2021年全球活跃黑客组织掠影*

刘国山，吕 玮

（中国电子科技集团公司第三十研究所，四川 成都 610041）

0 引 言

2021年，随着数字货币的流行以及国家间对抗的加剧，以“高级持续性威胁”（APT）组织为代表的黑客组织高度活跃，严重危及各国的政治、经济和军事安全，甚至一度引发社会动荡。这一年来，利用主流产品的漏洞入侵系统仍是黑客组织最青睐的攻击手段，被利用的零日漏洞仅在2021年上半年内就多达40个，范围遍及Windows、Microsoft Office、iOS、Android和Chrome等几乎所有主流系统和软件；自“太阳风”事件以来，软件供应链已然沦为黑客攻击的重灾区，拥有海量客户的国际航空电信协会（SITA）和代码测试公司Codecov相继遭到入侵；针对网络安全机构的攻击日益增多，黑客组织试图直接掠夺前者的研究成果为己所用。这一切都反映出黑客组织的活动呈继续上升之势，防范APT威胁仍是网络安全领域的重中之重。鉴于黑客组织为数众多、难以尽述，笔者便选取了5个在2021年中相对活跃且具有代表性的组织，以管窥2021年中全球黑客组织的活动态势。

1 Darkside

Darkside是疑似来自东欧地区或俄罗斯的勒索软件组织，一般认为其没有政府背景。Darkside从2020年8月开始活动，并因2021年5月攻击美国最大的燃油管道运营商Colonial Pipeline而声名鹊起。Darkside主要针对以美国为首的非斯拉夫语系国家[1]，且不攻击医院、收容所、学校、大学、非营利组织或政府机构，而是专注于有能力支付巨额赎金的大型企业，为此还会事先分析目标的财务状况[2]。Darkside的目的是获取经济利益，因攻击Colonial公司而引发美国社会动荡多半不在其预料之内。在美国的强大压力下，Colonial事件一结束，Darkside便被迫终止运行。

1.1 活动情况

1.1.1 2021年内的活动

2021年5月，美国最大的燃油管道商Colonial Pipeline遭到勒索软件攻击，该公司被迫关闭了主要的燃料传输管道，导致美国东海岸多达45%的燃料供应中断，并引发美国民众恐慌性抢油。Colonial公司于攻击当日就已向Darkside支付了440万美元赎金，但由于后者提供的解密工具恢复速度过慢，Colonial公司最后只得使用备份数据恢复系统，并于17日完全恢复正常的燃料供应水平。

1.1.2 以往的重大活动

Darkside属于新兴组织，在Colonial事件前没有引起广泛关注的重大活动，只有一家加拿大软件公司在2020年沦为其受害者。不过Darkside于2020年11月推出了一种“勒索软件即服务”（RaaS）模式，以供其他网络犯罪组织有偿使用其开发的勒索软件。

1.2 活动特点

1.2.1 攻击范围十分明确

Darkside的勒索软件会检查所入侵系统的位置和语言，以绕开大部分苏联加盟国（波罗的海三国不在此列）以及叙利亚。此外Darkside还在公开声明中明确表示，其不会攻击医疗机构、教育机构、公共部门和非营利组织。网络安全公司Digital Shadows认为Darkside很可能在利用ZoomInfo等市场调查公司的数据来判断受害者的偿付能力，以便将目标锁定在实力雄厚的公司身上。从实际影响来看，受Darkside勒索软件影响最大的国家是美国，但计算机感染率最高的国家是以色列。

1.2.2 对外提供勒索“服务”

Darkside不但直接投放勒索软件以索取赎金，还向其他网络犯罪分子提供所谓的RaaS服务，即允许这些“客户”使用他们的勒索软件（甚至可在一定程度上为“客户”定制这些软件）攻击目标，并以分享对方得到的赎金作为回报。网络安全公司Mandiant称，Darkside至少向5伙网络犯罪分子提供了其开发的勒索软件。

1.2.3 实行多重勒索策略

和近年来的许多勒索软件组织一样，Darkside采取了双重勒索策略，即同时以数据加密和数据泄露来威胁受害者。2021年4月，Darkside又在其RaaS服务中新增了分布式拒绝服务攻击（Distributed Denial of Service，DDoS）作为威胁，从而将双重勒索策略升级为三重勒索策略。

1.3 典型工具

Darkside只开发了一款同名勒索软件，并对该软件进行过更新。首先，该软件会通过网络钓鱼、滥用远程桌面协议（Remove Desktop Protocol，RDP）以 及CVE-2019-5544和CVE-2020-3992等已知漏洞来获取初始访问权限；其次，收集关于计算机名称和系统语言的信息，以确定该系统是否在攻击范围以内；最后，Darkside会通过横向移动来获取域控制器（Domain Controller，DC）或 活 动 目 录Active Directory的访问权限，以此窃取凭据、提升权限（比如通过CMSTPLUA COM接口的UAC绕过技术来获取管理员权限）和获取有价值的数据。该软件具有下述特点。

