CrowdStrike发布图表,阐述网络犯罪团伙间关系与相互合作方式。网络安全报告往往将黑客团伙及其恶意软件/黑客行动当成独立事件加以描述,但实际上,网络犯罪圈子并不大,而且网络犯罪团伙间的相互联系远比外行认知的紧密得多。网络犯罪团伙的供应链十分复杂,甚至包括真正的软件公司,而且他们常与圈子里其他同行建立合作关系,方便获得重要技术支持其黑客行动,或者最大化网络犯罪收益。
网络安全公司CrowdStrike表示,这些第三方技术可归为三类:服务、分销和货币化。每一类再细分的话,服务类技术通常包括:
(1) 访问代理 - 突破企业网络,并将公司内部网络访问权限卖给其他网络犯罪团伙的黑客组织。
(2) DDoS攻击工具 - 也称为DDoS booter或DDoS-for-hire(网络罪犯提供给付费客户的按需DDoS攻击能力);付费获得访问权后,任何人都可通过此类网络犯罪组织提供的Web前端控制页面对所选目标发起DDoS攻击。
(3) 匿名与加密 - 售卖私有代理和虚拟专用网络访问权,其他黑客可利用这些团伙提供的服务伪装自身位置和攻击源。
(4) 网络钓鱼工具包 - 此类网络犯罪团伙创建并维护网络钓鱼工具包、用于自动化网络钓鱼攻击的Web工具,并且收集网络钓鱼钓到的凭证。
(5) 出售硬件 - 售卖ATM刮取器、网络嗅探设备等定制硬件的黑客团伙。
(6) 勒索软件 - 也称勒索软件即服务或RaaS,这些网络犯罪团伙售卖勒索软件系列或Web前端控制页面访问权,供其他团伙打造自己的定制勒索软件。
(7) 犯罪即服务 - 与RaaS类似,但此类网络犯罪团伙提供的是银行木马或其他形式的恶意软件。
(8) 加载器 - 亦称“僵尸主机安装”,这些黑客团伙已经以自己的恶意软件感染了计算机、智能手机和服务器,提供将其他黑客团伙的恶意软件“加载/安装”到同一系统上的服务,这样其他团伙就能通过勒索软件、银行木马、信息窃取器等恶意软件获利了。
(9) 反杀毒软件服务/检测器 - 私有Web门户,恶意软件开发者可以上载样本测试现有杀毒软件系统引擎是否会查杀,而无需担心恶意软件检测结果会在杀软制造商间共享。
(10) 恶意软件打包服务 - 基于Web或桌面系统的工具,恶意软件开发者可以之打乱自身恶意软件品系代码,让杀毒软件更难难以检测出来。
(11) 信用卡/借记卡测试服务 - 供黑客测试所获支付卡号是否为有效格式及卡本身是否仍然有效的工具。
(12) Web注入工具包 - 常与银行木马联合使用的专业化工具,供银行木马黑客团伙在受害者访问电子银行(或其他任何)网站时将恶意代码注入其浏览器。
(13) 托管与基础设施 - 也称防弹托管提供商,顾名思义,这些人提供网络犯罪组织专用的私有Web托管基础设施。
(14) 犯罪招募 - 专门招募、收买或诱骗普通公民从事网络犯罪活动的组织(如假借旅游名义到美国收买特斯拉雇员在该公司内部网络中运行恶意工具的人)。
另一方面,分销服务大致有如下几种:
(1) 在社交网络上或通过即时通讯应用进行垃圾邮件分发活动的团伙。
(2) 专门从事垃圾邮件分发的团伙。
(3) 开发和售卖漏洞利用工具包的团伙。
(4) 此类团伙购买被黑网站流量,然后分发至托管着漏洞利用工具包、技术支持骗局、金融骗局、网络钓鱼工具包等等的恶意网页。
至于货币化服务,CrowdStrike认为这一类别通常包括:
(1) 钱骡服务 - 这些人亲身从被黑ATM取钱,用自身银行账户收钱,再将钱转给黑客、所选洗钱或转运欺诈服务。
(2) 洗钱 - 此类团伙常经营着空壳公司网络,通过空壳公司洗白来自被黑银行账户、ATM套现或加密货币盗窃的资金。一些洗钱服务还作为比特币混合服务在暗网上运营。
(3) 转运欺诈网络 - 用被盗资金购买真实产品运往另一国家的团伙。此类产品多为汽车、电子产品或珠宝等奢侈品,运抵别国后转卖换成干净的法币,再打入委托了此类服务的黑客手中。
(4) 转储商店 - 通过专用网站和社交媒体渠道售卖被黑公司数据的团伙。
(5) 赎金支付与勒索 - 专门勒索受害者的团伙,可供持有被盗数据的其他团伙委托。
(6) 支付卡信息收集与出售 - 也称之为售卡店,通常是网络犯罪团伙出售被盗支付卡数据的论坛。
(7) 加密货币服务 - 另一种洗钱形式,可供“混合”被盗资金,帮助黑客摆脱被盗资金痕迹。
(8) 电汇欺诈 - 顾名思义,专业进行BE诈骗等电汇欺诈的团伙。
由于现今各方广泛运用加密通信渠道,我们几乎不可能追踪各网络犯罪团伙与其供应商之间的所有联系,搞清谁与谁合作。
不过,在恶意软件攻击领域,通过观察恶意软件从攻击者流向被感染主机的途径,还是可以发现一些合作的迹象。尽管永远不能完全验证这些联系,在Emotet恶意软件下载TrickBot恶意软件时,这两个网络犯罪团伙合作,Emotet组织为TrickBot团伙提供“加载器”机制的事实也十分明显了。
在2月22日发布的《2021年全球威胁报告》中,安全公司CrowdStrike首次总结了网络犯罪地下世界中各网络犯罪团伙间现有的一些联系。该公司采用了其特有的网络犯罪团伙命名法,所以有些网络犯罪团伙名称可能与我们之前看到的不太一样。不过,CrowdStrike还提供了交互索引,任何人都能更深入了解各个网络犯罪团伙,并将之与其他公司所用名称关联起来。
上述图表表明,在网络入侵活动中,支持者的角色与执行入侵的团伙同样重要。正如Chainalysis上个月在另一份报告中指出的,只要盯紧这些共享服务提供商,司法机构就很有可能在摧毁网络犯罪活动上取得更大战果,因为盯紧这些提供商就可以一次性破坏多个网络犯罪团伙的行动。
除此之外,这么做还有些别的好处。例如,顶级网络犯罪团伙常拥有顶尖的运营安全(OpSec),不会泄露任何行动细节,但次级提供商未必总能保护自己的身份,司法机构可以从这些次级提供商处获得信息,揭开大型团伙的面纱,省时省力一网打尽。
CrowdStrike《2021全球威胁报告》:(戳阅读原文打开)https://www.crowdstrike.com/resources/reports/global-threat-report/
交互式索引:云服务已成黑客攻击新平台https://adversary.crowdstrike.com/