综合报告

界限模糊:民族国家和有组织的网络犯罪分子如何变得相似

在快速发展的网络环境中,民族国家行为体和有组织的网络犯罪分子之间的区别变得越来越模糊。从历史上看,这些团体有着不同的动机:民族国家试图通过间谍和情报行动获得长期的地缘政治优势,而网络犯罪分子则专注于经济利益,利用漏洞进行勒索、盗窃和欺诈。

然而,最近的证据表明,战术、技术甚至目标都令人不安地趋同,很难区分它们。这种趋同不仅使归因工作复杂化,而且还提出了有关网络威胁不断演变的性质及其对全球安全的影响的关键问题。

国家APT组织:地缘政治野心的遗产

民族国家行为者,例如中国的 APT10 和俄罗斯的 APT28,通常被视为最早和最突出的参与者,以政府、军事和关键基础设施网络为目标。他们的目标历来围绕着扰乱地缘政治对手并获取情报以维持或增强其国家的全球影响力。这些早期组织的复杂性证明了网络行动作为战略工具的威力。

中国一直是网络领域一支持续发展的力量。APT1(又名 Comment Crew)是首批被公开曝光的受政府支持的组织之一,其行动专注于窃取西方公司的知识产权。近年来,中国的伏特台风 (Volt Typhoon) 加强了其活动,使用隐秘的“离地攻击”技术,瞄准美国关键基础设施部门,如制造业和运输业。同样,盐台风 (Salt Typhoon) 在 2024 年成为重大威胁,对美国电信公司进行间谍活动,并可能访问美国公民的私人通信。

俄罗斯也一直是网络攻击的主导者,其 APT29()等组织针对美国和欧洲的政治实体和关键基础设施开展了高调的间谍活动。2024 年,微软挫败了该组织发起的一次复杂攻击,午夜暴风雪事件表明俄罗斯继续专注于网络攻击。此外,与俄罗斯 GRU 有关联的秘密部队 29155 也强调了他们的混合方法,将网络和物理破坏行动结合到整个欧洲。

伊朗组织(例如 APT33 和 APT34 (OilRig))已经展示了该国利用网络能力攻击航空、能源和金融等关键行业的能力。这些活动通常有助于促进国家利益并破坏地区竞争对手。最近的报告表明,在选举期间,伊朗政府支持的网络攻击对美国政治实体的攻击有所增加,目的是影响结果并收集情报。

朝鲜的拉撒路集团因将传统间谍活动与金融盗窃相结合而臭名昭著。他们的行动——从 2014 年索尼影业黑客攻击到 2017 年全球勒索病毒 WannaCry 攻击——凸显了一些民族国家行为者如何演变成混合实体。2024 年,他们继续瞄准全球各个行业,将地缘政治动机与经济激励相结合。

一个关键的新兴趋势是民族国家行为者与网络犯罪网络之间的合作日益增多,进一步模糊了国家主导活动与犯罪活动之间的界限。由于这些团体共享资源、战术和目标,这种融合使归因和防御工作变得复杂。攻击者和防御者对人工智能的使用也重塑了网络威胁格局,带来了新的挑战和机遇。

国家APT组织从纯粹的地缘政治行动演变为融合金融和犯罪动机的混合模式,表明了网络威胁形势的动态性质。随着他们的方法和联盟变得越来越复杂,防御此类行为者的任务也变得越来越复杂。
[图 1:主要国家网络行动时间表图 1:主要国家网络行动时间表

国家APT组织从纯粹的地缘政治行动演变为融合金融和犯罪动机的混合模式,表明了网络威胁形势的动态性质。随着他们的方法和联盟变得越来越复杂,防御此类行为者的任务也变得越来越复杂。

有组织的网络犯罪分子:以盈利为目的的利用

与民族国家行为者不同,有组织的网络犯罪分子以经济利益为核心动机。21 世纪初期,利用漏洞牟利的犯罪组织开始兴起。勒索软件和数据盗窃很快成为他们的主要工具,在技术超越安全的时代,REvil 和 DarkSide 等团体蓬勃发展。他们的目标是公司、金融机构和个人——任何可以勒索钱财的实体。