1.3.1 识别攻击对象

Darkside勒索软件最先启动的功能就是收集系统信息，如果判定系统属于禁止攻击的对象，Darkside则不会攻击该系统。

1.3.2 代码与REvil相似

Darkside勒索软件与另一款著名的勒索软件REvil有许多相似之处，比如赎金票据的结构相近，都利用PowerShell工具从网络中删除卷影副本，并都会建立加密信道以便与受害者沟通。这意味着这两个勒索软件组织可能存在人员上的交互。

1.3.3 利用洋葱网络隐藏身份

Darkside勒索软件主要依靠RDP客户端通过443端口建立命令与控制（C2）信道，然后通过HTTPS加密协议和洋葱网络（Tor）重新定向发送至本地端口的流量，从而将C2流量混入正常的Web流量，以增加检测和溯源难度。

1.4 常用攻击技术

Darkside会通过网络钓鱼以及利用可远程访问的账户、系统和虚拟桌面基础设施（VDI）获得初始访问权限，然后部署Darkside勒索软件以加密和窃取数据。Darkside勒索软件会根据操作系统选择不同的加密算法：对Linux系统使用RSA-4096和ChaCha20流密码；对Windows系统则使用RSA-1024和Salsa20算法。Darkside常用的攻击技术如下文所述。

1.4.1 初始访问

Darkside勒索软件会通过网络钓鱼、滥用远程桌面协议（RDP）以及CVE-2019-5544和CVE-2020-3992等已知漏洞来获取初始访问权限，而在整个攻击过程中，Darkside的攻击人员还会使用PowerShell等合法的工具来掩盖攻击。

1.4.2 横向移动

Darkside勒索软件会利用PSExec和RDP来实现横向移动/远程执行，主要目标则是控制域控制器（DC）。一旦控制DC，该软件就会开始收集其他敏感信息和文件（包括存储目标密码的SAM），并利用PowerShell工具从此前已被感染的其他主机创建的共享文件夹中下载该软件的二进制代码。在获取所有必要数据后，该软件便会利用bitsadmin.exe工具将这些代码传播到内网环境中的其他设备上，以实现最大程度的扩散。

1.4.3 数据渗漏

和其他双重勒索软件一样，在加密文件前，Darkside勒索软件会先利用合法工具来向黑客组织传输这些文件，即所谓的“数据渗漏”。Darkside勒索软件会利用7-Zip压缩工具来压缩文件，然后通过Rclone和Mega客户端上传至云空间，同时利用串行接口连接软件PuTTy来传输文件。此外，Darkside还使用了隐藏在Tor中的多个站点来托管所窃取的数据。

2 Turla

Turla亦 称Waterbug、Venomous Bear、Snake、Belugasturgeon和Ouroboros等，是专门攻击政府机构的“老牌”国家级黑客组织，据信获得了俄罗斯联邦安全局（FSB）的支持[3]。Turla从1996年开始活动，自2015年起活动力度有所增大，目前其活动范围已扩展至45个国家。Turla的目的主要是从外交、政务、军事和科研部门窃取情报，目前已知的受害单位包括美国中央司令部、美国国务院、美国航空航天局、德国外交部、比利时、乌克兰、中国、约旦、希腊、哈萨克斯坦、亚美尼亚、波兰和德国的大使馆、法国军队以及瑞士军工企业RUAG等，此外Turla也曾攻击过俄罗斯境内存在腐败嫌疑的目标。

2.1 活动情况

2.1.1 2021年内的活动

Turla在2021年内的最主要活动仍是2020年12月底曝光、此后一直余波未了的“太阳风”（SolarWinds）软件供应链攻击活动。据信Turla和受俄罗斯对外情报局（SVR）支持的黑客组织APT29展开合作[4]，早在2019年4月就在“太阳风”公司的网络管理软件Orion中植入名为Sunburst的后门，而该后门与Turla此前开发的Kazuar存在若干相同特征。Turla利用该后门入侵多国政府部门、关键基础设施以及全球500强企业的内部网络，是近10年来最严重的网络安全事件之一。

此外，网络安全公司思科（Cisco）还于2021年9月发现，Turla至少从2020年起就部署了一种名为TinyTurla的后门[5]。该后门的代码非常简单，难以被安全工具判定为恶意软件，因此，即使清理掉了其他恶意软件，黑客也仍可通过该后门再次入侵系统。

