信息來源：華盟網(wǎng)

2021 年 3 月底，供職于加拿大網(wǎng)絡安全公司 Emsisoft 的研究員凱特（Kat Garcia）收到了一封陌生的郵件。郵件發(fā)送者自稱是來自網(wǎng)絡黑客組織 Cl0p 的成員，他聲稱該組織已經(jīng)掌握了凱特的個人電話、郵箱、家庭住址、信用卡信息和社會安全號碼。
這是一封威脅信。通過入侵凱特曾光顧過的一家母嬰服裝店的數(shù)據(jù)服務器，黑客獲得了她記錄在服務器上的私人信息。在信中，對方要求通過凱特與 Emsisoft 公司取得聯(lián)系，并通知她，如果公司沒有與 Cl0p 聯(lián)系，那么她的個人信息將被公布在暗網(wǎng)上。此外，黑客還用挑釁的口吻寫道：" 你也可以致電這家商店，讓商家保護你的個人隱私。"

凱特將受威脅一事告訴了 Vice，后者將其梳理成了一篇報道。4 月 14 日，這篇報道刊載出來，將目前互聯(lián)網(wǎng)黑客活動最頻繁的黑客組織 Cl0p 的一部分運作模式公之于眾。
    據(jù) ComputerWeekly 此前的報道顯示，凱特并不是唯一的受害人。2021 年 2 月 11 日，新加坡電信公司的一臺舊服務器遭遇黑客入侵；2 月 24 日，加拿大飛機制造商龐巴迪公司服務器被黑，部分內(nèi)部數(shù)據(jù)被公開在暗網(wǎng)；3 月 4 日，Cl0p 入侵網(wǎng)絡安全服務供應商 Qualys 的服務器，并在暗網(wǎng)公布了文件截圖，泄露數(shù)據(jù)包括發(fā)票、采購訂單、稅務文件和數(shù)據(jù)報告；3 月 23 日，能源巨頭殼牌公司發(fā)布聲明，稱其數(shù)據(jù)服務器在 2020 年 12 月就遭遇了黑客攻擊，被盜數(shù)據(jù)包括個人數(shù)據(jù)以及設計公司和利益相關者的數(shù)據(jù)。
    一系列入侵行動的始作俑者都是 Cl0p。他們以凱特這樣的個人為切入點，通過威脅公司職員獲得所需的數(shù)據(jù)，再通過這些數(shù)據(jù)入侵目標公司的服務器。這一過程中，該組織頻繁利用了一個文件共享服務漏洞。這一漏洞出現(xiàn)在由 Appliance 公司提供技術支持的文件系統(tǒng)中，全球約有 300 家企業(yè)在使用這項服務。
    這一入侵手法被稱為 " 供應鏈攻擊 "（supply chain attack），黑客利用互聯(lián)網(wǎng)服務供應商與用戶間的信任，針對供應商的軟件漏洞對該供應商的用戶展開大規(guī)模入侵。之后以數(shù)據(jù)為要挾要求公司支付贖金，如果受害者及時付款，數(shù)據(jù)會被刪除，黑客甚至會錄制刪除視頻以證明危機已經(jīng)解除，如果不按時付款，Cl0p 就會開始逐步放出該公司的數(shù)據(jù)。
目前，Cl0p 的受害者名單上已經(jīng)擴展到了多達 50 家企業(yè)和機構(gòu)，從殼牌這樣的商業(yè)公司到斯坦福大學這樣的學校，都已經(jīng)被他們?nèi)局高^。而一位就職于一家韓國網(wǎng)絡安全公司的研究員近期發(fā)現(xiàn)，某些受害公司的數(shù)據(jù)已經(jīng)從暗網(wǎng)上被移除，該研究人員懷疑已經(jīng)有公司向 Cl0p 支付了贖金。

    該組織近日宣稱，包括斯坦福大學在內(nèi)他們已經(jīng)入侵了美國六所大學的數(shù)據(jù)庫，并盜取了學生和職員的個人隱私信息。但另一些研究者認為，目前我們所知道的受害者和案件或許只是冰山一角。一位長期追蹤網(wǎng)絡黑客行動的研究者告訴 Vice，Cl0p 看似于 2020 年年底活躍至今，但事實上該組織存在的時間遠比想象中的要長久。他們可能已經(jīng)多次易名，真要追蹤起來，2017-2018 年間在網(wǎng)絡展開針對金融、零售和酒店業(yè)公司的有組織黑客行動的網(wǎng)絡組織 FIN11，以及 2019 年臭名昭著的比特幣勒索事件的始作俑者 TA505 都是該組織的前身。
    網(wǎng)絡安全公司 FireEye 此前發(fā)布的調(diào)研報告指出，比起其他零散的黑客組織，Cl0p 展現(xiàn)出了更組織化的行動模式。他們的入侵方式并不精巧，而是以量取勝，每周該組織都會進行約五次的大規(guī)模入侵，甚至可能將部分黑客工作通過外包給其他 " 黑客散戶 " 以實現(xiàn)他們的大面積入侵。
    一位追蹤 Cl0p 的安全研究員告訴 Vice，在調(diào)研過程中，他發(fā)現(xiàn)該組織就像機器一樣運作著，他如此描述 Cl0p：" 冷酷無情、復雜而創(chuàng)新、組織嚴密、結(jié)構(gòu)合理 "，并且 " 非?；钴S，幾乎不休不眠 "。一位黑客在與受害者交涉的過程中聲稱：" 在我們的團隊中沒有‘我’，只有‘我們’，每個人都是可以被替換的。"
     一些受害公司向 Vice 透露，Cl0p 在與他們交涉的過程中 " 彬彬有禮 "，并且愿意讓步。此前曾有公司與之討價還價，最終將贖金從 2000 萬美金降低到了 600 萬美金。如果快速支付贖金，Cl0p 還會提供一些 " 優(yōu)惠 "，在 3-4 天內(nèi)快速支付贖金的公司，Cl0p 會給他們打 30% 的折扣。
    這很可能意味著 Cl0p 的管理效率頗高，或者團隊達成了一致的共識。因為大部分黑客組織常常會在取得成功后暴露出貪婪的一面，但 Cl0p 顯然更傾向于緩慢地、有組織地擴展和增長。
    目前針對該組織的追蹤調(diào)查還在繼續(xù)。FireEye 金融犯罪分析團隊經(jīng)理古迪（Kimberly Goody）告訴 Vice，分析工作有了一點點進展。她的團隊在解析 Cl0p 的勒索軟件時發(fā)現(xiàn)了該軟件中有俄語的元數(shù)據(jù)，并且該組織的行為習慣也符合俄羅斯所在時區(qū)的作息。但這并不意味著該組織來自俄羅斯，古迪表示，如果黑客們足夠聰明，這些痕跡都是可以偽造的，以便不引起某些國家和地區(qū)政府的注意。
    古迪認為，要找到潛伏于幕后的黑客，只能等待黑客犯錯。只要黑客活動還在繼續(xù)，他們 " 犯錯只是時間問題 "。