早期有组织网络犯罪的先驱包括宙斯帮 (Zeus Gang),该帮构建了首批窃取银行凭证的大型僵尸网络之一。另一个著名组织 Carbanak (也称为 FIN7) 专门针对金融机构和销售点系统实施复杂的抢劫,以惊人的精准度窃取数百万美元。

勒索软件即服务 (RaaS) 模式彻底改变了有组织的网络犯罪,使 REvil (Sodinokibi) 和 LockBit 等团体能够以前所未有的规模运作。LockBit 仍然是 2024 年最活跃的勒索软件团体,占 2023 年所有记录的勒索软件攻击的 24%。同样,DarkSide 因 2021 年的 Colonial Pipeline 攻击而声名狼藉,说明了这些团体如何破坏关键基础设施并造成现实世界的后果。

最近,BianLian 组织从勒索软件加密转向数据盗窃勒索,展示了网络犯罪分子的适应性,反映了其不断演变的策略,旨在最大限度地获取收益,同时逃避检测。仅 2024 年上半年就出现了至少 25 个新的勒索软件组织,突显了威胁形势不断扩大和动态的特性。

更为复杂的是,网络犯罪网络越来越多地与民族国家行为者合作,模糊了经济动机活动和国家主导活动之间的界限。这种融合使得归因更加困难,防御工作也更加复杂。例如,一些勒索软件团体和国家支持的行为者之间的运营重叠表明了资源共享和互惠互利。

此外,人工智能已成为网络犯罪分子的强大工具。人工智能现在被用来创建极具说服力的深度伪造内容、自动执行网络钓鱼活动以及进行大规模侦察,使攻击者能够执行更复杂、更有影响力的操作。

[图 2:网络犯罪手段的演变
图 2:网络犯罪手段的演变

有组织的网络犯罪分子已从简单的计划发展成为高度组织化的全球性企业。他们适应、创新和利用技术进步的能力确保他们在当今的网络环境中仍然是一个持久而可怕的威胁。

逐渐融合——当间谍活动遇上犯罪

随着网络安全防御越来越复杂,民族国家行为者与有组织的网络犯罪分子之间的界限也越来越模糊。民族国家行为者采用了曾经主要与网络犯罪分子有关的策略。勒索软件是有组织犯罪的标志,但在民族国家手中却有了新的用途,不仅用于破坏服务,还用于为国家支持的活动筹集资金。例如,朝鲜的 Lazarus Group 将间谍活动与金融抢劫无缝融合,包括臭名昭著的 WannaCry 勒索软件爆发,该爆发影响了全球数十万个系统。2024 年,朝鲜的 Jumpy Pisces与 Play 勒索软件团伙合作,表明民族国家与网络犯罪组织之间存在直接的伙伴关系。
同样,伊朗国家支持的行为者也对美国组织发动了以经济为动机的勒索软件攻击,将间谍活动与以利润为导向的动机相结合,以支持其地缘政治目标。

相反,有组织的网络犯罪分子采用了传统上与民族国家行为者相关的更复杂的技术。高级持续性威胁 (APT) 类策略,包括长期和隐秘的网络渗透,在网络犯罪活动中越来越明显。供应链攻击(例如对 Kaseya 的 REvil 攻击)已成为最大化行动规模的工具。同时,Cobalt Strike、Metasploit 和 Mimikatz 等先进的后漏洞利用框架使网络犯罪分子能够以曾经为国家支持的行动所保留的精度渗透网络。

这些团体之间的战术、技术和程序 (TTP) 趋同反映了复杂且不断发展的现实。民族国家行为者和网络犯罪分子都会利用最初为合法安全目的而设计的工具。例如,俄罗斯的 APT29 使用 Cobalt Strike 进行间谍活动,而 Ryuk 勒索软件组织则使用其在受感染环境中进行横向移动。同样,这两个团体也重新利用流行的渗透测试工具 Metasploit 来利用漏洞并获得未经授权的访问。