2.1.2 以往的重大活动

Turla曾发动过多次重大网络攻击活动，其中最引人注目的活动如下文所述。

（1）Moonlight Maze：1996年，Turla从美国航空航天局、美国国防部、美国能源部及其他许多美国政府机构、科研机构及军事承包商的网络中窃取了大量保密信息，包括技术信息、军事地图、军队部署、军用硬件的设计以及加密技术等。

（2）Agent.BTZ：2008年，驻中东美军人员拾取了带有Agent.BTZ蠕虫病毒（由Turla开发的窃密软件，能够扫描计算机中的敏感信息，并将数据发送到远程命令与控制服务器）的U盘，并将其插入军用电脑，导致病毒扩散到美军中央司令部的网络中，最终，美军花了14个月才将该病毒清理干净。此事件迫使美军全面禁用U盘，并因此建立了网络司令部。

（3）Epic Turla：2013年，网络安全公司卡巴斯基发现了名为“Epic Turla”的大规模网络间谍活动，此次活动中有超过45个国家/地区的数百台计算机被感染，主要入侵目标是欧盟国家的内政、商贸、外交、情报、军事、研究和教育机构以及制药公司，其中法国是受害最严重的国家。

2.2 活动特点

2.2.1 主要针对Windows平台

Turla的网络攻击活动主要针对Windows平台，并为此开发了多语言环境下的自研特马和开源木马，其中部分特马不断更新，迄今仍在使用。

2.2.2 借助卫星通信隐藏身份

自2007年以来，Turla利用卫星通信中固有的安全缺陷来隐藏C2服务器的位置和控制中心，并倾向于选择使用仅覆盖非洲地区的卫星提供商，这使非洲之外的研究人员很难调查Turla小组的活动。

2.2.3 劫持其他APT组织的基础设施

Turla曾于2017年至2018年间入侵伊朗黑客组织APT34的服务器，利用被APT34感染的计算机来投放Turla自己的恶意软件，而APT34似乎对此毫无察觉。

2.3 典型工具

Turla的工具库中包括具备数据收集和shell执行功能的后门，具备远程监测与控制功能的组件以及开源工具等。这些工具种类繁多，难以追踪，且大多都能及时进行技术更新，部分典型工具如表1所示。这些工具主要特点如下文所述。

表1 Turla使用的部分典型工具

2.3.1 采用多种持久化设计

为确保长期渗透，Turla采用了将Powershell的攻击核心载荷存储于Windows注册表项中以及注册自启服务等多种持久化方式。

2.3.2 注重环境适用性

为保证攻击载荷能在多种PC环境下稳定运行，Turla为其大部分攻击组件编写了与环境适配、工具探测及绕过安全机制有关的代码。

2.3.3 加密算法独特

Turla的攻击组件不使用常见的传统加密算法，而是采用了独特的加密算法和密钥。

2.4 常用攻击技术

Turla擅于利用鱼叉攻击和水坑攻击等社会工程学手段来投送攻击载荷，再利用后门收集PC数据，然后根据所得数据来决定是否实施下一阶段的攻击。之后攻击载荷会在攻击者的指示下在局域网内横向移动，并通过管道协议的RPC通信监听局域网段。Turla常用的攻击方式如下文所述。

2.4.1 鱼叉攻击

Turla惯于投递夹带恶意程序和漏洞的电子邮件，并通过社会工程学手段诱导用户点击执行文件。其鱼叉攻击载荷通常为漏洞文件、宏文件或伪装安装包。

2.4.2 水坑攻击

Turla偏爱引诱目标受害者访问设有“水坑”的合法网站。早期Turla倾向于在网站中嵌入JavaScript代码，并在用户访问时执行这些代码，以获取浏览器的插件列表等信息；近期Turla的攻击方式则更为直接，比如在完成指纹识别后下发恶意的Adobe Flash安装包。

2.4.3 MITM流量劫持与篡改

Turla曾多次以“中间人攻击”（MITM）的方式劫持Adobe的网络，从而暗中替换用户下载的软件更新包，由此控制目标主机。不过该方式需获取核心路由权限，甚至需要劫持企业/政府的关键节点。

3 APT29

APT29亦称Cozy Bear、Dark Halo、The Dukes和Nobelium等，是主要攻击北约及欧盟成员国的政府网络、研究机构和智库的黑客组织，据信获得了俄罗斯对外情报局（SVR）网络行动中心（COC）的支持[4]。APT29从2008年开始活动，目前其活动范围已扩展至40多个国家。APT29的目的主要是收集情报，以支持俄罗斯的外交和安全政策[6]。目前已知的受害者包括美国国防部、美国国务院、白宫、美国民主党全国委员会、美国共和党全国委员会、荷兰警方、荷兰总务部、挪威国防部和挪威外交部等政府机构，新美国安全中心（CNAS）、国际战略研究所（IISS）和美国对外关系委员会（CFR）等知名智库。此外，据称车臣叛乱组织和俄罗斯贩毒团伙等非法组织也属于APT29的攻击目标。

