信息來源:華盟網(wǎng)
2021 年 3 月底,供職于加拿大網(wǎng)絡(luò)安全公司 Emsisoft 的研究員凱特(Kat Garcia)收到了一封陌生的郵件。郵件發(fā)送者自稱是來自網(wǎng)絡(luò)黑客組織 Cl0p 的成員,他聲稱該組織已經(jīng)掌握了凱特的個(gè)人電話、郵箱、家庭住址、信用卡信息和社會(huì)安全號(hào)碼。
這是一封威脅信。通過入侵凱特曾光顧過的一家母嬰服裝店的數(shù)據(jù)服務(wù)器,黑客獲得了她記錄在服務(wù)器上的私人信息。在信中,對(duì)方要求通過凱特與 Emsisoft 公司取得聯(lián)系,并通知她,如果公司沒有與 Cl0p 聯(lián)系,那么她的個(gè)人信息將被公布在暗網(wǎng)上。此外,黑客還用挑釁的口吻寫道:" 你也可以致電這家商店,讓商家保護(hù)你的個(gè)人隱私。"
凱特將受威脅一事告訴了 Vice,后者將其梳理成了一篇報(bào)道。4 月 14 日,這篇報(bào)道刊載出來,將目前互聯(lián)網(wǎng)黑客活動(dòng)最頻繁的黑客組織 Cl0p 的一部分運(yùn)作模式公之于眾。
據(jù) ComputerWeekly 此前的報(bào)道顯示,凱特并不是唯一的受害人。2021 年 2 月 11 日,新加坡電信公司的一臺(tái)舊服務(wù)器遭遇黑客入侵;2 月 24 日,加拿大飛機(jī)制造商龐巴迪公司服務(wù)器被黑,部分內(nèi)部數(shù)據(jù)被公開在暗網(wǎng);3 月 4 日,Cl0p 入侵網(wǎng)絡(luò)安全服務(wù)供應(yīng)商 Qualys 的服務(wù)器,并在暗網(wǎng)公布了文件截圖,泄露數(shù)據(jù)包括發(fā)票、采購(gòu)訂單、稅務(wù)文件和數(shù)據(jù)報(bào)告;3 月 23 日,能源巨頭殼牌公司發(fā)布聲明,稱其數(shù)據(jù)服務(wù)器在 2020 年 12 月就遭遇了黑客攻擊,被盜數(shù)據(jù)包括個(gè)人數(shù)據(jù)以及設(shè)計(jì)公司和利益相關(guān)者的數(shù)據(jù)。
一系列入侵行動(dòng)的始作俑者都是 Cl0p。他們以凱特這樣的個(gè)人為切入點(diǎn),通過威脅公司職員獲得所需的數(shù)據(jù),再通過這些數(shù)據(jù)入侵目標(biāo)公司的服務(wù)器。這一過程中,該組織頻繁利用了一個(gè)文件共享服務(wù)漏洞。這一漏洞出現(xiàn)在由 Appliance 公司提供技術(shù)支持的文件系統(tǒng)中,全球約有 300 家企業(yè)在使用這項(xiàng)服務(wù)。
這一入侵手法被稱為 " 供應(yīng)鏈攻擊 "(supply chain attack),黑客利用互聯(lián)網(wǎng)服務(wù)供應(yīng)商與用戶間的信任,針對(duì)供應(yīng)商的軟件漏洞對(duì)該供應(yīng)商的用戶展開大規(guī)模入侵。之后以數(shù)據(jù)為要挾要求公司支付贖金,如果受害者及時(shí)付款,數(shù)據(jù)會(huì)被刪除,黑客甚至?xí)浿苿h除視頻以證明危機(jī)已經(jīng)解除,如果不按時(shí)付款,Cl0p 就會(huì)開始逐步放出該公司的數(shù)據(jù)。
目前,Cl0p 的受害者名單上已經(jīng)擴(kuò)展到了多達(dá) 50 家企業(yè)和機(jī)構(gòu),從殼牌這樣的商業(yè)公司到斯坦福大學(xué)這樣的學(xué)校,都已經(jīng)被他們?nèi)局高^。而一位就職于一家韓國(guó)網(wǎng)絡(luò)安全公司的研究員近期發(fā)現(xiàn),某些受害公司的數(shù)據(jù)已經(jīng)從暗網(wǎng)上被移除,該研究人員懷疑已經(jīng)有公司向 Cl0p 支付了贖金。
