Recorded Future 威胁情报分析师亚历山大·莱斯利 (Alexander Leslie) 表示,黑客行动主义与金融网络犯罪和民族国家活动的关系变得越来越模糊,威胁行为者故意与各种原因保持一致,以促进其各种动机。
Leslie 在 2024 年 RSA 会议上发表讲话时强调,所谓的黑客活动分子如何越来越多地关注世界各地的地缘政治事件,例如以色列-哈马斯战争,并利用这些原因发动攻击以获取经济利益或支持民族国家。
这样,黑客行动主义就从反动主义转向了机会主义。
“黑客活动分子几乎没有能力影响当地局势,为了赚尽可能多的钱并获得尽可能多的声誉,他们声称参与了敌对行动,”莱斯利在事件发生后接受Infosecurity采访时说道。会议。
乌克兰冲突后黑客行动主义的转变
传统上,黑客行动主义与出于政治动机的网络威胁活动有关,旨在吸引公众参与某项事业。然而,莱斯利表示,随着 2022 年俄罗斯入侵乌克兰,这种情况发生了根本性的变化。
Recorded Future 平台在战争第一年识别出大约 75,000 起独特的黑客行动主义攻击。这些目标是乌克兰、白俄罗斯、俄罗斯和整个北约成员国的实体。
莱斯利说,各团体很快认识到利用社交媒体和其他面向公众的平台(通常包括暗网论坛)的机会,可以在与冲突有关的黑客行动主义的幌子下开展活动。
莱斯利说:“威胁行为者知道,鉴于整个世界都在关注俄罗斯和乌克兰的网络空间,如果他们参与敌对行动,他们就会为自己做很多宣传。”
其中许多团体都被黑客组织 Anonymous 扩大了规模,与在特定问题上针对政府和其他政治实体而崛起时相比,该组织到 2024 年已发展成为一个截然不同的实体。
莱斯利说,它现在基本上充当了“附属机构”的放大渠道,这些附属机构通常是出于经济动机的网络犯罪组织。
同样,2023 年 10 月开始的以色列与哈马斯冲突也成为大量所谓黑客活动组织的攻击目标,其中大多数组织实力雄厚且具有经济动机。
在演示中强调的一个例子中,一名自称亲以色列、反哈马斯的威胁行为者闯入了巴勒斯坦国家公共卫生研究所,这是位于西岸的一个由联合国资助的机构。它出售了窃取的数据库的访问权限,该数据库包含 20 万巴勒斯坦平民的健康记录。随后,另一个黑客组织将这个数据库转储到暗网上以获得论坛积分。
莱斯利指出:“这是一个完美的例子,说明黑客活动组织(即使是自称的)也会以明显旨在为平民提供支持且合法的实体为目标。”
为民族国家提供合理的推诿
莱斯利补充说,民族国家还利用伪装成黑客活动分子的团体进行间谍活动和攻击关键基础设施等活动。
这样做的目的是让政府对此类事件有“合理的推诿”,从而免除自己的责任并限制受害国的反应。
莱斯利解释说:“一个民族国家能够否认自己对袭击负有责任,这意味着我们存在归因问题,并不是每个人都可以根据证据采取行动。”
其中一个例子是名为“Free Civilian”的组织,该组织在 2022 年 2 月俄罗斯开始入侵乌克兰之前 90 分钟列出了一系列乌克兰目标的数据库和初始访问权限,并在暗网上出售。此后,该组织将其归咎于对Whispergate 擦除器恶意软件负责的组织,该恶意软件在一个月前(即 2022 年 1 月)影响了乌克兰各地的政府、IT 和非营利组织。
Leslie 还引用了亲巴勒斯坦组织“Cyber Av3ngers”发起的攻击,该组织声称在 2023 年底对以色列制造商 Unitronics发起攻击。这影响了使用 Unitronics 可编程逻辑控制器 (PLC) 的美国供水和废水处理服务。
此后,包括 Mandiant 在内的多个消息来源都将这个组织归咎于伊朗情报部门。
莱斯利说:“伊朗情报部门利用黑客行动主义者的角色来进行貌似合理的推诿。”
警惕虚假声明
莱斯利敦促各组织对黑客活动分子声称的社交媒体攻击保持谨慎,并避免在其背后做出战略决策。他指出,此类说法“绝大多数”都是虚假、误导或夸大的,目的是在目标组织中引起反应,例如启动事件响应流程。
他们做出这些声明的目的通常是为了获得恶名或满足他们的自我意识,例如 Killnet 组织就对攻击做出了很多虚假声明。 “数量并不等于影响力,”莱斯利强调。
Leslie 告诉Infosecurity,许多以经济为动机的团体都明白,大多数网络安全记者和威胁研究人员都在关注他们在社交媒体和暗网论坛等公共平台上的活动。
“许多以经济为动机的团体都明白,这一切都具有面向公众的重要意义,”他指出。
发表评论
您还未登录,请先登录。
登录