我不生產(chǎn)錢，但我是金錢的搬運(yùn)工，你見過專門針對 ATM 機(jī)的黑客嗎？

有些黑客為了錢，有些黑客則是“愛國”，但別國很生氣，你愛國可以，別朝我們國家的核工業(yè)伸出黑手??！

還有些黑客口味很重啊，保險(xiǎn)、咨詢、采礦、煉鋼、零售、建筑公司。。。。一個(gè)都不放過。

新加坡網(wǎng)絡(luò)安全公司 Group-IB 的研究員很惆悵，挖出了一堆在2018 年下半年與 2019 年上半年期間，表現(xiàn)得十分沒有“節(jié)操”的黑客組織。

他們的滲透方法變得豐富多樣，網(wǎng)絡(luò)攻擊更是直接走到了明處。

新對手 RedCurl

2019 年，一個(gè)名為 RedCurl 的新晉黑客組織開始嶄露頭角，它們既當(dāng)間諜又搞金融盜竊，而且攻擊范圍很廣，保險(xiǎn)、咨詢、采礦、煉鋼、零售與建筑公司一個(gè)也跑不了。Group-IB 表示，RedCurl 背后的黑客技術(shù)超群，非常難追查。RedCurl 能一直隱藏自己主要還是因?yàn)樗鼈冇煤戏ǚ?wù)與自己的命令與控制（C2）服務(wù)器進(jìn)行通信。

為了行不法之事，黑客非常依賴自定義的木馬。得手后它們第一個(gè)任務(wù)就是竊取受害者的重要文檔，隨后安裝 XMRIG 借你的算力挖礦（門羅幣）。

當(dāng)然，RedCurl 也并非所有文檔照單全收，它們更喜歡協(xié)議、付款與合同等信息。

與以往粗放式的攻擊不同，RedCurl 這個(gè)對手在釣魚攻擊時(shí)手法可是相當(dāng)專業(yè)。它們會(huì)針對不同的受害者定制專用信息，這樣才能有個(gè)更高的成功率。

眼下，RedCurl 的真面目還不夠清晰，沒人知道它們到底是網(wǎng)絡(luò)犯罪組織，還是某國家組織的攻擊小隊(duì)。不過，Group-IB 還是試圖通過查看工具、技術(shù)和手法來尋找蛛絲馬跡。

RedCurl 的大部分受害者都在東歐，但北美也有一家公司中招。從誘餌文件所用的預(yù)言以及黑客組織使用的電郵服務(wù)來看，它們中至少有一個(gè)人是說俄語的。

一切向錢看

Group-IB 揪出了 5 個(gè)針對金融機(jī)構(gòu)的活躍網(wǎng)絡(luò)犯罪組織，而它們中有三個(gè)（Cobalt, Silence, MoneyTaker）都說俄語，同時(shí)這些組織也是用木馬控制 ATM 機(jī)最熟練的。

另外兩個(gè)組織 Lazarus 與 SilentCard 則來自肯尼亞，它們專攻非洲銀行，雖然技術(shù)一般，但玩得相當(dāng)成功。

專門針對銀行的黑客組織

誠然，網(wǎng)絡(luò)上威脅金融領(lǐng)域的犯罪組織還很多，但 Group-IB 認(rèn)為這 5 個(gè)能帶來非常嚴(yán)重的破壞。

這些組織通常會(huì)在被攻破的網(wǎng)絡(luò)上花費(fèi)大量時(shí)間，以學(xué)習(xí)其中的訣竅，這樣它們就能像被監(jiān)控的受害者一樣管理金融業(yè)務(wù)了。

Group-IB 繪制的網(wǎng)絡(luò)攻擊地圖顯示，無論得手與否，2018 年下半年開始這些組織就進(jìn)入了活躍期，它們幾乎每個(gè)月都有大動(dòng)作。

Group-IB 繪制的網(wǎng)絡(luò)攻擊地圖

目前我們還沒有關(guān)于 SilentCard 的詳細(xì)資料，但研究人員判斷該組織就在肯尼亞本地運(yùn)營，它們已經(jīng)成功完成了兩次盜竊。

