高級APT組織的十二星座運勢分析
對于網絡安全專業人士來說,當您在攻擊溯源分析的迷宮中絕望時,不妨請教一下您的夫人,聽聽她對高級持續威脅(APT)組織頭目的星座運勢的解讀,也許能讓您“茅塞頓開”。
人類信奉占星術已有上千年,雖然二次元唯物主義者對此類玄學嗤之以鼻,但是,人格與命運之間的強關聯是毋庸置疑的。我們必須清楚,每一個網絡攻擊策劃者和領導者,都是有著特定價值觀和性格的活生生的個人,擁有屬于自己星座的特質。
本文,我們將通過星座運勢歸類和分析當下最危險的APT組織,興許還能預測他們的“前程”(由于各安全公司和研究機構對APT的編號規則各有不同,本文統一使用Crowdstrike的APT命名規范):
白羊座(3月21日-4月19日)
白羊座大膽、雄心勃勃,甚至有點侵略性。APT組織Cobalt Spider(又名Cobalt Gang)很符合白羊座的氣質,該組織是一個基于經濟動機的犯罪集團,針對的是俄羅斯、中亞和東歐的金融機構。Cobalt Spider發送魚叉式網絡釣魚電子郵件,攻擊企業獲取利潤,讓自動柜員機吐錢是該組織最臭名昭著的黑客行動。
金牛座(4月20日-5月20日)
金牛座以其堅忍、耐心、放縱、實用主義和節儉著稱。Stardust Chollima(又名APT 38)以專注于創收而聞名,最接近這個星座的氣質。該APT組織與朝鮮有關聯,并為朝鮮政府獲取流動資金。Stardust Chollima的行動以長時間精心執行的攻擊為特征。
雙子座(5月21日-6月20日)
雙子座的人適應力強,異想天開,并且興趣廣泛。有傳言說,雙子座的人甚至希望能夠克隆自己,以更好地追求自己的不同興趣。這些特征與Wicked Spider(邪惡蜘蛛,也稱為Winnti Group或Wicked Panda)的戰術和技術非常相似。Wicked Spider的成員有時還充當黑客雇傭兵的角色。因此,該APT專門從事以財務為目的的活動,同時還將其入侵工程、制造和技術領域的業務外包給其他組織。
巨蟹座(6月21日-7月22日)
巨蟹座存在于多個領域(水和土地),高度的情感化(有點像人類的情緒環),并且容易吸收他人的能量。與俄羅斯外國情報局有關的Cozy Bear(又名APT 29)也以其靈活性和使工具集適應不同領域的能力而聞名。該APT的攻擊面非常大,向包括美國智囊團,非政府組織和外國政府在內的數千個目標發送了網絡釣魚電子郵件。Cozy Bear通過發送包含超級碗廣告和“YovTube.com”視頻鏈接的電子郵件而獲得了巨大成功,并且在2016年DNC黑客攻擊中發揮了積極作用。Cozy Bear能夠準確利用美國人最熱衷的娛樂活動,說明該組織能夠準確找到與目標相同的“共振頻道”。
獅子座(7月23日-8月22日)
獅子座具有戲劇性,熱衷吸引注意力,雄心勃勃和堅定。符合這個星座特質的組織是花式熊(APT 28),該組織竭盡全力去挑釁和恐嚇那些對俄羅斯利益懷有敵意的人。花式熊被認為隸屬于俄羅斯軍事情報部門(GRU),實施了幾次備受矚目的攻擊,包括2016年對美國民主黨全國委員會的黑客攻擊以及針對2017年法國大選的攻擊。花式熊以針對目標而進行的廣泛偵察行動而聞名,甚至會通過社交媒體和LinkedIn資料進行篩選,以定制對全球政府和政治組織的攻擊。花式熊善于使用廉價、簡單的技術來打穿高價值目標,非常符合獅子座大膽而又戲劇化的性格。
處女座(8月23日-9月22日)
