高级持续性威胁(APT)与网络犯罪团伙间的持续互惠关系
网络安全世界中的两大威胁是国家支持的高级持续性威胁(APT)和网络罪犯,其深入世界各个角落的基础设施和圈子也就是所谓的暗网。APT组织和网络犯罪团伙向来井水不犯河水,各自都有自己的目标、人员和手段。但是近些年来,二者之间出现了一些交叉和重叠。
从进入公众视野之日起,APT就一直在用通常在暗网上售卖的工具。具体而言,许多APT事件中都出现了Poison Ivy等远程访问木马(RAT)的身影。这种现象非常普遍,以致于许多人对“APT”一词本身提出了质疑,因为RAT并不被认为是“高级的”(事实上,APT中的“高级”指的是黑客组织背后的基础设施,即民族国家)。APT事件常以数据渗漏为目标,多年来,APT组织使用暗网上各种网络犯罪工具达成此目标,二者并不矛盾。
而另一方面,网络犯罪团伙也借鉴了APT的一些战术。骗子常常盯上金融机构的客户,就是因为客户被认为是金融机构整个安全链条中最弱的一环。他们根本不去尝试突破银行的安全网络,而是采用网络钓鱼攻击来染指其受害者。其他企业沦为网络犯罪的受害者,则是因为网络犯罪团伙黑进了他们的系统(比如电子商务网站),从而盗走了各种凭证。但突破银行的系统就被认为是无法企及的目标,绝大多数网络犯罪团伙都不会去尝试。
不过,在某种程度上,网络犯罪团伙明白,如果APT使用暗网工具访问企业网络取得了巨大成功,那他们自己也能做到。一些网络犯罪团伙已经采用了APT的战术,使用鱼叉式网络钓鱼发送感染了恶意软件的附件,通过恶意附件来获取银行IT系统的访问权。网络安全公司Group-B称,名为Cobalt的网络犯罪团伙利用银行系统权限,向ATM机远程植入了恶意软件,造成银行ATM机自动吐钞(所谓Jackpotting攻击)。
后来的事件中,APT的目标逐渐开始网络犯罪团伙化。如果说以前APT的主要目标是数据渗漏,为了窃取知识产权和情报,那最近一些APT组织入侵各大企业就开始是为财了。在这方面最臭名昭著的APT组织是Lazarus,据说该组织与朝鲜有关。一系列攻击中都出现了Lazarus的身影,包括索尼影业数据泄露事件和针对韩国的多起DDoS攻击事件。尤为值得一提的是,该组织还与2016年孟加拉央行网络攻击事件有关。这起事件中,作案者发起的非法SWIFT网络转账价值近十亿美元,不过,三十五条转账指令中仅五条成功了。此外,Lazarus与WannaCry勒索软件也有关系,被认为是2017年5月那波全球性攻击的幕后黑手。WannaCry勒索软件使用了最初由NSA研发的被泄漏洞利用程序,感染Windows主机后会加密其上文件并发出勒索信,受害者不支付赎金就无法解锁文件。这波全球性攻击中,150多个国家的30多万台计算机遭感染。
将作案重点转向经济收益的APT并非仅仅有据称归属朝鲜的Lazarus一家。各家网络安全公司的报告宣称,伊朗政府支持的黑客组织目前盯上了以色列公司。研究人员声称,尽管他们的目标表面上看似乎是为了求财,但这些攻击背后真正的原因是政治性的。2020年11月20日,名为Black Shadows的黑客组织攻击了以色列保险公司Shirbit。他们试图勒索这家保险公司,警告称如果不付款就曝光被盗数据。Shirbit拒绝付款,而数据随后也确实泄露了。这家公司遭受了直接经济损失,并且面临集体诉讼。安全供应商SentinelOne表示,尽管该事件的性质是网络犯罪,但所有这些操作都是用来掩盖伊朗针对以色列的各项行动。这起事件,以及针对KLS Capital等以色列公司的多起其他事件,都是APT攻击,是两国间当前冷战的一部分。ClearSky Cyber Security指出,这一行动中的其他重磅攻击落在了Amital和Habana Labs身上。
尽管基础设施、目标和手段存在差异,恶意黑客组织的工作环境并非真空。他们会互相取经。网络威胁世界中所有恶意团伙都这样。关注网络犯罪活动的研究人员也应该注意APT空间中发生的事情,因为这类事情最终可能会渗透到犯罪世界。反过来也一样,网络犯罪团伙使用的工具、创新战术和方法,最终也会落入政府支持的黑客组织手中。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
DB-Engines 公布 2021 年度数据库:Snowflake
DB-Engines 宣布 Snowflake 获得“2021 年度数据库”称号。 DB-Engines 是全球知名的数据库流行度排行榜网站,其评选年度数据库的标准为:计算数据库当前最新流行度分数(2022 年 1 月)的同比增长量,分数增长最多的即为年度数据库。 年度 DBMS:Snowflake Snowflake 平台是一个完全托管的云服务,它整合了数据仓库、数据集市和数据湖,并支持针对这些方面运行分析。DB-Engines 称,Snowflake 不仅是第一个获得“年度 DB-Engines DBMS”奖项的 SaaS 平台,还是第一个进入该奖项前三名的以数据仓库为中心的产品。 Snowflake 于 2014 年公开推出,并将数据仓库提升到了一个新的水平。在多轮风险投资的支持下,它不断扩展平台和服务。2020 年 9 月,Snowflake 正式上市,也是迄今为止最大的软件 IPO 上市公司。 DB-Engines 追踪了 Snowflake 自 2016 年 7 月以来的流行度分数,当时它的初始流行度分数是 0.35 分,在 2020 年 8 月增加到 2.59 分。目前的...
- 下一篇
戳穿五大和七大常见的网络安全神话
前段时间,在整理CISA官网内容时,翻译整理过一篇过关于揭穿网络神话的文章,今天我们根据一个安全网站,再讨论一下安全神话。当然,这里讨论的“神话”一般是一种“误区”。尽管人们对网络安全的认识不断提高,但关于它的许多神话仍然普遍存在。这些误解可能是阻碍有效提升网络安全的障碍。因为它似是而非,却极易诱惑误导人。所以,确保业务安全的第一步是将虚假信息、神话和谣言与真相区分开来。 CISA给出的如下神话: 有哪些常见的神话,背后的真相是什么? (1) 误解:防病毒软件和防火墙是 100% 有效的。 真相:防病毒软件和防火墙是保护信息的重要元素。但是,这些元素都不能保证保护免受攻击。将这些技术与良好的安全习惯相结合是降低风险的最佳方式之一。 (2) 误解:一旦计算机上安装了软件,就不必再担心了。 真相:供应商可能会发布更新版本的软件以解决问题或修复漏洞。应该尽快安装更新;有些软件甚至提供了自动获取更新的选项。确保防病毒软件具有最新的病毒定义尤为重要。 (3) 误解:机器上没有任何重要的东西,所以您不需要保护它。 真相:对重要事项的看法可能与攻击者的看法不同。如果您的计算机上有个人或财务数据,攻击...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- CentOS8安装MyCat,轻松搞定数据库的读写分离、垂直分库、水平分库
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- Linux系统CentOS6、CentOS7手动修改IP地址
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- Hadoop3单机部署,实现最简伪集群
- CentOS7安装Docker,走上虚拟化容器引擎之路
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- CentOS7编译安装Gcc9.2.0,解决mysql等软件编译问题