系、快速的决策、全球知名的技术开发中心。而且，互联网是由美国国防部及其ARPANET项目诞生的。但这并不意味着我们不会针对世界各地的其他目标。这只不过是一个巧合。在美国，人们喜欢投保而不是防御，仅此而已。

DS：告诉我一个秘密，您的下一个目标是谁?

Marketo：您可以查看我们网站上的横幅广告。其他的不能多说，不然就没这么有趣了，对吧?