該組織近日宣稱,包括斯坦福大學(xué)在內(nèi)他們已經(jīng)入侵了美國(guó)六所大學(xué)的數(shù)據(jù)庫(kù),并盜取了學(xué)生和職員的個(gè)人隱私信息。但另一些研究者認(rèn)為,目前我們所知道的受害者和案件或許只是冰山一角。一位長(zhǎng)期追蹤網(wǎng)絡(luò)黑客行動(dòng)的研究者告訴 Vice,Cl0p 看似于 2020 年年底活躍至今,但事實(shí)上該組織存在的時(shí)間遠(yuǎn)比想象中的要長(zhǎng)久。他們可能已經(jīng)多次易名,真要追蹤起來,2017-2018 年間在網(wǎng)絡(luò)展開針對(duì)金融、零售和酒店業(yè)公司的有組織黑客行動(dòng)的網(wǎng)絡(luò)組織 FIN11,以及 2019 年臭名昭著的比特幣勒索事件的始作俑者 TA505 都是該組織的前身。
網(wǎng)絡(luò)安全公司 FireEye 此前發(fā)布的調(diào)研報(bào)告指出,比起其他零散的黑客組織,Cl0p 展現(xiàn)出了更組織化的行動(dòng)模式。他們的入侵方式并不精巧,而是以量取勝,每周該組織都會(huì)進(jìn)行約五次的大規(guī)模入侵,甚至可能將部分黑客工作通過外包給其他 " 黑客散戶 " 以實(shí)現(xiàn)他們的大面積入侵。
一位追蹤 Cl0p 的安全研究員告訴 Vice,在調(diào)研過程中,他發(fā)現(xiàn)該組織就像機(jī)器一樣運(yùn)作著,他如此描述 Cl0p:" 冷酷無情、復(fù)雜而創(chuàng)新、組織嚴(yán)密、結(jié)構(gòu)合理 ",并且 " 非?;钴S,幾乎不休不眠 "。一位黑客在與受害者交涉的過程中聲稱:" 在我們的團(tuán)隊(duì)中沒有‘我’,只有‘我們’,每個(gè)人都是可以被替換的。"
一些受害公司向 Vice 透露,Cl0p 在與他們交涉的過程中 " 彬彬有禮 ",并且愿意讓步。此前曾有公司與之討價(jià)還價(jià),最終將贖金從 2000 萬美金降低到了 600 萬美金。如果快速支付贖金,Cl0p 還會(huì)提供一些 " 優(yōu)惠 ",在 3-4 天內(nèi)快速支付贖金的公司,Cl0p 會(huì)給他們打 30% 的折扣。
這很可能意味著 Cl0p 的管理效率頗高,或者團(tuán)隊(duì)達(dá)成了一致的共識(shí)。因?yàn)榇蟛糠趾诳徒M織常常會(huì)在取得成功后暴露出貪婪的一面,但 Cl0p 顯然更傾向于緩慢地、有組織地?cái)U(kuò)展和增長(zhǎng)。
目前針對(duì)該組織的追蹤調(diào)查還在繼續(xù)。FireEye 金融犯罪分析團(tuán)隊(duì)經(jīng)理古迪(Kimberly Goody)告訴 Vice,分析工作有了一點(diǎn)點(diǎn)進(jìn)展。她的團(tuán)隊(duì)在解析 Cl0p 的勒索軟件時(shí)發(fā)現(xiàn)了該軟件中有俄語(yǔ)的元數(shù)據(jù),并且該組織的行為習(xí)慣也符合俄羅斯所在時(shí)區(qū)的作息。但這并不意味著該組織來自俄羅斯,古迪表示,如果黑客們足夠聰明,這些痕跡都是可以偽造的,以便不引起某些國(guó)家和地區(qū)政府的注意。
古迪認(rèn)為,要找到潛伏于幕后的黑客,只能等待黑客犯錯(cuò)。只要黑客活動(dòng)還在繼續(xù),他們 " 犯錯(cuò)只是時(shí)間問題 "。