3.1 活动情况

3.1.1 2021年内的活动

2021年7月，APT29入侵了美国共和党全国委员会（RNC）的承包商Synnex的计算机系统。作为微软解决方案的分销商，Synnex证实有黑客试图通过微软云环境入侵其客户的网络，RNC在得知此事后立即关闭了Synnex账户对其云环境的访问权限，而微软检查RNC的系统后未发现入侵迹象[7]。

3.1.2 以往的重大活动

APT29曾发动过多次重大网络攻击活动，其中最引人注目的活动如下文所述。

（1）Ghost：2019年10月，网络安全公司ESET发现APT29至少从2013年起就入侵了3个欧洲国家的外交部以及一个欧盟国家的驻美大使馆。APT29在活动中使用了MiniDuke等5种后门，并利用Twitter、Imgur和Reddit等社交平台作为主要的命令与控制（C2）渠道。

（2）入侵五角大楼：2015年，美国国防部的非保密电子邮件系统遭到APT29的鱼叉式网络钓鱼攻击，后者使用的恶意软件能够快速收集大量数据，并在一分钟内就将收集到的所有信息发送给互联网上的数千个加密账户。美国国防部在几天后才发现遭到入侵，随即将上述邮件系统暂时关闭了近两周，导致约4000名军职和文职人员的工作受到影响。

（3）入侵DNC：2016年，APT29与APT28（据信受到俄罗斯情报部门支持的另一个黑客组织）共同攻击了美国民主党全国委员会（DNC）的网络，有数十个DNC电子邮箱沦为鱼叉式网络钓鱼的攻击目标[8]。APT29窃取了数千份文件，其中包括民主党的战略文件、筹款数据以及政治对手分析等，数据量多达300 GB左右。APT29将一些电子邮件交给维基揭密（WikiLeak）网站，后者随即发布了这些邮件，此举对美国民主党的声誉造成巨大打击，甚至可能影响了2016年的美国大选。

（4）入侵挪威政府：2017年，挪威警察安全局（PST）指控APT29对挪威国防部、外交部、辐射防护局、工党和一所学校的9名重要人物（包括PST局长）的电子邮箱实施鱼叉式网络钓鱼攻击。此次攻击的目标不明，但PST声称黑客并未获取任何保密信息。

（5）太阳风事件：2020年，网络安全公司FireEye发现APT29和Turla早在2019年4月就在“太阳风”公司的网络管理软件Orion中植入名为Sunburst的后门，由此入侵了多国政府部门、关键基础设施以及全球500强企业的内部网络，堪称近十年来最严重的网络安全事件之一。

3.2 活动特点

3.2.1 擅长大规模鱼叉式网络钓鱼

APT29在多次重大活动中都采用了大规模鱼叉式网络钓鱼的攻击方式，其会向特定范围内的数百甚至数千个电子邮箱发送带有恶意链接或恶意程序的邮件，一旦入侵成功，其恶意程序就会快速收集受感染设备的数据并上传至APT29控制的服务器。一旦在数据分析中发现较有价值的目标，APT29就会迅速改用其他工具，以便更隐蔽地长期入侵该目标。

3.2.2 着重收集地缘政治情报

不同于具有相似背景的APT28，APT29一般不实施破坏性攻击，而是以更加隐蔽而复杂的手段收集地缘政治情报，比如其虽入侵了美国两党、挪威政府和荷兰政府的网络，但皆未采取任何破坏行动。

3.2.3 编码水平高超

APT29很罕见地采用了汇编语言来编写代码，此类语言编写困难，调试不易，但能高效且精确地执行恶意程序。此举意味着APT29成员拥有十分高超的编程能力，能够熟练运用此类使用不便的低级语言来开发最高效的恶意软件。

3.3 典型工具

APT29的工具库十分丰富，其中包含大量服务于鱼叉式网络钓鱼的工具，比如内藏恶意宏的Word文档和作为初始后门的HammerToss和PowerDuke等，另外，也有通过初始后门下载的次级后门POSHSPY、用于执行任意shell命令的WellMess以及用于入侵VPN服务的SoreFang等形形色色的工具，部分典型工具如表2所示。这些工具的主要特点如下文所述。

