行業(yè)動態(tài)

兩個月內(nèi) 50 家公司遭入侵,互聯(lián)網(wǎng)上最具規(guī)模的黑客組織 Cl0p 逐漸浮出水面

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2021-04-20    瀏覽次數(shù):
 

信息來源:華盟網(wǎng)

2021 年 3 月底,供職于加拿大網(wǎng)絡(luò)安全公司 Emsisoft 的研究員凱特(Kat Garcia)收到了一封陌生的郵件。郵件發(fā)送者自稱是來自網(wǎng)絡(luò)黑客組織 Cl0p 的成員,他聲稱該組織已經(jīng)掌握了凱特的個人電話、郵箱、家庭住址、信用卡信息和社會安全號碼。
這是一封威脅信。通過入侵凱特曾光顧過的一家母嬰服裝店的數(shù)據(jù)服務(wù)器,黑客獲得了她記錄在服務(wù)器上的私人信息。在信中,對方要求通過凱特與 Emsisoft 公司取得聯(lián)系,并通知她,如果公司沒有與 Cl0p 聯(lián)系,那么她的個人信息將被公布在暗網(wǎng)上。此外,黑客還用挑釁的口吻寫道:" 你也可以致電這家商店,讓商家保護(hù)你的個人隱私。"

凱特將受威脅一事告訴了 Vice,后者將其梳理成了一篇報道。4 月 14 日,這篇報道刊載出來,將目前互聯(lián)網(wǎng)黑客活動最頻繁的黑客組織 Cl0p 的一部分運(yùn)作模式公之于眾。
    據(jù) ComputerWeekly 此前的報道顯示,凱特并不是唯一的受害人。2021 年 2 月 11 日,新加坡電信公司的一臺舊服務(wù)器遭遇黑客入侵;2 月 24 日,加拿大飛機(jī)制造商龐巴迪公司服務(wù)器被黑,部分內(nèi)部數(shù)據(jù)被公開在暗網(wǎng);3 月 4 日,Cl0p 入侵網(wǎng)絡(luò)安全服務(wù)供應(yīng)商 Qualys 的服務(wù)器,并在暗網(wǎng)公布了文件截圖,泄露數(shù)據(jù)包括發(fā)票、采購訂單、稅務(wù)文件和數(shù)據(jù)報告;3 月 23 日,能源巨頭殼牌公司發(fā)布聲明,稱其數(shù)據(jù)服務(wù)器在 2020 年 12 月就遭遇了黑客攻擊,被盜數(shù)據(jù)包括個人數(shù)據(jù)以及設(shè)計公司和利益相關(guān)者的數(shù)據(jù)。
    一系列入侵行動的始作俑者都是 Cl0p。他們以凱特這樣的個人為切入點,通過威脅公司職員獲得所需的數(shù)據(jù),再通過這些數(shù)據(jù)入侵目標(biāo)公司的服務(wù)器。這一過程中,該組織頻繁利用了一個文件共享服務(wù)漏洞。這一漏洞出現(xiàn)在由 Appliance 公司提供技術(shù)支持的文件系統(tǒng)中,全球約有 300 家企業(yè)在使用這項服務(wù)。
    這一入侵手法被稱為 " 供應(yīng)鏈攻擊 "(supply chain attack),黑客利用互聯(lián)網(wǎng)服務(wù)供應(yīng)商與用戶間的信任,針對供應(yīng)商的軟件漏洞對該供應(yīng)商的用戶展開大規(guī)模入侵。之后以數(shù)據(jù)為要挾要求公司支付贖金,如果受害者及時付款,數(shù)據(jù)會被刪除,黑客甚至?xí)浿苿h除視頻以證明危機(jī)已經(jīng)解除,如果不按時付款,Cl0p 就會開始逐步放出該公司的數(shù)據(jù)。
目前,Cl0p 的受害者名單上已經(jīng)擴(kuò)展到了多達(dá) 50 家企業(yè)和機(jī)構(gòu),從殼牌這樣的商業(yè)公司到斯坦福大學(xué)這樣的學(xué)校,都已經(jīng)被他們?nèi)局高^。而一位就職于一家韓國網(wǎng)絡(luò)安全公司的研究員近期發(fā)現(xiàn),某些受害公司的數(shù)據(jù)已經(jīng)從暗網(wǎng)上被移除,該研究人員懷疑已經(jīng)有公司向 Cl0p 支付了贖金。

