我们正处在这样一个时刻:包括勒索软件团伙在内的网络犯罪分子,已经建立起组织化的机构,进行非法的业务活动,而不是一个人单打独斗。
勒索软件团伙、敲诈勒索组织和DDoS攻击者的日益成功绝非偶然。在一个个奇幻的名字背后,是组织化的机构,由不同层次的参与者组成,他们同步工作,瓜分利益,以实现最终目标。
以下是几种典型的网络犯罪角色:
1. 入口访问经纪人(IAB)
IAB(Initial access brokers)是指将企业的网络访问权限出售给买家的人,主要通过地下数据交易市场、论坛或是即时通信工具、聊天组来完成交易。然后购买访问权限的人,得以进入受害者的网络,再安装间谍软件、窃取商业秘密,或者安装勒索软件、拖走数据等。IAB本身一般不会去做这些事情。
在以往,网络犯罪对IAB的需求并不很高,大部分是商业竞争对手雇佣从事间谍活动和盗窃的需求。但勒索软件时代导致了对IAB的需求“指数级增长”,成为网络犯罪产业链的“入口”角色。
2. 一切即服务(XaaS)
在网络犯罪的语境下,一切即服务(XaaS)通常是指勒索软件即服务(RaaS)或恶意软件即服务(MaaS),甚至是犯罪即服务(CaaS),这些平台构成了网络犯罪的新商业模式。与软件即服务(SaaS)的提供模式非常类似,这些aaS是一种专门为具体实施攻击的网络犯罪分子,提供勒索软件工具、网络钓鱼工具的平台,使用这些工具即可实施网络犯罪,而不用掌握高深的技术。当然,这是收费的。
作为这种服务提供商,无论他的客户攻击是否成功,都会获得一定的收益。不仅如此,在这种XaaS的模式下,意味着可能在法律上还是安全的。他们只负责提供工具,拿工具干什么用是客户的事情。
在勒索软件时代之前,网络罪犯一般都会是技术熟练的黑客,独自进行寻找目标、入侵网络、窃取数据、自行交易。但XaaS模式则降低了黑客攻击并获益的技术门槛,包括IAB、RaaS、MaaS等服务,网络罪犯只需精通一个领域,甚至无需精通任何领域,就能够实施网络攻击。因此,勒索软件事件才得以愈演愈烈。
3. 勒索软件附属
勒索软件附属可以被视为勒索软件组织雇来执行操作任务的综合“承包商”,从IAB购买网络的初始访问权,到获取可能有助于攻击的凭证、数据等,再到发起攻击。
在执行成功的攻击和勒索后,勒索软件附属从受害者支付的勒索金额中提取佣金。为了加快攻击速度,勒索软件附属可能会租用RaaS平台,用“租用的勒索软件”加密文件,或是使用任何现有的工具、服务和漏洞,以实现攻击并获利的目的。正是因为这些XaaS的出现,降低了攻击的技术门槛,无需自行开发工具,只需专注于攻击活动的组织运营。
4. 恶意软件开发者
恶意软件最为核心的组成是针对零日漏洞或已知漏洞的EXP(漏洞利用),可攻击存在相应漏洞的各种网络设备、应用程序,甚至是嵌入应用程序中的某个组件,如Log4j。
在早期,恶意软件和漏洞利用的开发者各种各样,从最普通的“脚本小子”到黑客高手,但随着黑色产业的形成,网络犯罪分子的分工合作,许多复杂的恶意软件开发团队已经成为“正规部队”,甚至有着软件开发生命周期和编程文档,与合法的软件开发流程一样。
去年发生的一起勒索软件团伙(Conti)的泄密事件,对其不满的合作者(勒索软件附属)泄露了该团伙的数据,包括渗透测试工具、手册、培训材料,以及提供给该附属的文件。另外一起类似的事件中,一名自称Babuk勒索软件管理员的人,则放出了该组织的Visual Studio项目文档和源代码。从这些文档和代码可以看出,Babuk的开发流程与合法软件公司无异,遵循同样的规范和结构。
另一方面,加密货币的流行,令其交易平台成为网络攻击的重灾区。精通密码学并对区块链协议有深入了解的恶意软件开发者,利用这些平台中的零日漏洞或未修补的漏洞,盗取巨大价值的加密货币。
今年2月,Wormhole价值3.26亿美元的加密货币被盗,源于GitHub平台上公开的一个未修补漏洞。去年Poly Network遭受了“史上最大的DeFi黑客攻击”,一名白帽黑客通过平台的漏洞转移了价值6.11亿美元的加密货币,但事后几乎全部退回。
5. APT组织
APT(高级持续威胁)之前大多是指有着国家资源支持的网络犯罪集团采取的攻击策略,目标是进行破坏、间谍活动,或者攫取经济利益。但现在,APT所使用的战术也被一些非国家支持的网络攻击者采用。
史上最著名的APT攻击事件是震网(Stuxnet)事件,该事件利用多个Windows零日漏洞感染计算机并进行传播,最终对核电站的离心机造成损坏。这种“极其复杂的电脑蠕虫”据传是美国和以色列情报机构合作开发的。
另一起针对工业控制系统的例子是TRITON。该恶意软件于2017年入侵了沙特的一家石化厂,并试图引发爆炸。幸运的是,TRITON代码中自身存在的一个漏洞触发了关键系统的拦截,攻击未能得逞。
APT最主流的手法是通过鱼叉式网络钓鱼进入网络,悄悄传播有效负载,拖走数据,并植入持久后门,对受害者进行秘密监视。
与之前相比,现在的APT更加隐蔽、更具战略性。如将后门植入上游软件或源代码,或入侵第三方供应商。SolarWinds就是一起典型的供应链攻击事件。
6. 数据或信息掮客
“数据经纪人”或“信息经纪人”(IB)即可以指合法的服务商也可以是非法的攻击者。
前者从公共来源获取数据,如法庭记录、社交媒体档案、联系方式、企业注册记录,并进行数据聚合。然后,这些信息可以合法地与营销人员、研究人员和企业共享,并收取一定费用。后者则是非法的数据经济人。例如,在暗网和数据泄露市场上出售黑客盗取的资料或机密数据。这些数据包括但不限于账户凭证、信用卡信息、购物历史、企业通讯录,以及个人信息等。
结语
从开发者到XaaS,再到IAB、IB,这些分工都是黑产链各个环节的货币化,各自出售攻击链的一部分或向更广泛的买家出售相同的恶意软件(配置不同)来成倍地增加利润。通过这种模式,能够赚更多的钱,同时做更少的工作。
黑色产业链俨然已经是一个“自然竞争的商业环境”,形成了竞争群体和一个真正的市场。这些市场随之带来的,则是网络攻击门槛的降低,攻击者无需精通各个方面的技术,就能够有效开展网络犯罪活动。