表2 APT29使用的部分典型工具

3.3.1 利用域名前移规避审查

虽然Tor可以有效防止溯源，但攻击方若直接通过Tor入侵目标，则可能被某些防御机制判定为可疑流量。有鉴于此，APT29利用Meek插件将Tor流量包装到看似无害的google.com HTTPS POST请求中，从而通过这种“域名前移”（Domain Fronting）技术来规避网络审查。

3.3.2 依靠社交平台传递C2命令

APT29往往不会在服务器与受感染设备之间建立专门的命令与控制（C2）信道，而是借助Twitter和Github等社交平台来控制恶意软件，以利用合法数据流来掩盖C2指令。举例来说，APT29会让恶意软件定时访问某个Twitter账户，而APT29会按时用该账户发送一条带网址链接的推文。该网址指向的图片看似正常，实则是藏有C2指令并附带密钥的加密图片。

3.3.3 利用隐写术加强隐蔽性

APT29的恶意软件PolyglotDuke和RegDuke使用了图像隐写术来隐藏C2命令，在用于发布命令的png图片中，每个像素的RGB值都存放了1字节的信息，而恶意软件可按预定顺序识别出这些信息，再将其组合成高级加密标准（Advanced Encryption Standard，AES）字符串，从而解密出完整命令。

3.4 常用攻击技术

APT29通常使用公开可用的漏洞来大范围扫描和利用安全水平不佳的系统，以此获取身份凭证。之后APT29可能会暂时按兵不动，以免被网络安全工具和人员所察觉；而当使用窃取的凭证时，APT29则可能使用Tor和VPN等匿名信道来传输C2命令和数据。APT29常用的攻击技术如下文所述。

3.4.1 落地环境检测

为加强攻击的针对性以及避免落入蜜罐等虚拟环境，APT29的早期恶意软件Dukes系列采用了一种基于数理统计的简单检测方式。APT29会在环境检测代码中设置一个初始值为0的score变量，然后逐一检测是否存在杀毒软件、是否处于虚拟环境、是否存在安全工具、是否包含异常PC用户名称以及是否存在异常文件名称等。如有任何匹配，则在score值的基础上加上对应权值，待检测代码执行之后再将score值与给定阈值进行比较，以判断当前环境是否为目标环境。

3.4.2 软件延时上线

为了隐藏核心APT特马，APT29的部分恶意软件在入侵设备后，会用特定算法来计算休眠时间，然后进入暂时休眠状态。举例来说，“太阳风”事件中的APT29木马会在入侵后进行为期12～14天的休眠。

3.4.3 数据混合加密

APT29的恶意软件往往会采用独特的混合式加密算法。以WellMess为例，该木马会通过HTTP header的Cookie字段传输C2指令，并通过RC6+Base64+垃圾数据混淆的混合方式加密此类指令（RC6密钥多以硬编码形式存在于木马的二进制文件中）。

4 Lazarus

Lazarus亦 称Hidden Cobra、Zinc、APT-C-26和Guardians of Peace等，是最活跃的朝鲜黑客组织之一[9]，据信隶属于朝鲜情报机构侦察总局（RGB）第121局。Lazarus从2007年开始活动，自2013年起活动力度有所加强。Lazarus的活动范围遍及全球20多个国家，但头号攻击对象始终是韩国和美国[10]。Lazarus的目的主要是从全球各地的金融机构窃取资金和通过勒索软件索取赎金，获取技术情报，并攻击损害朝鲜形象的机构。目前已知的受害者包括韩国政府、多家韩国银行、索尼影视公司、若干美国国防承包商以及全球多家加密货币交易所。

4.1 活动情况

4.1.1 2021年内的活动

2021年1月，谷歌安全团队发现Lazarus长期潜伏在Twitter、LinkedIn、Telegram等社交媒体中，冒充网络安全人员与真正的网络安全人员进行交流，博取信任后打着共同研究漏洞的旗号，向对方发送内含恶意软件的Visual Studio项目文件，或是诱使对方访问内藏恶意代码的博客，从而入侵对方的系统。此举可令Lazarus直接窃取网络安全人员最新发现的漏洞，大大节省黑客工具的研发成本[11]。

4.1.2 以往的重大活动

Lazarus曾发动过多次重大网络攻击活动，其中最引人注目的活动如下文所述。

（1）Troy：2009年，Lazarus向白宫、美国国防部、纽约证券交易所和韩国总统府等美韩重要政企网站发起大规模分布式拒绝服务（DDoS）攻击，包括韩国总统府、韩国国防部、韩国国会、新韩银行、韩国外汇银行和顶级互联网门户网站Naver在内的韩国重要网站因此瘫痪。

（2）DarkSeoul：2013年，Lazarus擦 除 了韩国3家电视台和3家银行的近4万台计算机的硬盘数据，导致相关银行的业务中断数天，造成约7.5亿美元的损失。

