繼拉撒路(Lazarus Group)之后,又一個(gè)國(guó)家黑客組織被發(fā)現(xiàn)參與大規(guī)模加密貨幣挖礦行動(dòng)。
微軟本周一的報(bào)告發(fā)現(xiàn),越南政府支持的黑客開(kāi)始在常規(guī)的網(wǎng)絡(luò)間諜工具套件中部署加密貨幣挖礦軟件。
該報(bào)告指出越來(lái)越多的國(guó)家支持的黑客組織開(kāi)始將目光投向了常規(guī)的網(wǎng)絡(luò)犯罪活動(dòng),這使得對(duì)財(cái)務(wù)動(dòng)機(jī)的犯罪與情報(bào)收集活動(dòng)的區(qū)分變得更加困難。
APT32加入門(mén)羅幣采礦大軍
該越南黑客組織在微軟內(nèi)部的追蹤代號(hào)為Bismuth,自2012年以來(lái)一直活躍,在安全業(yè)界廣為人知的代號(hào)還包括APT32和OceanLotus(海蓮花)等。
APT32成立以來(lái)大部分時(shí)間都在組織國(guó)內(nèi)外的復(fù)雜黑客活動(dòng),目的是收集信息以幫助其政府處理政治、經(jīng)濟(jì)和外交政策決策。近年來(lái)隨著越南經(jīng)濟(jì)的高速發(fā)展,汽車(chē)行業(yè)成為APT32的關(guān)注重點(diǎn)。
但是微軟的報(bào)告指出,這個(gè)夏天該小組的活動(dòng)策略發(fā)生了變化。
微軟表示:“在2020年7月至2020年8月的美國(guó)總統(tǒng)大選活動(dòng)期間,該組織將門(mén)羅幣礦機(jī)程序部署到了針對(duì)法國(guó)和越南私營(yíng)部門(mén)以及政府機(jī)構(gòu)的攻擊中。”
目前尚不清楚該APT32為何改變策略,微軟認(rèn)為存在兩種可能:首先,APT32可能希望借助加密貨幣挖礦軟件來(lái)掩蓋自己的真實(shí)目的,誘使事件響應(yīng)者以為自己是最低優(yōu)先級(jí)的路過(guò)攻擊。其次,APT32小組可能正在嘗試從常規(guī)的網(wǎng)絡(luò)間諜活動(dòng)中“撈些外快”。
第二種假設(shè)也符合網(wǎng)絡(luò)安全行業(yè)的普遍趨勢(shì)。近年來(lái),俄羅斯、伊朗和朝鮮政府資助的黑客組織也經(jīng)常會(huì)出于純粹的賺錢(qián)目的而攻擊目標(biāo),獲取收益。
國(guó)家黑客發(fā)動(dòng)此類(lèi)攻擊的一個(gè)重要原因是,這些團(tuán)體通常在當(dāng)?shù)卣闹苯颖Wo(hù)下進(jìn)行活動(dòng),無(wú)論是作為承包商還是情報(bào)人員,他們也都在與美國(guó)沒(méi)有引渡條約的國(guó)家/地區(qū)內(nèi)開(kāi)展活動(dòng),從而使他們隨心所欲、肆無(wú)忌憚地發(fā)動(dòng)任何攻擊,而不用擔(dān)心后果。
APT32所在的越南也缺乏與美國(guó)的引渡條約,而且根據(jù)牛津大學(xué)人類(lèi)網(wǎng)絡(luò)犯罪項(xiàng)目主任Lusthaus的調(diào)研《匿名行業(yè):網(wǎng)絡(luò)犯罪業(yè)務(wù)內(nèi)部》,越南有望在未來(lái)十年成為新的網(wǎng)絡(luò)犯罪中心和避風(fēng)港。事實(shí)上從2018年開(kāi)始,網(wǎng)絡(luò)安全行業(yè)就觀察到越南的進(jìn)攻性網(wǎng)絡(luò)活動(dòng)開(kāi)始激增。