一、小白劇場
小白:大東,如果你的個人信息被盜,你會怎麽做呀?
大東:啊,這……
小白:嘻嘻,純屬好奇。
大東:那你呢,說來聽聽。
小白:emm,我也不知道。
大東:有這麽糾結嘛?
小白:這個真的有,我要是給他支付贖金吧,我的信息可能就不會被放在暗網泄露了,但是這樣就是助長了某些組織的不正之風。
大東:一身正氣,精神小夥,白!那就不支付啦。
信息泄露(圖片來自網絡)
小白:不不不,不支付,我的信息泄露怎麽辦?住址、電話、銀行卡號等等,我哪還有隱私?
大東:哈哈,這個夠小白思考一陣子了,來,我給你講個事吧。
小白:啥事呀?
大東:在2021年3月底的時候,加拿大網絡安全公司Emsisoft 的研究員凱特(Kat Garcia)收到了網絡黑客組織Clop的郵件,郵件中聲稱他們已經掌握了凱特的個人電話、郵箱、家庭住址、信用卡信息和社會安全號碼。
小白:真可惡!太囂張!
二、話說事件
大東:好在凱特將受到威脅一事告訴了記者,2021年4月14日,反映目前互聯網黑客活動最頻繁的黑客組織 Clop 的一部分運作模式的報道發表,將該組織行爲公之于衆。
小白:不得不承認,凱特是勇者,但她一定不是唯一的受害者。
大東:沒錯,據 ComputerWeekly 此前的報道顯示,2021年2月11日,新加坡電信公司的一台舊服務器遭遇黑客入侵;2月24日,加拿大飛機制造商龐巴迪公司服務器被黑,部分內部數據被公開在暗網;3月4日,Clop 入侵網絡安全服務供應商 Qualys 的服務器,並在暗網公布了文件截圖,泄露數據包括發票、采購訂單、稅務文件和數據報告;3月23日,能源巨頭殼牌公司發布聲明,稱其數據服務器在 2020年12月就遭遇了黑客攻擊,被盜數據包括個人數據以及設計公司和利益相關者的數據。
Clop (圖片來自網絡)
小白:那麽Clop究竟是怎樣運作的呢?
大東:他們通過威脅某些公司的員工獲得所需數據,再利用這些數據入侵目標公司的服務器。
小白:他們是怎麽做到的呀?
大東:這一過程中,該組織頻繁利用了一個文件共享服務漏洞。
小白:這個漏洞來源是啥呀?
大東:這一漏洞出現在由 Appliance 公司提供技術支持的文件系統中,全球約有 300 家企業在使用這項服務。
小白:這個入侵手段似曾相識。
大東:沒錯,供應鏈攻擊,熟悉嗎?
小白:黑客運用軟件漏洞?
大東:沒錯,利用軟件漏洞對供應商的客戶展開大規模攻擊,之後以數據爲要挾要求公司支付贖金。
小白:受害者及時付款,數據就會被刪除嘛?
大東:沒錯。黑客甚至會錄制刪除視頻以證明危機已經解除。但是,如果不按時付款,Clop 就會開始逐步放出該公司的數據。
小白:現在有多少企業和機構受害啦?
大東:Clop 的受害者名單上已經擴展到了多達 50 家企業和機構,從殼牌這樣的商業公司到斯坦福大學這樣的學校均在名單之上。
小白:好家夥,學校都不放過。
大東:還有你想不到的呢。一些受害公司向 Vice 透露,Clop 在與他們交涉的過程中 “彬彬有禮”,並且願意讓步。此前曾有公司與之討價還價,最終將贖金從 2000 萬美金降低到了 600 萬美金。如果快速支付贖金,Clop 還會提供一些 ” 優惠 “,在 3-4 天內快速支付贖金的公司,Clop 會給他們打 30% 的折扣。
小白:還打折?真讓人哭笑不得!
三、大話始末
大東:目前我們所知道的受害者和案件或許只是冰山一角。一位長期追蹤網絡黑客行動的研究者告訴 Vice,Clop看似于 2020 年年底活躍至今,但事實上該組織存在的時間遠比想象中的要長久。
小白:咦?此話怎講?
大東:他們可能已經多次易名,真要追蹤起來,2017-2018 年間在網絡展開針對金融、零售和酒店業公司的有組織黑客行動的網絡組織 FIN11,以及 2019 年臭名昭著的比特幣勒索事件的始作俑者 TA505 都是該組織的前身。
小白:據我所知,FIN11是一個有經濟動機的黑客組織,之前它使用惡意電子郵件進行攻擊,逐漸轉變爲勒索軟件攻擊。
大東:沒錯。該組織經營著大量業務,主要針對北美和歐洲幾乎所有行業部門的公司竊取數據和部署Clop勒索軟件。
小白:他們是怎麽做到的?