常见的攻击媒介进一步缩小了这些参与者之间的差距。双方都使用网络钓鱼这种惯用策略:APT32(越南)可能会针对政府实体和异见人士部署鱼叉式网络钓鱼活动,而有组织犯罪集团则利用同样的技术传播 LockBit 等勒索软件。供应链攻击和水坑攻击同样具有适应性,可根据参与者的目标进行间谍活动或获取金钱收益。

这两个组织都采用了先进的逃避技术。无文件恶意软件(直接在内存中执行代码以避免传统检测)已变得越来越普遍。Living-the-land (LotL) 策略(攻击者利用目标系统上已经存在的合法工具和进程)现在已成为民族国家和犯罪活动的标准功能。这些技术不仅增强了隐蔽性,而且使归因和缓解更具挑战性。

更为复杂的是,民族国家行为者和网络犯罪分子越来越多地共享资源并进行合作。在某些情况下,民族国家会向网络犯罪分子提供经济激励,让他们代表国家开展行动,从而进一步将他们的目标交织在一起。人工智能 (AI) 的兴起也模糊了两者之间的界限,因为这两个团体都利用人工智能来提高攻击的规模和复杂性,从自动进行网络钓鱼活动到创建极具说服力的深度伪造内容。

间谍活动与犯罪活动交织在一起,凸显了现代网络威胁的动态性和相互关联性。随着民族国家和网络犯罪分子不断采用彼此的手段,区分它们变得越来越困难,这对全球网络安全防御构成了越来越大的挑战。

TTP 融合和主要差异

国家行为体和有组织的网络犯罪分子在战术、技术和程序 (TTP) 上的融合给网络安全防御者带来了复杂的挑战。虽然他们使用的工具和技术越来越相似,但他们的根本动机、资源水平和目标仍然不同。在本节中,我们将探讨这些威胁行为体之间的相似之处和不同之处,重点介绍他们的策略的相同之处和分歧之处。
图 3:民族国家行为者与网络犯罪分子使用的攻击媒介](https://www.trellix.com/en-us/img/newsroom/stories/blurring-the-lines-3.jpg

图 3:民族国家行为者与网络犯罪分子使用的攻击媒介

逃避技术

逃避是避免被发现的关键,民族国家和网络犯罪分子都使用先进的技术来逃避侦查:

  • **无文件恶意软件:**这两种类型的攻击者都越来越依赖无文件恶意软件,即恶意代码在内存中执行,不会在磁盘上留下任何痕迹。这种方法被国家支持的组织(如 APT34(伊朗))和网络犯罪组织(如 FIN7)所采用。
  • **离地攻击 (LotL):**这两类攻击者都使用合法的系统工具进行恶意活动。例如, 勒索软件_WannaCry_组织利用 Windows 管理规范 (WMI) 执行命令,这也是 APT 组织青睐的一种技术,用于避免被安全解决方案检测到。

共享指挥与控制 (C2) 基础设施

民族国家行为者和网络犯罪分子使用类似的方法来建立和维持与恶意软件的通信:

