了解网络攻击背后的威胁行为者

了解网络攻击背后的威胁行为者

• 来源 | 愿码(ChainDesk.CN) 内容编辑
• 愿码Slogan | 连接每个 程序员 的故事
• 网站 | http://chaindesk.cn
• 愿码愿景 | 打造全学科IT系统免费课程，助力小白用户、初级工程师0成本免费系统学习、低成本进阶，帮助BAT一线资深工程师成长并利用自身优势创造睡后收入。
• 官方公众号 | 愿码 | 愿码服务号 | 区块链部落
• 免费加入愿码全思维工程师社群 | 任一公众号回复“愿码”两个字获取入群二维码

本文阅读时长：6min

网络攻击背后的攻击者可分为以下几类：

• 网络犯罪分子
• 网络恐怖分子
• 黑客行动主义者

欧洲刑警局局长Robert Wainwright：“我真正关心的是这种能力的复杂程度，它正在变得足以真正威胁我们关键基础设施的某些部分，尤其是金融，银行业。”

黑客行为

工业控制系统网络应急响应小组(ICS-CERT)定义的黑客行为是指依赖宣传而不是破坏关键基础设施的威胁行为者。他们的目标是支持他们自己的政治议程，这些议程在反腐败，宗教，环境或反建立问题之间有所不同。他们的次级目标是宣传并造成损害，以实现其事业的恶名。最著名的黑客威胁行为团体之一是匿名的。匿名主要是因为他们的分布式拒绝服务(DDoS)攻击政府和科学教会。以下屏幕截图显示了“无头人”，Anonymous常用它作为标志：

黑客行为主义者根据组织的使命宣言或道德规范来瞄准公司和政府。鉴于金融服务业对经济财富负有责任，它们往往成为黑客行为主义者的热门目标。

黑客行动主义者所持有的意识形态可能有所不同，但在其核心，他们的注意力集中在关注诸如战争或他们认为是非法活动的社会问题。为了传播他们的信仰，他们选择了允许他们尽快传播信息的目标。黑客行为主义者选择金融服务行业组织的主要原因是这些组织通常拥有庞大的用户群，一旦成功违反组织的安全控制措施，就可以迅速提升其信念。

案例研究 - Dakota Access Pipeline

在达科他访问管道(DAPL)是2016年建设1.172英里长的管道，在美国横跨三种状态。美洲原住民部落抗议DAPL，因为害怕它会破坏神圣的土地和饮用水。抗议活动开始后不久，黑客组织Anonymous以OpNoDAPL的名义公开宣布了他们的支持。在构建过程中，Anonymous针对参与DAPL的组织发起了大量DDoS攻击。匿名人员泄露了负责DAPL的员工的个人信息，并威胁说如果他们不退出，这种情况会持续下去。

案例研究 - 巴拿马论文

2015年，一家名为Mossack Fonseca的离岸律师事务所泄露了1150万份文件。这些文件包含超过214,488个海外实体的机密财务信息，后来被称为巴拿马文件。在泄露的文件中，确定了几位国家领导人，政治家和行业领导人，包括弗拉基米尔·普京的踪迹。下图显示了此次攻击中暴露的内容：

案例研究 - 巴拿马论文

虽然没有太多关于网络攻击如何发生的信息，但各种安全研究人员分析了这一操作。

根据维基解密的帖子，声称显示来自Mossack Fonseca的客户通信，他们确认有违反他们的“ 电子邮件服务器 ”。考虑到数据泄漏的大小，据信在电子邮件服务器上发生了直接攻击。

网络恐怖分子

极端主义和恐怖主义组织，如基地组织和 伊拉克伊斯兰国和叙利亚(ISIS)正在利用互联网散布他们的宣传，招募新的恐怖分子，并通过这种媒介进行交流。这方面的一个例子是2008年在孟买的袭击事件，其中一名枪手证实他们使用谷歌地球熟悉建筑物的位置。网络恐怖主义是网络空间中传统恐怖主义的延伸。

案例研究 - Ababil行动

2012年，伊斯兰组织Izz ad-Din al-Qassam网络武装分子袭击了一系列美国金融机构，这是哈马斯的一个军事派别。2012年9月18日，这个威胁行动者组织证实他们是网络攻击的幕后黑手并根据美国政府与以色列的关系证明了这一点。他们还声称这是对美国牧师特里·琼斯发布的穆斯林纯真视频的回应。作为DDoS攻击的一部分，他们瞄准了纽约证券交易所以及摩根大通等银行。

网络罪犯

网络罪犯是使用技术在数字世界中犯罪的个人或黑客群体。网络罪犯的主要驱动因素是经济利益或服务中断。网络犯罪分子以三种方式使用计算机：

• 选择计算机作为目标：这些犯罪分子攻击其他人的计算机以执行恶意活动，例如传播病毒，数据被盗，身份盗用等。
• 使用计算机作为武器：他们使用计算机进行“常规犯罪”，如垃圾邮件，欺诈，非法赌博等。
• 使用计算机作为附件：他们使用计算机来保存被盗或非法数据。

Digital Shadows Ltd的服务提供和情报副总裁Becky Pinkard表示，“攻击者可以通过在每个余额中添加或减去零来破坏银行，甚至删除整个账户。"

案例研究 - FIN7

2018年8月1日，美国华盛顿西区地方检察官办公室宣布逮捕数名网络犯罪组织FIN7的成员，该组织自2015年以来一直被追踪。到目前为止，安全研究人员认为FIN7是其中之一。金融服务业最大的威胁行动者群体。Combi Security是一家FIN7货架公司。

案例研究 - Carbanak APT攻击

Carbanak是一种高级持续性威胁(APT)攻击，据信是由威胁行动者组织Cobalt Strike Group在2014年执行的。在此行动中，威胁行动者小组能够为超过1的受害者带来全部经济损失十亿美元。以下描述了Carbanak网络团伙如何通过瞄准银行偷走10亿美元：

案例研究 - OurMine操作

2016年，涉嫌在沙特阿拉伯开展业务的威胁演员组织OurMine对在美国和英国举办的汇丰银行网站进行了DDoS攻击。以下屏幕截图显示了威胁演员的通信：

DDoS攻击的结果是美国和英国的汇丰网站无法使用。以下屏幕截图显示了DDoS攻击后的HSBC USA网站：