借助僅有的惡意軟件樣本，Group-IB 猜測 SilentCard 攻擊公司網(wǎng)絡(luò)時(shí)用了一種自行研發(fā)的控制設(shè)備。

有國家撐腰的黑客

除了以上這些網(wǎng)絡(luò)毒瘤，有政府在背后撐腰的黑客們（也被稱為 APT 組織）最近幾年也很忙。Group-IB 在報(bào)告中就列出了 38 個(gè)活躍的組織，其中有 7 個(gè)是今年新冒出來的網(wǎng)絡(luò)間諜組織。

雖然有些新組織去年才露了馬腳，但它們其實(shí)很早就開始活動(dòng)了，最早甚至可以追溯到 2011 年。

有國家撐腰的活躍黑客組織

其中的典型之一就是 Windshift， DarkMatter 去年 8 月份還專門對其工具與策略進(jìn)行了分析。不過，它們 2017 年就開始當(dāng)網(wǎng)絡(luò)間諜，針對中東地區(qū)政府雇員和關(guān)鍵基礎(chǔ)設(shè)施刺探情報(bào)了。

Blue Mushroom（別名為 Sapphire Mushroom 和 APT-C-12）則是個(gè) 2011 年就正式啟動(dòng)的黑客組織，但去年年中它們的隱形模式才被打破。這個(gè)組織更狠，它們專攻核工業(yè)與科學(xué)研究機(jī)構(gòu)。

Gallmaker 也是 2018 年才被抓住小辮子的 APT 組織，賽門鐵克認(rèn)為 2017 年年末它們就正式成軍了。據(jù)悉，Gallmaker 主要依靠自制工具對政府和軍事目標(biāo)發(fā)動(dòng)攻擊。

今年年初奇虎 360 的一份報(bào)告則顯示，名為 APT-C-36（亦稱 Blind Eagle）的南美黑客組織多次參與了重要公司與政府機(jī)構(gòu)的商業(yè)機(jī)密盜竊。

名為 Whitefly 的黑客組織則主要盯上了新加坡的醫(yī)療、媒體、通訊與工程公司，它們 2017 年就開始活動(dòng)，去年 7 月因?yàn)楣粜录悠伦畲蟮墓残l(wèi)生機(jī)構(gòu)而“成名”，當(dāng)時(shí)有 150 萬名病人的資料被竊取。

Hexane 與 Lyceum 則只對中東的關(guān)鍵基礎(chǔ)設(shè)施感興趣，今年 8 月份它們才正式脫離隱身狀態(tài)。 SecureWorks 最近就公布了該組織進(jìn)行黑客攻擊時(shí)的具體技術(shù)手法。

第七家 APT 組織 TajMahal 現(xiàn)在才只是剛剛露了個(gè)頭，關(guān)于它們的資料還很少?？ò退够l(fā)現(xiàn)它們的攻擊框架相當(dāng)高級(jí)，單是一個(gè)套件就包含了 80 個(gè)模組，TajMahal 正是用它攻破了中亞某外交機(jī)構(gòu)的防御。

網(wǎng)絡(luò)戰(zhàn)升級(jí)

對政治領(lǐng)袖和軍事行動(dòng)來說，網(wǎng)絡(luò)安全已經(jīng)成了木筒上那塊板子，任誰也不敢慢待。從現(xiàn)有形勢來看，黑客們已經(jīng)脫掉了隱形衣，它們開始光著膀子上陣廝殺了。為此，政府機(jī)構(gòu)也不得不加緊數(shù)字工具的升級(jí)，以防出現(xiàn)不測。

至于借網(wǎng)絡(luò)攻擊對敵人進(jìn)行報(bào)復(fù)最近更是成了日常手段，比如今年夏天美國對伊朗武器系統(tǒng)的攻擊（報(bào)復(fù)伊朗擊落美軍無人機(jī)）。

Group-IB 公司 CTO Dmitry Volkov 指出，2018 年讓我們認(rèn)識(shí)到，網(wǎng)絡(luò)世界面對旁路攻擊是多么的脆弱，而 2019 年的主題則是網(wǎng)絡(luò)空間上的秘密軍事行動(dòng)。