虽然最近几年东亚黑客对全世界公司和政府机构网络攻击的成功案例在持续增长。但对于国际互联网,来自东欧的计算机犯罪仍然显的更有威胁。
Tom Kellermann — Trend Micro(杀毒软件供应商)的副总裁,在最近的一次报告“彼得大帝对战孙子(Peter the Great Versus Sun Tzu)”中谈道:“尽管高调的入侵、高级持续性的威胁(APTs)让东亚的黑客霸占了全世界网络安全相关的头条,但是仅凭这一点就断定这些黑客是当今世界独一无二的并构成了最大的威胁明显是错误的。
Kellermann,只到最近还担任美国第44任总统网络安全(Cyber Security)委员会委员。通过指挥大量东亚和东欧地下组织的本质研究后,Trend Micro得出结论:来自前苏联的黑客对比那些更知名的东亚人,显得更加有经验和隐秘。”
当提到恶意软件开发时,东欧人是当之无愧的“老师傅”。他还说:“东欧人的恶意软件是精致的艺术品,曾被誉为恶意软件世界的法贝热彩蛋(Faberge Eggs)。”
东亚的黑客通常使用zero-day漏洞,去入侵计算机系统。但是之后他们还要依靠基本的恶意软件和第三方工具来维持和扩张目标网络上的权限。
东欧黑客隐秘的高级黑
相比东亚,东欧的黑客首次入侵的漏洞利用一般建立在其他人的基础上,但是使用的软件都是基于目标并且包含了所有功能的定制恶意软件。
Kellermann解释到,东欧出产的恶意程序往往都是很轻量级的并且拥有先进的检测躲避技术。
Kellermann把领先的恶意程序编写技术归功于长期的高质量科学和数学教育。他还认为这项优秀技术同样要归功于对每行代码的严格要求,而这些则因为前苏联的计算科学只能在低复杂度的计算资源上实现。
Bogdan Botezatu,BitDefender(罗马利亚杀毒软件供应商)的高级互联网威胁分析师在9月20日的邮件中说:“作为一个东欧的反恶意软件技术供应商,我们同样认为欧洲的恶意软件地下组织比起东亚的更加工艺和传统。”
Botezatu说:“后共产主义时代的初期,东欧(特别是保加利亚和罗马)青年的价值取向发生了巨大的变化(受资本主义影响巨大)。在数学和密码运算的大背景帮助下,东欧人迅速成为政治斗争道路上无可争议的冠军。”
BitDefender研究员说道:“经过20多年的运动后,这些组织的目标从政治斗争上转变到编写商业恶意程序上。他们恶意软件、封装及密码学的经验也发生了巨大的改变。”
另一个东欧黑客比东亚更富有威胁的原因来自运作方法,Kellermann将其喻为因出色技艺被雇佣的独立突击队单位。
东欧黑客以小团队为运营模式,对于每次入侵明确、专注,不遗余力的保护他们的身份。因为声誉对于他们来说是成功的关键所在!
东欧的地下是由许多独立单位构成组织严密的社区,互相之间的数据购买和销售更是司空见惯。假如可靠性产生问题,那么盈利和生存的能力将被破坏,甚至走向灭亡。#p#
中国黑客就像低等网络步兵
与之相反的是,东亚黑客就像“网络步兵”,他们好像从来不去担心是否被侦察或识别,Kellermann说。
他认为这是因为他们是作为由特定组织提供基金的大型组织的一部分来运作的,经常是从企业或者政府窃取商业机密和敏感数据。
假如身份暴露的是一个东亚黑客,他失去的则没有那么多,并且可以轻松的回到工作中。某种意义上,对于东亚黑客来说:集团资金意味着更好的金融稳定。
与此同时,东亚黑客窃取的数据一般都是可以立即售出或用于盈利,比如:金融凭证、信用卡资料或者私人信息。这也是东亚黑客地下组织开发了电子洗钱系统的原因,使用了客户审查和交替付款通道。
David Harley,ESET(来自斯洛伐克的杀毒软件供应商)的高级研究员20日通过电子邮件说:“这也许是个不错的想法,但是还是有点太草率了。”他认为,曝光对于一些东亚黑客来说是一种自我宣传的手段。
Harley说:“追溯到早些年,中国的黑客刚开始进入我们视线的时候,他们甚至没有仔细的掩盖自己的痕迹(当然除下攻击目标)。例如,我们获取了很多Wicked Rose(中国知名黑客组织的队长)和他队友的信息。”
Harley认为,东亚的黑客行事风格比较罗曼蒂克;而相比东亚的黑客来说,东欧的黑客不是那么在乎荣誉,他们认为比起出名,他们失去的将会更多。
Kellermann总结了两个黑客市场的特征,认为:相比东欧黑客来说,东亚黑客业余了很多。在队伍技术的成熟度上,东亚黑客和东欧黑客也完全不在一个等级上。