发布时间:2021-11-11 14:31:47,来源:互联网安全内参
随着网络攻击已经成为强大组织的攻击武器库中的常见工具,一个基于提供网络攻击服务、工具甚至培训潜在客户的行业已经发展起来。这一行业的主要参与者之一是所谓的“网络雇佣军”——顾名思义,为政府、犯罪组织甚至企业等客户提供不同种类的基于互联网的产品和服务的团体或个人。从理论上讲,这些网络雇佣军可以被用于非恶意目的,比如帮助政府打击恐怖主义和有组织犯罪。然而,事实是,他们的服务最终被用来攻击客户的对手。趋势科技(Trend Micro)11月10日发布研究报告称,发现了一个新的俄语网络雇佣军组织,该组织一直在攻击从俄罗斯企业到记者和政客的各种目标。
2020年3月,与俄罗斯情报机构有关的黑客组织“兵风暴(Pawn Storm)”(又称“Fancy Bear”和“APT28”)的长期被攻击目标表示,黑客用钓鱼邮件攻击了他的妻子。研究人员发现了该组织。趋势科技发现这些指标与“兵风暴”不符,并将攻击归咎于另一个名为“Void Balaur”的俄语组织。
据趋势科技(Trend Micro)称,与APT28不同,Void Balaur似乎是一个独立组织,它愿意侵入各种目标的电子邮件,从俄罗斯的航空公司到乌兹别克斯坦的人权活动人士。
“他们的目标真是喜忧参半,”首席研究员费克·哈克伯德在一次采访中说。“看起来有很多不同的客户在使用它们,这符合我们的印象,即它们实际上是一个网络雇佣兵,任何人都可以雇佣。”
这项研究突显了日益增长且不受约束的网络雇佣军行业,这一行业引发了政治和人权方面的担忧。研究人员警告称,虽然各国可能将网络雇佣军服务视为国家资产,但雇佣黑客组织很容易针对本国。
俄罗斯黑客,比如勒索软件组织,在该地区活动往往不受惩罚,因为他们与俄罗斯政府达成了不攻击俄罗斯目标的默契。哈克伯德说,在盗窃和出售俄罗斯个人数据方面,这些协议没有那么严格。俄罗斯人的个人数据在俄语论坛上激增。
到目前为止,TrendMicro的研究人员已经发现了该组织的3500多个目标。黑客主要集中在能够提供大量个人数据的组织,包括移动运营商和体外受精诊所。
哈克伯德在报告中写道:“我们的研究揭示了一个清晰的画面:Void Balaur追踪并攻击企业和个人最私密的个人数据,然后将这些数据出售给任何愿意为此付费的人。”
Void Balaur组织的受害者
该组织在讲俄语的地下论坛上以“Rockethack”的名义发布广告,出售的数据包括俄罗斯护照信息、俄罗斯机场乘客数据、国际刑警组织(Interpol)记录和俄罗斯税务记录。趋势科技将黑客命名为Void Balaur,这是一个东欧民间传说中的多头怪兽,象征着他们被雇佣的许多目标。
(Void Balaur从2020年开始在其网站上提供一些产品)
通过将基础设施、主机名和电子邮件地址等指标与eQualit的外部报告中发现的信息相关联,研究人员能够确定威胁参与者的受害者的性质。报告提到了对人权活动人士、记者、媒体网站和政治新闻网站的攻击。Void Balaur也不反对攻击更高调的目标,因为该组织还攻击了一个情报机构的前负责人,活跃的政府部长,东欧国家的国民议会成员,甚至总统候选人。
这可能不是一次性的攻击,而是一个更大的战役的一部分,有多个战线。此外,虽然威胁行动者的许多活动似乎是出于经济动机,但其动机可能是希望在受害者之间造成破坏和冲突。
Void Balaur组织的攻击工具
根据国际特赦组织的报告,Void Balaur也使用了看似简单但高度专业化的恶意软件。其中一种名为Z*Stealer的恶意软件旨在收集各种类型的软件的证书,如即时通讯应用程序、电子邮件客户端、浏览器和远程桌面协议(RDP)程序。此外,它还能够窃取加密货币钱包。
DroidWatcher是该组织在其活动中使用的另一个恶意软件。与Z*Stealer类似,它也用于信息盗窃,同时增加了间谍和远程跟踪功能,允许用户访问敏感位置和通信信息。
TrendMicro还以“中等的信心”将Void Balaur与针对乌兹别克斯坦记者和活动人士的间谍活动联系在一起,这一活动可以追溯到Void Balaur于2017年首次在网上发布广告的一年前。
Void Balaur组织已引起联合国的关注
联合国专家周五发布了一份报告,对“网络空间中与雇佣军有关的活动”提出警告,并敦促各国不要招募、资助和培训此类个人。
如何防范Void Balaur?
像“Void Balaur”这样的网络雇佣军组织拥有大量的工具和资源,可以对高调的目标发动攻击。趋势科技的研究报告建议实施如下安全最佳实践,可以帮助减轻攻击的影响,甚至阻止攻击的成功。
选择优先考虑安全性并有强大安全协议的电子邮件提供商。
在访问电子邮件和社交媒体账户时使用双因素认证(2FA),最好使用专为2FA设计的应用程序或设备。
确保用于传输敏感信息的应用程序对通信进行端到端加密。
删除旧的消息,以减少敏感数据落入恶意人员手中的机会。一些手机应用程序有一项设置,可以在一定时间后自动删除聊天记录。
对所有机器使用驱动器加密。
在不使用时,关掉储存重要数据的工作和个人电脑
考虑在涉及敏感信息或对话的通信中使用加密系统。
参考资源
1、https://www.cyberscoop.com/void-balaur-russian-cyber-espionage/
2、https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/the-far-reaching-attacks-of-the-void-balaur-cybermercenary-group