兩個月內(nèi) 50 家公司遭入侵,互聯(lián)網(wǎng)上最具規(guī)模的黑客組織 Cl0p 逐漸浮出水面
    該組織近日宣稱,包括斯坦福大學(xué)在內(nèi)他們已經(jīng)入侵了美國六所大學(xué)的數(shù)據(jù)庫,并盜取了學(xué)生和職員的個人隱私信息。但另一些研究者認(rèn)為,目前我們所知道的受害者和案件或許只是冰山一角。一位長期追蹤網(wǎng)絡(luò)黑客行動的研究者告訴 Vice,Cl0p 看似于 2020 年年底活躍至今,但事實上該組織存在的時間遠(yuǎn)比想象中的要長久。他們可能已經(jīng)多次易名,真要追蹤起來,2017-2018 年間在網(wǎng)絡(luò)展開針對金融、零售和酒店業(yè)公司的有組織黑客行動的網(wǎng)絡(luò)組織 FIN11,以及 2019 年臭名昭著的比特幣勒索事件的始作俑者 TA505 都是該組織的前身。
    網(wǎng)絡(luò)安全公司 FireEye 此前發(fā)布的調(diào)研報告指出,比起其他零散的黑客組織,Cl0p 展現(xiàn)出了更組織化的行動模式。他們的入侵方式并不精巧,而是以量取勝,每周該組織都會進(jìn)行約五次的大規(guī)模入侵,甚至可能將部分黑客工作通過外包給其他 " 黑客散戶 " 以實現(xiàn)他們的大面積入侵。
    一位追蹤 Cl0p 的安全研究員告訴 Vice,在調(diào)研過程中,他發(fā)現(xiàn)該組織就像機(jī)器一樣運(yùn)作著,他如此描述 Cl0p:" 冷酷無情、復(fù)雜而創(chuàng)新、組織嚴(yán)密、結(jié)構(gòu)合理 ",并且 " 非?;钴S,幾乎不休不眠 "。一位黑客在與受害者交涉的過程中聲稱:" 在我們的團(tuán)隊中沒有‘我’,只有‘我們’,每個人都是可以被替換的。"
     一些受害公司向 Vice 透露,Cl0p 在與他們交涉的過程中 " 彬彬有禮 ",并且愿意讓步。此前曾有公司與之討價還價,最終將贖金從 2000 萬美金降低到了 600 萬美金。如果快速支付贖金,Cl0p 還會提供一些 " 優(yōu)惠 ",在 3-4 天內(nèi)快速支付贖金的公司,Cl0p 會給他們打 30% 的折扣。
    這很可能意味著 Cl0p 的管理效率頗高,或者團(tuán)隊達(dá)成了一致的共識。因為大部分黑客組織常常會在取得成功后暴露出貪婪的一面,但 Cl0p 顯然更傾向于緩慢地、有組織地擴(kuò)展和增長。
    目前針對該組織的追蹤調(diào)查還在繼續(xù)。FireEye 金融犯罪分析團(tuán)隊經(jīng)理古迪(Kimberly Goody)告訴 Vice,分析工作有了一點點進(jìn)展。她的團(tuán)隊在解析 Cl0p 的勒索軟件時發(fā)現(xiàn)了該軟件中有俄語的元數(shù)據(jù),并且該組織的行為習(xí)慣也符合俄羅斯所在時區(qū)的作息。但這并不意味著該組織來自俄羅斯,古迪表示,如果黑客們足夠聰明,這些痕跡都是可以偽造的,以便不引起某些國家和地區(qū)政府的注意。
    古迪認(rèn)為,要找到潛伏于幕后的黑客,只能等待黑客犯錯。只要黑客活動還在繼續(xù),他們 " 犯錯只是時間問題 "。

 
 

上一篇:Data.2021.04.12.004996

下一篇:赫特福德郡大學(xué)遭受網(wǎng)絡(luò)攻擊 致其整個IT系統(tǒng)癱瘓