  • 基于云的 C2: Google Drive、AWS 和 Dropbox 等云服务已成为这两类行为者的首选渠道。这些服务深受企业信赖,因此可以有效逃避检测。APT41(中国)和网络犯罪组织都使用这些平台进行数据泄露和 C2 通信。
  • **加密的 C2 通道:**两个组织都使用 SSL/TLS 加密来保护其 C2 流量,使防御者更难拦截和分析恶意软件与其运营商之间的通信。国家支持的 APT 组织和勒索软件运营商都广泛使用这种技术。
  • Tor 网络: Tor 经常用于匿名化 C2 服务器,它受到网络犯罪分子和民族国家行为者的青睐。DarkSide 勒索软件组织在 Colonial Pipeline 攻击期间使用了 Tor,而多个 APT 组织也将其用于间谍活动。
TTP 类别 民族国家行为体 有组织的网络犯罪 收敛
工具 Cobalt Strike、Metasploit、Mimikatz、Empire、BloodHound、LaZagne、Sliver、SharpHound、EternalBlue、HTran、PlugX Cobalt Strike、Metasploit、Mimikatz、Empire、BloodHound、LaZagne、Dridex、TrickBot、Raccoon Stealer、AZORult 两者都使用相同的现成工具进行后期开发和数据收集。
攻击向量 网络钓鱼、供应链、水坑攻击、漏洞利用工具包(例如 Angler、RIG)、DNS 隧道 网络钓鱼、供应链、水坑攻击、漏洞利用工具包(例如 Angler、RIG)、暴力破解、凭证填充 两者都使用相同的方法进行初始访问和交付,并且共享的策略会随着时间的推移而不断发展。
逃避技术 无文件恶意软件、LotL(例如 WMI、PowerShell)、DLL 侧加载、进程注入、混淆脚本 无文件恶意软件、LotL(例如 WMI、PowerShell)、DLL 侧加载、进程空洞、加密有效负载 类似的逃避技术可以避免被发现并在目标网络中保持持久性。
C2 基础设施 云服务(AWS、Dropbox)、Tor 网络、防弹托管、HTTPS 上的 DNS(DoH) 云服务(AWS、Dropbox)、Tor 网络、防弹托管、域名前端 利用云服务和匿名网络建立安全、匿名 C2 通道的共享方法。

表 1:民族国家行为体与有组织网络犯罪之间的 TTP 融合

主要区别:不同的动机和目标

尽管 TTP 趋于一致,但民族国家行为体和有组织网络犯罪集团之间仍然存在重大差异。这些差异在于他们的动机、目标和目标定位,所有这些都会影响这些行为体的运作方式和目标。

动机

  • **民族国家行为者:**这些团体受地缘政治目标驱动,例如间谍活动、政治混乱和军事优势。例如,APT29(俄罗斯)在 SolarWinds 活动中针对美国政府和私营公司进行情报收集。
  • **有组织的网络犯罪:**另一方面,网络犯罪分子几乎完全是为了经济利益。像 REvil 这样的勒索软件组织专注于敲诈勒索和诈骗,优先考虑短期金钱回报,而不是战略或政治目标。

定位

  • **民族国家行为体:**这些行为体通常专注于与其战略目标一致的高价值目标,例如政府实体、军事组织和关键基础设施。攻击通常是隐蔽且长期的,涉及数月或数年的渗透和数据收集。
  • **有组织的网络犯罪:**网络犯罪分子撒网范围更广,针对防御能力较弱或收入潜力较高的行业,例如零售、医疗保健和金融服务。他们的攻击通常是机会性的,重点是通过勒索或窃取数据来最大化经济收益。

资源和技能水平

  • **民族国家行为体:**民族国家行为体在政府资源的支持下,通常拥有先进的网络工具、情报资产和各种人力资源。他们的行动通常更为复杂,涉及为长期行动而设计的定制工具。
  • **有组织的网络犯罪:**网络犯罪分子虽然技术娴熟,但通常依赖广泛使用的商业工具和框架。他们使用的资源比国家行为者少,经常使用对技术要求较低的勒索软件即服务 (RaaS) 模式。