大東:FIN11類似于APT,攻擊者引人注目的不是他們的老練,而是他們活動的規模。在FIN11的釣魚操作中有很大的漏洞,但是當活動時,該組織每周會進行多達五次的大流量活動。
小白:活動規模確實很大。
大東:Mandiant威脅情報公司(Mandiant Threat Intelligence)的高級分析經理金伯利·古迪(Kimberly Goody)稱,受害者必須先完成驗證碼挑戰才能收到帶有惡意宏代碼的Excel電子表格,一旦執行,該代碼將交付FRIENDSPEAK,後者下載了另一個FIN11特有的惡意軟件MIXLABEL。
小白:他們的每次行動都能獲利嘛?
大東:那不一定啦!Mandiant公司也對許多FIN11入侵事件做出了回應,但研究人員僅觀察到該小組在少數情況下成功地通過訪問獲利。這可能意味著攻擊者在網絡釣魚操作中撒了一張大網,然後根據區域、地理位置或感知到的安全態勢等特征選擇進一步利用哪些受害者。
小白:FIN11還有什麽活動嘛?
大東:FIN11已經部署了Clop勒索軟件,並威脅要公布泄露的數據,迫使受害者支付贖金。Clop是一類相對較新的勒索軟件,于2020年2月首次出現在公衆視野中,Clop背後團隊的主要目標是加密企業的文件,收到贖金後再發送解密器,目前Clop仍處于快速發展階段。
小白:我國企業有收到破壞嘛?
大東:2020年7月Clop在國際上(如韓國)開始傳播,而國內某企業也在被攻擊後造成大面積感染,該惡意軟件暫無有效的解密工具,致該受害企業大量數據被加密而損失嚴重。
小白:果然是傷害大,範圍廣。
大東:值得注意的是,FIN11與另一個威脅組織TA505有著顯著重疊。TA505是Dridex銀行木馬和Locky勒索軟件的幕後黑手,它們通過Necurs僵屍網絡進行惡意垃圾郵件攻擊。
小白:TA505是啥呀?可以講講嗎?
大東:TA505網絡間諜組織主要針對全球金融機構進行攻擊,自2014年以來就一直保持活躍狀態,在過去的幾年裏,該組織已經通過利用銀行木馬Dridex以及勒索軟件Locky和Jaff作爲攻擊工具成功發起了多起大型的網絡攻擊活動。
小白:那他倆有區別嗎?
大東:TA505的早期活動和FIN11是不同的,所以兩個組織並不是同一個開發者。和大多數以獲利爲動機的攻擊者一樣,FIN11也不是所有的開發都是從頭開始的。
小白:比如?
大東:該組織使用的服務提供匿名域注冊,防彈主機(Bulletproof hosting)、代碼簽名證書以及私有或半私有惡意軟件。
小白:防彈主機感覺挺酷的!
大東:哈哈,防彈主機是指對用戶上傳和發布的內容不加限制的一種網絡或域名服務,這種服務被通常利用來發垃圾郵件,在線賭博或網絡色情等。
小白:其實,一般的網絡服務提供商會經由服務條款對特定內容或行爲加以限制,爲了防止自己的IP段被基于IP協議的反垃圾過濾器屏蔽而遭正常用戶投訴,也會中斷對違規用戶的服務。防彈主機有什麽不一樣嗎?
大東:防彈主機允許內容提供者繞過法律或本地的互聯網檢查機構,所以大部分的防彈主機都在境外(相對于內容提供者的地理位置)。
四、小白內心說
小白:大東,這些組織是十分可惡,但是如果我們信息遭到泄露應該怎麽辦呀?
自我保護(圖片來自網絡)
大東:最簡單的方式是更改較爲重要的密碼。尤其對于喜歡網購的人來說,個人信息往往和銀行賬號、密碼等重要的信息聯系在一起。因此,一旦個人信息泄露,應該馬上更改重要的密碼,避免造成經濟損失。
小白:這麽一說,我也知道一點,那就是更換賬號。個人信息泄漏後,要第一時間換賬號。由于現在網絡十分發達,信息泄露之後如果不換賬號,那麽在這個賬號下登陸的各種信息就會源源不斷地流出。因此,一旦發現了泄露的源頭,就要立刻終止使用這個賬號,從源頭切斷泄漏源。
大東:個人信息泄漏後,還要提醒身邊的親朋好友呀,要他們倍加防範,以免上當受騙。必要時,要需要收集證據。收到各種各樣的郵件,接到天南海北的電話,這時候要留心,記下對方的電話或者是郵箱地址等有用的信息。可能這些信息很瑣碎,但是一旦收集好這些信息不僅能幫助自己維權,而且還可能幫助更多的人。
小白:知道啦,防範風險,從我做起!
參考資料:
1. Fin11:一個以經濟利益爲動機的高級攻擊組織https://mp.weixin.qq.com/s/JCJlsaSlXqr5yoNyC9Dm3A
2. FireEye稱針對Accellion FTA的攻擊與FIN11有關;烏克蘭稱其政府的多個網站遭到來自俄羅斯的攻擊www.venustech.com.cn/new_type/aqjx/20210224/22404.html
3. 兩個月內 50 家公司遭入侵,互聯網上最具規模的黑客組織 Cl0p 逐漸浮出水面https://mp.weixin.qq.com/s/Ti6I_TOhGXpiYv_tuCVBJg
來源:中國科學院信息工程研究所