處女座以合乎邏輯、務實、系統且始終追求改進而著稱。這些特征非常符合對毒熊(Venomous Bear,有時稱為Turla)的描述。這個總部位于俄羅斯的APT組織采用新穎且復雜的工具(例如,通過木馬軟件、移動存儲設備感染),并有復雜的信號情報(SIGINT)網絡功能支持。據信,毒熊對政府、航空航天、非政府組織、國防、密碼學和教育部門的目標發動了越來越復雜的攻擊。如此廣泛的目標組合暴露了毒熊的“事逼”本性……這可能使其在俄羅斯APT同行中不受歡迎。
天秤座(9月23日-10月22日)
天秤座在與他人的關系中尋求平衡、和諧和對稱。巴基斯坦的Mythic Leopard雖然不像個和平使者那樣反對沖突,但在感知和操縱其目標之間的關系方面同樣精通,并力圖與巴基斯坦的競爭對手印度建立地緣政治力量平衡。這個間諜組織使用社會工程學和魚叉式網絡釣魚攻擊印度軍事和國防實體,但其攻擊技術復雜性較低。在新冠病毒大流行期間,該組織利用健康建議作為誘餌在印度傳播了Crimson RAT(遠程管理工具)惡意軟件。
天蝎座(10月23日-11月21日)
天蝎座以追求權力、神經質和情緒化著稱,而且有控制狂傾向。符合這一星座特征的APT組織是Refined Kitten(又名APT 33或Elfin,可能與伊朗的伊斯蘭革命衛隊有聯系)。該組織對伊朗的對手——沙特阿拉伯、阿聯酋和美國實施精心策劃的間諜活動。該組織還涉嫌參與針對沙特阿拉伯的破壞性Shamoon惡意軟件攻擊,表現出對復仇的嗜好。假設美國和伊朗之間未來發生沖突,美國公司可能會在其網絡中發現該APT組織持久而戰略性的攻擊痕跡。
射手座(11月22日-12月21日)
射手座追求知識,冒險,熱衷贏得關注。伊朗間諜組織Charming Kitten(APT35、Phosphorus),顯然具備射手座氣質。該組織針對不同政見者、人權活動家、學者、新聞工作者以及其他威權主義的反對者。Charming Kitten特別擅長在入侵目標賬戶之前,利用目標的社交網絡收集信息。
魔羯座(12月22日-1月19日)
魔羯座以其紀律性、熟練的技巧和堅定不移而聞名。符合這一星座氣質的Helix Kitten(也稱為APT 35或OilRig)也擅長在龐大的在線網絡中熟練游走,在包括航空航天、能源、金融、政府、酒店和電信在內的許多組織中靈活地進行操作。在工作和目標上堅定不移,Helix Kitten在開發細致的魚叉式網絡釣魚攻擊方面持之以恒,“有口皆碑”。
水瓶座(1月20日-2月18日)
水瓶座是熱愛創新和人道主義的進取者。Mustang Panda具備水瓶座的這種創新精神,該APT組織通常針對非政府組織、美國的智囊團收集情報。Mustang Panda具有快速將新策略吸收到其運營中,甚至將惡意軟件與合法工具混合的能力。
雙魚座(2月19日-3月20日)
雙魚座排在黃道十二宮的最后一位,習慣在浪漫與現實間游走,對待愛情像甘蔗一樣又甜又渣,正所謂多情劍客無情劍。符合雙魚座氣質的是Voodoo Bear(也稱為Sandworm),該組織使用工具來操縱能源工業控制系統(ICS)以及監督控制和數據采集系統(SCADA),據悉是2015年烏克蘭大停電的幕后黑手。Voodoo Bear對付烏克蘭目標的“劍法”狠辣,善用零日漏洞,但Voodoo Bear給自己惡意軟件取名時卻富有幻想主義色彩,經常會引用Frank Herbert的小說Dune。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