（3）Blockbuster：2014年，索尼影视公司因拍摄嘲讽朝鲜领导人的电影而引起朝方强烈不满，Lazarus随即入侵索尼公司的内部网络，窃取了约6800名员工的个人记录、工资数据和电子邮件，以及索尼的商业记录、几部未发行的电影和尚未拍摄的剧本，并删除了3000多台计算机和800多台服务器上的数据[6]。

（4）SWIFT劫案：2016年，Lazarus通过Alreay攻击组件篡改极其重要的跨国结算系统“环球同业银行金融电讯协会”（SWIFT）软件，然后将孟加拉国央行存储在纽约联邦储备银行的10亿美元转入位于斯里兰卡和菲律宾的非法账户，最终有6300万美元未能追回。

（5）WannaCry：2017年，Lazarus利用美国国家安全局（NSA）存储并泄露的“永恒之蓝”（Eternal Blue）漏洞来散布勒索软件WannaCry，该软件最终感染了150多个国家的30多万台计算机，光是英国就有三分之一的医院因受到攻击而瘫痪，而全球范围内造成的损失超过40亿美元。

（6）AppleJeus：2018年起，Lazarus以虚假加密货币交易公司的名义开发了多款看似合法、实则内藏木马的加密货币交易应用程序，以便从下载者的账户中窃取加密数字货币，其受害者遍及全球30多个国家。

4.2 活动特点

4.2.1 经济动机明显

在朝鲜遭到国际制裁的背景下，为绕开制裁及获取外汇，Lazarus的首要动机就是窃取美元资产[6]。为此Lazarus攻击过韩国、美国、孟加拉国、墨西哥和乌拉圭等国的银行及加密货币交易平台，是对金融机构威胁最大的APT之一。

4.2.2 注重意识形态

Lazarus可能是唯一对影视公司发动大规模攻击的知名APT组织，其在2013年对韩国媒体的攻击以及2014年对索尼影视公司的攻击显然是出于意识形态，并确实在一定程度上吓阻了对朝负面宣传[12]。

4.2.3 组织分工明确

Lazarus下设3个小组，其中BlueNoroff小组（亦称APT 38或Stardust Chollima）负责伪造SWIFT指令，以便实现非法转账；AndAriel小组（亦称Silent Chollima）专门攻击韩国，韩国的政府、国防和金融机构皆是其攻击目标；BeagleBoyz小组负责从发展中国家的银行系统中窃取资金，自2015年以来，该小组已尝试窃取近20亿美元的资金。

4.3 典型工具

Lazarus的工具库中包括复杂的定制版恶意软件、DDoS僵尸网络、擦除器、勒索软件和SWIFT软件篡改工具等，这些工具的代码有许多相似之处，可见Lazarus背后应有稳定的黑客工具开发团队，部分典型工具如表3所示。这些工具主要特点如下文所述。

表3 Lazarus使用的部分典型工具

4.3.1 注重擦除程序

Lazarus开发了Destover等配备擦除功能的恶意软件，这些工具可以删除硬盘数据和事件记录等，以便实施破坏性攻击或在行动后擦除攻击者的活动痕迹。

4.3.2 采用反取证技术

Lazarus（尤其是BlueNoroff小组）的恶意软件往往会采用组件分离技术，以加大取证难度。

4.3.3 实施多层加密

为掩盖黑客活动，Lazarus不但会在受感染的服务器之间建立SSL加密信道，还会加密在信道间传输的数据。

4.4 常用攻击技术

Lazarus早期多利用僵尸网络对目标进行DDoS攻击，中后期改用鱼叉攻击、水坑攻击和供应链攻击等手段，并对高价值人员实施针对性的社会工程学攻击。总的来说，Lazarus的攻击周期普遍较长，通常会长时间潜伏在目标网络中。此外，为加大溯源难度，Lazarus每次攻击后都会修改其工具集的源代码。Lazarus常用的攻击技术如下文所述。

4.4.1 鱼叉攻击

Lazarus通常以夹带恶意文档（多为docx格式，后期增加了bmp格式）的邮件作为诱饵，并主要利用恶意宏、Office常见漏洞、零日漏洞和植入远程访问工具（RAT）的方式实现入侵。

4.4.2 水坑攻击

Lazarus惯于对欠发达地区的小规模银行及金融机构使用水坑攻击，比如Lazarus于2017年在波兰金融监管机构的官方网站中植入恶意JavaScript漏洞，从而将恶意软件下载至访问该网站的用户设备上。Lazarus的恶意软件最多感染了31个国家的104个组织，其中大多是波兰、智利、美国、墨西哥和巴西的金融机构。

