我不生产钱,但我是金钱的搬运工,你见过专门针对ATM机的黑客吗?有些黑客为了钱,有些黑客则是“爱国”,但别国很生气,你爱国可以,别朝我们国家的核工业伸出黑手啊!还有些黑客口味很重啊,保险、咨询、采矿、炼钢、零售、建筑公司……一个都不放过。
新加坡网络安全公司Group-IB的研究员很惆怅,挖出了一堆在2018年下半年与2019年上半年期间,表现得十分没有“节操”的黑客组织。
他们的渗透方法变得丰富多样,网络攻击更是直接走到了明处。
新对手RedCurl
2019年,一个名为RedCurl的新晋黑客组织开始崭露头角,它们既当间谍又搞金融盗窃,而且攻击范围很广,保险、咨询、采矿、炼钢、零售与建筑公司一个也跑不了。Group-IB表示,RedCurl背后的黑客技术超群,非常难追查。RedCurl能一直隐藏自己主要还是因为它们用合法服务与自己的命令与控制(C2)服务器进行通信。
为了行不法之事,黑客非常依赖自定义的木马。得手后它们第一个任务就是窃取受害者的重要文档,随后安装XMRIG借你的算力挖矿(门罗币)。
当然,RedCurl也并非所有文档照单全收,它们更喜欢协议、付款与合同等信息。
与以往粗放式的攻击不同,RedCurl这个对手在钓鱼攻击时手法可是相当专业。它们会针对不同的受害者定制专用信息,这样才能有个更高的成功率。
眼下,RedCurl的真面目还不够清晰,没人知道它们到底是网络犯罪组织,还是某国家组织的攻击小队。不过,Group-IB还是试图通过查看工具、技术和手法来寻找蛛丝马迹。
RedCurl的大部分受害者都在东欧,但北美也有一家公司中招。从诱饵文件所用的预言以及黑客组织使用的电邮服务来看,它们中至少有一个人是说俄语的。
一切向钱看
Group-IB揪出了5个针对金融机构的活跃网络犯罪组织,而它们中有三个(Cobalt, Silence, MoneyTaker)都说俄语,同时这些组织也是用木马控制ATM机最熟练的。
另外两个组织Lazarus 与SilentCard 则来自肯尼亚,它们专攻非洲银行,虽然技术一般,但玩得相当成功。
专门针对银行的黑客组织
诚然,网络上威胁金融领域的犯罪组织还很多,但Group-IB 认为这5个能带来非常严重的破坏。
这些组织通常会在被攻破的网络上花费大量时间,以学习其中的诀窍,这样它们就能像被监控的受害者一样管理金融业务了。
Group-IB 绘制的网络攻击地图显示,无论得手与否,2018年下半年开始这些组织就进入了活跃期,它们几乎每个月都有大动作。
▲Group-IB 绘制的网络攻击地图
目前我们还没有关于SilentCard 的详细资料,但研究人员判断该组织就在肯尼亚本地运营,它们已经成功完成了两次盗窃。
借助仅有的恶意软件样本,Group-IB 猜测SilentCard 攻击公司网络时用了一种自行研发的控制设备。
有国家撑腰的黑客
除了以上这些网络毒瘤,有政府在背后撑腰的黑客们(也被称为APT 组织)最近几年也很忙。Group-IB 在报告中就列出了38个活跃的组织,其中有7个是今年新冒出来的网络间谍组织。