继拉撒路(Lazarus Group)之后,又一个国家黑客组织被发现参与大规模加密货币挖矿行动。
微软本周一的报告发现,越南政府支持的黑客开始在常规的网络间谍工具套件中部署加密货币挖矿软件。
该报告指出越来越多的国家支持的黑客组织开始将目光投向了常规的网络犯罪活动,这使得对财务动机的犯罪与情报收集活动的区分变得更加困难。
APT32加入门罗币采矿大军
该越南黑客组织在微软内部的追踪代号为Bismuth,自2012年以来一直活跃,在安全业界广为人知的代号还包括APT32和OceanLotus(海莲花)等。
APT32成立以来大部分时间都在组织国内外的复杂黑客活动,目的是收集信息以帮助其政府处理政治、经济和外交政策决策。近年来随着越南经济的高速发展,汽车行业成为APT32的关注重点。
但是微软的报告指出,这个夏天该小组的活动策略发生了变化。
微软表示:“在2020年7月至2020年8月的美国总统大选活动期间,该组织将门罗币矿机程序部署到了针对法国和越南私营部门以及政府机构的攻击中。”
目前尚不清楚该APT32为何改变策略,微软认为存在两种可能:首先,APT32可能希望借助加密货币挖矿软件来掩盖自己的真实目的,诱使事件响应者以为自己是最低优先级的路过攻击。其次,APT32小组可能正在尝试从常规的网络间谍活动中“捞些外快”。
第二种假设也符合网络安全行业的普遍趋势。近年来,俄罗斯、伊朗和朝鲜政府资助的黑客组织也经常会出于纯粹的赚钱目的而攻击目标,获取收益。
国家黑客发动此类攻击的一个重要原因是,这些团体通常在当地政府的直接保护下进行活动,无论是作为承包商还是情报人员,他们也都在与美国没有引渡条约的国家/地区内开展活动,从而使他们随心所欲、肆无忌惮地发动任何攻击,而不用担心后果。
APT32所在的越南也缺乏与美国的引渡条约,而且根据牛津大学人类网络犯罪项目主任Lusthaus的调研《匿名行业:网络犯罪业务内部》,越南有望在未来十年成为新的网络犯罪中心和避风港。事实上从2018年开始,网络安全行业就观察到越南的进攻性网络活动开始激增。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】