目标

  • **民族国家行为者:**这些行为者旨在收集情报、打击地缘政治对手并实现长期战略目标。例如,朝鲜的 Lazarus Group 既参与了金融抢劫(例如孟加拉国银行黑客攻击),也参与了出于政治动机的行动(例如索尼影业黑客攻击)。
  • **有组织的网络犯罪:**有组织的网络犯罪分子的目标是尽快赚钱。他们的目标是勒索、盗窃和出售被盗信息。除非有直接的经济诱因,否则他们对其行为的政治影响不感兴趣。
TTP 类别 民族国家行为体 有组织的网络犯罪 主要区别
动机 间谍活动、政治破坏、军事优势、经济破坏 经济收益(勒索软件、数据盗窃、敲诈勒索)、被盗数据货币化 民族国家具有战略地缘政治动机,例如收集情报、政治影响和胁迫,而网络犯罪分子则以利益为导向。
定位 政府、军队、关键基础设施、重点行业、政治实体 广泛行业(零售、医疗、金融)、高净值个人、企业 民族国家瞄准高价值、长期的间谍机会和对国家安全至关重要的领域,而网络犯罪分子则专注于能够快速支付赎金的行业。
资源/技能水平 国家资助、资源丰富的定制工具和情报资产 依赖商业工具 RaaS(勒索软件即服务),通常资源较少 民族国家有国家支持,能够掌握情报和先进能力,通常会创建定制工具用于长期渗透。
目标 长期间谍活动、破坏、扰乱、地缘政治影响 短期经济利益、勒索、欺诈和黑市数据货币化 民族国家追求长期的政治、军事或战略成果,而犯罪分子则优先考虑快速的金钱回报。
攻击向量 网络钓鱼、供应链、水坑攻击、零日漏洞、硬件入侵 网络钓鱼、供应链、水坑攻击、暴力破解、社会工程、漏洞利用工具包(例如 RIG、Magnitude) 虽然民族国家拥有相似的攻击载体,但通常采用更复杂、更多阶段的攻击,且攻击行动更隐蔽。
逃避技术 无文件恶意软件、Living-off-the-Land (LotL)、混淆、rootkit、隐写术 无文件恶意软件、Living-off-the-Land (LotL)、现成打包程序、动态有效载荷传送 网络犯罪分子通常依赖现成的逃避工具,而民族国家则投资定制解决方案,包括 rootkit 和硬件级植入物。
C2 基础设施 加密通道、Tor、自定义基础设施、DNS 隧道、域前端 加密通道、Tor、云服务、防弹托管、Fast Flux 网络 网络犯罪分子经常重复使用现有的 C2 框架并依赖云服务,而民族国家则经常开发定制解决方案以增加隐秘性。

表 2:民族国家行为体与有组织网络犯罪之间的主要区别

动机重叠

虽然这些行为团体的主要动机仍然不同——为民族国家进行间谍活动和为犯罪分子获取经济利益——但他们的目标越来越重叠。

  • 金融间谍活动:朝鲜的 Lazarus Group 等民族国家从事金融间谍活动,通过网络盗窃来资助其国家议程。将民族国家目标与网络犯罪技术相结合是一种新兴趋势。
  • 关键基础设施攻击:网络犯罪集团开始利用勒索软件攻击关键基础设施,而勒索软件曾经是国家行为者的专属领域。对殖民管道和爱尔兰卫生服务局的攻击凸显了这一趋势,其中经济动机与更广泛的地缘政治影响相吻合。
  • 间谍活动中的勒索软件:一些民族国家开始部署勒索软件,不仅是为了获取经济利益,也是为了破坏敌对国家的关键服务,模糊了间谍活动和犯罪勒索之间的界限。
[图 4:民族国家行为者的动机](https://www.trellix.com/en-us/img/newsroom/stories/blurring-the-lines-4.jpg

图 4:民族国家行为者的动机

[图 5. 网络犯罪分子的动机](https://www.trellix.com/en-us/img/newsroom/stories/blurring-the-lines-5.jpg

图 5. 网络犯罪分子的动机

地缘政治对网络行动和制裁驱动攻击的影响

2024 年,地缘政治格局在塑造网络行动方面发挥着关键作用,制裁和贸易战助长了国家支持的网络攻击的增加。俄罗斯、伊朗和朝鲜等国家面临美国及其盟友实施的经济制裁,它们已将网络攻击作为抵消金融孤立和资源匮乏的一种手段。这些制裁切断了关键资源、技术和金融市场的获取渠道,受影响的国家别无选择,只能利用网络行动作为实现其政治和经济目标的替代工具。