4.4.3 社会工程学攻击

Lazarus十分擅长社会工程学攻击手段，甚至可能是最擅长冒充身份的APT组织。比如在2020年，Lazarus不但冒充卫生官员向制药公司索取关于新冠肺炎疫苗的信息，还冒充加密货币交易平台的招聘人员，通过向求职者发送恶意文档的形式入侵对方的加密货币钱包。

5 Cyber Partisans

Cyber Partisans是白俄罗斯的反政府黑客组织，其自称共15人，其中3～4人负责实施网络攻击，其他人则负责分析获取的数据[13]。Cyber Partisans从2020年8月的白俄罗斯总统大选后开始活动，并因利用网络攻击来支持反政府活动而声名大噪。Cyber Partisans的目标是通过泄露保密信息和篡改政府网站信息等方式来影响舆论，从而破坏白俄罗斯的政治稳定，最终颠覆现政府[14]。Cyber Partisans的活动目前只针对白俄罗斯政府、公务人员及亲政府人士，尚无企业及一般公众受到攻击的案例。

5.1 活动情况

5.1.1 2021年内的活动

2021年7月，Cyber Partisans入侵了白俄罗斯内政部数据库，获取了政府秘密监听的电话记录（总时长近200万分钟）、警方线人名单、政府官员的个人信息、警方无人机拍摄的视频、拘留中心的监控录像、护照数据、机动车辆注册信息以及新冠肺炎疫情死亡率统计数据等，数据总量超过5 TB。考虑这些信息的重要性，此次入侵堪称史上最成功的黑客攻击之一。举例来说，白俄罗斯驻外特工的护照信息和便衣警察车辆信息等保密信息一旦外泄，就极有可能危及白俄罗斯的国家安全。

此外，为妨碍白俄罗斯当局镇压游行示威，Cyber Partisans还于2021年9月公布了1000多名高级警官的个人信息（包括姓名、出生日期、所属部门和职务等），此举可能使这些警官因害怕被私下报复而在镇压行动中束手束脚。

5.1.2 以往的重大活动

Cyber Partisans在2021年前没有发动过重大网络攻击，仅开展过一些象征意义大于实际意义的入侵活动。这些活动主要集中在2020年9月，主要包括：入侵白俄罗斯国营媒体All-National TV和Belarus-1的线上频道，将新闻替换为警察镇压示威者的片段；入侵白俄罗斯内政部网站，将总统卢卡申科和内政部长卡拉耶夫列入网页上的通缉名单；入侵白俄罗斯总统府网站，在网页上展示白红相间的旗帜（反政府活动的象征）。

5.2 活动特点

5.2.1 与反对派里应外合

Cyber Partisans之所以“战果丰硕”，很可能是因为该组织与BYPOL等其他反政府团体进行了密切合作。BYPOL的成员中不但有许多前政府官员，甚至还有数百人仍在安全机构、内政部和边境管制部门等政府部门任职。BYPOL曾明确表示，其不但向Cyber Partisans提供了政府数据库结构等技术信息，还提供了安全部门对黑客活动的反应等重要情报。不难想象，BYPOL或许还向Cyber Partisans提供了身份凭证、系统薄弱环节和访问权限等便利条件，甚至直接将内部人员窃取的数据交给Cyber Partisans。

5.2.2 竭尽所能颠覆政府

不同于追求经济利益的勒索软件团伙和遮遮掩掩的国家级APT，Cyber Partisans宣布其唯一目标就是推翻白俄罗斯现政府，堪称全球政治倾向最明确的黑客组织[15]。Cyber Partisans为此实施了各式各样的黑客活动，包括利用“电报”（Telegram）等匿名社交平台及Nexta等境外媒体频繁发布对现政府不利的信息，篡改政府机构及国营媒体的网站、曝光安全人员信息以及建立对政府目标发动网络攻击的悬赏平台等。尽管这些活动不足以直接推翻政府，但确实使白俄罗斯政府承受了巨大的压力，比如美国就以Cyber Partisans发布的信息为由，对白俄罗斯实施了制裁。

5.2.3 积极配合游行示威

Cyber Partisans将游行示威视为推翻现政府的最大希望，因此，采取了多种手段来支援游行示威。举例来说，Cyber Partisans在谷歌地图的基础上绘制路障地图，以便示威者避开警方关卡；启动“白俄罗斯黑地图”等平台来曝光安全人员的家庭住址和联系方式，甚至利用人脸识别技术来揭露蒙面特警的身份，以借社会之手向这些人员施加压力；入侵240多个街道监控摄像头，由此绘制了一张标明摄像头位置、类型和视角等信息的地图，以供示威者更好地躲开官方监控。这些行为明显助长了游行示威的势头，加剧了白俄罗斯的政局动荡。

