随着网络应用在各国的发展,很多在军事弱势的国家通过发展自己的网络战部队,来抗衡更为强大的对手。这些网络战部队通常以超级黑客团队的方式进行活动,悄悄窃取情报、攻击敌国重要设施等。
目前,伊朗、朝鲜等国家支持的黑客组织十分活跃,通常会引起媒体关注。
1月20日,腾讯御见威胁情报中心发布伊朗黑客组织APT34(人面马)的最新攻击报告,指出其最新的病毒样本,除了截屏、利用麦克风上传这些常见功能之外,还试图窃取加密货币钱包中的密钥。用通俗的话说,如果中毒电脑中存放比特币、莱特币这样加密币的密钥,会被病毒窃取,造成数字币失窃。
“人面马”组织武器库齐全,基础设施资源丰富,技术强大,当今最新的漏洞及其它最新的攻击技术都会被利用。该组织近几年攻击活动频繁,攻击目标主要在中东地区,善于使用杀毒软件极难检出的脚本或word文档当前锋,接着用杀软极难检出的c#语言或java语言编写的远控木马进行攻击,攻击手法高明。
该组织擅长使用钓鱼邮件和鱼叉式攻击。鱼叉式攻击,指的是针对特定行业、公司的人发送精心伪造的带毒邮件。例如,APT34组织曾经伪造“巴林王国会议记录”邮件,向政界人士和记者们发送,企图窃取记者电脑中的敏感信息。
(巴林是海湾地区重要的金融中心)
国外公司像卡巴斯基、Fireeye等公司经常公布超级黑客组织的蛛丝马迹,国内的安全公司近年来也开始公布此类线索,我们可以借此来了解这些黑客组织,尽管是冰山一角,也可以稍窥其全貌。
2017年11月,微软的例行补丁更新,修补了一个存在17年之久的Office远程代码执行漏洞(CVE-2017-11882)。
这个漏洞厉害之处在于,它影响所有office版本,从office2000到最新的office365均受影响;利用简单,无视宏命令(这句看不懂就看不懂,只要知道它厉害就好);存在17年没被人发现,微软这样实力强大的公司没有检测到。
1999年8月,微软发布了开创性的Office 2000,取得了巨大的商业成功,在这个版本的Office里就有这个漏洞。17年后,最新版的Office365仍然有这个漏洞,这个时间都能打赢两场抗日战争了。
补丁发布后不到一个星期,APT34组织就针对中东政府组织的发动攻击,并利用了该漏洞。这说明该组织的技术水平处于中等偏上:如果技术水平高,应该使用自己发现的0day漏洞发动攻击;如果技术水平低,不太可能在一周之内掌握利用漏洞的攻击代码。
这个黑客组织,被Fireeye命名为APT34,意思是“第34个被发现的APT组织”。这个组织自从2014年6月被发现从事攻击活动,一直到现在还很活跃。根据腾讯的报告,自2017年12月开始的约一个月时间内,APT34共发动了5次主要的攻击行为,频率十分密集。
APT是一种复杂的黑客攻击形式,他们持续数年、使用多种手段、持续的对特定目标和组织发动攻击,这种攻击被称为高级持续性威胁(APT)。
据认为,这个黑客组织属于伊朗军方支持。
在此前公布的报告中,APT34曾经对中东地区的银行、机场、石油公司发动攻击。这些黑客组织的攻击目标似乎经过了分工,有些会攻击这些行业,有些攻击那些行业。
2017年5月,APT33组织曾仿冒沙特航空公司发布钓鱼邮件,吸引航空业的求职者。他们还曾利用钓鱼邮件对沙特石油公司和韩国的石化企业发动攻击。(石油对沙特意味着什么都懂的,韩国是世界上石化技术领先的国家,针对这些组织的攻击可以带来巨大损失)。
---------
作者说:除了黑产之外,我还会写一些安全类的内容。毕竟在很大程度上,黑产和病毒是一种攻击的两个角度,羊毛党用病毒来刷单、薅羊毛的案例也屡见不鲜。超级黑客组织代表的是国家的意志,而羊毛党则纯粹是为了金钱而存在。
不过,伊朗和朝鲜的黑客如此注重金钱,居然在攻击的时候注意到比特币这种东西(中毒电脑里能有多少有比特币,估计少得可怜,这点钱都被黑客注意到,想想也是很无语),估计是跟国家困窘的现状密切相关。