制裁影响网络行动的一个突出方式是通过金融网络犯罪。在严格的金融限制下,朝鲜转向网络盗窃,尤其是在加密货币领域。像Lazarus这样的网络组织与加密货币交易所的复杂攻击有关,他们窃取数字资产为国家活动提供资金,绕过制裁施加的财务限制。同样,俄罗斯网络犯罪集团(如 Conti)进行勒索软件攻击,带来数百万赎金,这些赎金成为国家支持计划的收入来源。

制裁还导致知识产权盗窃激增,因为中国等无法获得半导体等先进技术的国家转向网络间谍活动。中国网络攻击者瞄准西方科技公司,窃取专有设计和商业机密,使国家得以突破贸易限制,推动半导体、人工智能和航空航天等关键领域的国内创新。

为了报复经济制裁,各国经常对实施制裁的国家的关键基础设施发动网络攻击。例如,俄罗斯加大了对欧洲和美国能源、金融和医疗保健行业的网络攻击力度,旨在破坏基本服务、制造经济不稳定,并迫使各国政府重新考虑其制裁政策。这些报复性网络行动凸显了制裁如何将地缘政治紧张局势升级到网络空间,使关键行业容易受到国家支持的网络威胁。

归因的挑战

随着民族国家行为者和有组织的网络犯罪分子的手段越来越相似,归因的挑战变得越来越艰巨。虚假标志,即故意植入线索以误导调查人员,已成为一个重大障碍。在 2024 年巴黎奥运会前夕,网络安全专家警告称,可能会出现虚假标志行动,并提到 2018 年平昌奥运会袭击事件,据称俄罗斯特工植入证据以牵连朝鲜。这些欺骗性手段进一步混淆了识别网络攻击真正肇事者的界限。

恶意代码的重复使用又增加了一层复杂性

攻击者经常修改现有的恶意软件以达到其目的,导致相似的代码片段出现在不相关的攻击中。这种做法使归因变得复杂,因为相同或近乎相同的代码可能被多个动机迥异的参与者使用,这使得确定责任变得困难。

共享基础设施进一步模糊了威胁行为者之间的界限

民族国家团体和有组织的网络犯罪分子越来越多地利用 Tor 网络和加密的命令与控制 (C2) 通道等通用平台来匿名化他们的活动。这种共同使用不仅使归因变得复杂,而且使防御者更难追踪恶意流量的来源。

这对网络安全的影响是深远的。防御者现在必须应对外观和行为相似的威胁,无论这些威胁是出于地缘政治野心还是经济动机。重点必须从试图将攻击归咎于特定行为者转移到开发更有效的防御措施以抵消共享的战术和技术。基于行为的检测、强大的威胁情报和主动防御机制现在对于减轻这种日益复杂的威胁形势带来的风险至关重要。

结论

民族国家行为体和有组织的网络犯罪分子的融合代表着网络威胁格局的变革性转变。这些团体曾经以不同的动机和方法明确划分,但现在却越来越多地共享工具、战术甚至目标,从而形成了一个灰色地带,归因成为一项艰巨的挑战。人工智能的使用、复杂的规避技术和重叠的攻击媒介进一步模糊了界限,这使得防御者必须采用基于行为的检测方法。

这种不断变化的形势要求提高警惕,特别是对于关键行业的组织而言。随着混合威胁变得越来越普遍,网络安全专业人员必须优先考虑高级威胁情报、强大的事件响应计划和主动风险管理。

同样重要的是促进国际合作,因为这些威胁的全球性要求我们共同努力来对抗民族国家和网络犯罪分子日益难以区分的活动。

展望未来,受地缘政治紧张局势、经济制裁和技术进步的推动,这些行为者的融合可能会进一步加深。
虽然攻击者的动机可能模糊,但他们破坏的能力却是毋庸置疑的。防御者面临的挑战不仅在于识别攻击源,还在于建立能够减轻风险的弹性系统,无论攻击者是谁。

相关文章

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

返回顶部按钮