5.3 典型工具与攻击技术

Cyber Partisans并未使用能在网络中大肆传播的感染型黑客工具，白俄罗斯政府显然也不会透露政府网络的漏洞，因此，外界对该组织使用的工具和技术知之甚少。目前仅知道Cyber Partisans创建了一个网络社区，以便与白俄罗斯的其他反政府黑客组织共享云基础设施、工具、代码、虚拟专用网络（VPN）和各类开源系统，并将其获取的数据以加密形式保存在不联网的服务器上。不过Cyber Partisans于2021年年中表示，其准备使用一款名为“X-App”的恶意软件来关闭政府部门的计算机。此外，正如前文所述，虽然没有公开任何细节，但基本可以肯定政府部门中的“内鬼”为Cyber Partisans提供了很大帮助[16]。

6 近期黑客组织活动趋势

6.1 网络安全机构沦为新目标

2020年12月，不明黑客组织从顶级网络安全公司“火眼”（FireEye）窃取了测试用的网络攻击工具，这标志着继政府机构和大型企业之后，连网络安全的保护者也不幸沦为了黑客组织的围猎对象。以Lazarus在2021年中的活动为例，该组织提前一年就在推特、Github和Youtube等社交平台上注册了账号，然后连续数月发布与漏洞安全有关的文章。这些文章获得了大量网络安全人员的关注和转载，从而使这些由Lazarus操控的账号赢得了网络安全界的普遍信任。此后，Lazarus便以共同研究为名，向网络安全人员发送带有恶意代码的POC源码包，从而悄然入侵对方的设备和系统。Lazarus等黑客组织之所以试图入侵网络安全机构，多半是为了窃取网络安全机构发现的漏洞或研发的测试工具，从而大大减少在攻击准备付出上的成本。从Lazarus不惜花费一年时间进行布局来看，网络安全机构的成果对黑客组织来说颇具吸引力，未来针对此类机构的攻击很可能出现爆发式增长。

6.2 软件供应链攻击趋于常态化

从2020年起，以软件供应商为目标的供应链攻击与日俱增。在2021年上半年，有多家知名软件供应商都遭到黑客攻击，从供应、设计、研发、服务直到运维的各个环节都未能幸免。在2020年，软件供应链攻击还仅仅针对政府和教育界；而到2021年，此类攻击则进一步蔓延到交通等领域，比如有黑客组织于2021年3月入侵了SITA的旅客服务系统，由此窃取了10余家航空公司的旅客私密数据[17]。在选择软件供应链攻击的具体目标时，除了攻击主流产品的软件供应商以及供应商与用户之间的代理机构，为了更有利于接触最终目标单位的核心数据，黑客组织还会优先选择长期为该单位提供专属信息通信技术（ICT）服务的供应商，比如2021年11月对美国联邦调查局（FBI）对外邮件系统的入侵就是如此。即使在网络安全事件频发的今日，绝大部分用户也仍旧默认供应商提供的软件皆安全无虞，而黑客组织必然会继续利用这种心态，将软件供应链视作最“有用”的攻击目标之一。

6.3 攻击手法紧跟时事热点

利用人性弱点的社会工程学攻击向来是所有黑客组织的惯用手段，其中一种手法就是以最热门的政治经济信息来吸引受害者。2021年，ScarCruft、LuminousMoth和EdwardsPhesant等众多黑客组织继续利用时事热点来引诱用户点击恶意链接。例如，名为SideCopy的黑客组织就放出新冠肺炎疫情的相关信息，引诱亚洲和中东地区的外交和政府机构用户进入含有恶意HTA文件和JS文件的网站；而在2021年夏季的东京奥运会期间，奥运官方网站和奥组委系统则遭受约4.5亿次网络攻击（其中大多数是由黑客组织发起的DDoS攻击），此外，还出现了不少伪装的奥运相关非法网站，以骗取用户的系统权限和个人信息。与去年同期相比，黑客组织跟进时事热点的频率和范围明显上了一个台阶，对受害者的吸引力进一步加强。毫无疑问，未来黑客组织将继续以时事热点为饵，引诱缺乏防范意识的用户在不经意间进入恶意网站或下载恶意程序。

7 结 语

历经数十年的发展，如今的黑客活动早已脱离了“散兵游勇”的范畴，每起重大网络安全事件的背后往往都潜藏着一个组织严密、分工有序的黑客组织。近年来，美、英、澳等国纷纷提出网络威慑战略，而威慑的根本前提就是查明对手的身份，因此，若能厘清全球活跃黑客组织的主要特征，则无疑将有助于增强我国的网络威慑能力。