Void Balaur網路傭兵(cybermercenary)最愛攻擊這些能接觸到大量私人資訊的產業

隨著網路攻擊成為有力組織進攻武器庫內的常用手段,一個向潛在客戶提供網路攻擊服務、工具甚至培訓的產業已然發展起來。
主要業務仍是網路間諜和資料竊取的 Void Balaur是產能最高的網路傭兵之一,該組織的會在地下論壇或Probiv等網站販賣關於個人的高度敏感資料,對世界各地不同的部門和產業都發動過攻擊。
自2015年以來就一直活躍的Void Balaur主要從事網路間諜活動和資料竊盜,將竊取的資訊出售給任何願意付錢的人。在我們調查Void Balaur的活動時,發現該組織攻擊了超過3,500名受害者,其中有些人甚至持續地反覆遭受攻擊。

「網路傭兵(cybermercenary)」,出售服務給任何願意付錢的人

什麼是 「網路傭兵(cybermercenary)」?

隨著網路攻擊成為有力組織進攻武器庫內的常用手段,一個向潛在客戶提供網路攻擊服務、工具甚至培訓的產業已然發展起來。這產業內的主要參與者之一就是所謂的「網路傭兵(cybermercenary)」 – 顧名思義,這些人或團體為政府、犯罪組織甚至企業等客戶提供不同類型的網路產品和服務並收取費用。理論上,這些網路傭兵可用於非惡意目的,如幫助政府打擊恐怖主義和有組織犯罪。但事實是,他們的服務最終被用於針對客戶對手的攻擊。


網路犯罪分子們有著各種不同的動機:例如,有些駭客是為了進行破壞性政治攻擊,有些則可能更傾向於進行網路間諜活動或收集目標受害者資訊。當然,金錢仍是個強大的網路犯罪誘因 – 甚至可能是最常見的動機。有些網路犯罪份子(如勒索病毒 犯罪組織)能直接從網路攻擊中獲利。但有些人則更願意成為「網路傭兵(cybermercenary)」,出售服務給任何願意付錢的人。

Void Balaur是產能最高的網路傭兵之一,這是個講俄語的駭客組織,對世界各地不同的部門和產業都發動過攻擊。雖然Void Balaur提供各式各樣的服務,但該組織的主要業務仍是網路間諜和資料竊取,會在地下論壇或Probiv等網站販賣關於個人的高度敏感資料。

提供大量私人資料選項:如航班和旅行資料、犯罪記錄、財務記錄、退休基金、簡訊列印等


該組織的主要目標是郵件帳號。雖然它提供的標準EMAIL帳密很可能是透過帳密網路釣魚(Phishing)攻擊竊取而來,但Void Balaur還提供沒有經過使用者互動的EMAIL 帳密 – 需要付出更高的價格。這是件相當有意思的事,因為在正常情況下,沒有經過任何使用者互動就能收集信箱內容是相當困難的,這顯示可能有內部人員協助,甚至是郵件服務商的系統被入侵。

Figure 1. Countries in which Void Balaur email targets were located
圖1. Void Balaur電子郵件目標所在的國家/地區

此外,Void Balaur 也提供了大量私人資料選項給客戶,包括航班和旅行資料(護照和機票購買)等資訊;犯罪記錄; 財務記錄和信用記錄;退休基金;甚至是簡訊列印輸出。不難看出為什麼會有 Void Balaur 這樣的網路傭兵需求 – 這些資訊對想攻擊特定目標的團體或個人來說非常有用。

很難確認該組織究竟是如何收集如此廣泛的資訊,尤其是電信方面的資訊 – 但可能性有幾種,如電信工程師被駭,甚至是電信系統本身被入侵。

利用地下網站來宣傳他們的產品和服務


Void Balaur 的主要服務之一是侵入電子郵件服務和社群媒體帳號的信箱。在某些案例中,Void Balaur 甚至能夠用更高價格提供沒有經過使用者互動竊取來的信箱完整拷貝。這是個相當值得研究的事情,因為只有在不尋常的情況下(如內賊或郵件服務商系統被入侵),才無需經過使用者互動就能夠提供私人資料。

該組織利用俄羅斯地下網站來宣傳他們的產品和服務,特別是Darkmoney和Probiv等論壇。Void Balaur似乎在這些地下論壇備受推崇,因為對其服務的反饋幾乎是一致好評,他們的客戶指出他們有能力按時提供所需資訊並確保所提供資料的品質。該組織之前還在一個網站販賣其產品,宣傳入侵信箱、發動分散式阻斷服務(DDoS)攻擊以及洪水攻擊獨立國協(CIS)內的電話號碼等服務。

Some of the products being offered by Void Balaur on their website from 2020
圖. 部分Void Balaur自2020年起在其網站上提供的產品

Void Balaur還將目光投向加密貨幣交易所及其員工,建立許多釣魚網站來誘騙加密貨幣交易所使用者,以存取他們的錢包。特別是加密貨幣交易所EXMO,已經多次成為該組織的受害者。

Some of the products being offered by Void Balaur on their website from 2020
圖2. Void Balaur釣魚網站範例,該網站偽裝成EXMO的登入頁面

攻擊可接觸大量私人資訊的組織:如電信、零售、金融、醫療 生物技術領域


Void Balaur的攻擊特別值得注意的是其目標往往有很高的地位。雖然這個組織也會提供服務給廣泛大眾 – 可以從其在地下論壇的廣告看出,不過根據eQualit.ie國際特赦組織等組織所提供的研究報告,Void Balaur也會進行針對高知名目標的攻擊,從人權運動家和記者到政治家,甚至是總統候選人。這個組織最引人注目的活動之一是在2021年9月針對東歐國家政府官員及政界人士的私人電子郵件發動的攻擊。

沒有辜負其網路傭兵的標籤,Void Balaur並不局限在地緣政治領域。能夠接觸到大量私人資訊的組織也經常成為他們的目標。這些目標涵蓋各種不同產業,如電信、零售、金融、醫療,甚至是生物技術領域。與公司核心業務密切相關的高階主管及員工是他們的首選目標,因為這些人有機會能夠接觸到該組織所需要的資料。

Void Balaur所用的惡意軟體


根據國際特赦組織的報告,Void Balaur還使用了看似簡單但高度專業化的惡意軟體。其中一種稱為Z*Stealer的惡意軟體會從不同類型的軟體(如即時通應用程式、電子郵件客戶端、瀏覽器和遠端桌面協定RDP程式)收集帳密。此外,它還能夠竊取加密貨幣錢包。

DroidWatcher是該組織在攻擊活動中使用的另一種惡意軟體。與Z*Stealer類似,它也用於資訊竊取,同時增加了間諜和遠端追踪功能,可以讓使用者取得敏感的位置和通訊資訊。

如何遏制網路傭兵攻擊?

Void Balaur: Tracking a Cybermercenary's Activities
參閱我們的研究報告「Void Balaur:追蹤網路傭兵活動


從Void Balaur這類網路傭兵所做的事情看來,這些組織很可能擁有大量工具和基礎設施來讓他們發動攻擊,甚至能夠將目標放到高知名個人和組織上。不過這並不代表實踐及部署對的安全保護措施不能夠遏制網路傭兵攻擊。底下的安全最佳實作可以幫助個人或組織抵禦網路傭兵攻擊(以及一般的網路攻擊):

  • 選擇信譽良好,會將安全性放在首位的郵件服務商。
  • 考慮使用專用雙因子身份認證(2FA)應用程式或裝置(如Tubikey),而非依賴簡訊。
  • 使用加密系統進行通訊,尤其是在涉及敏感資訊時。
  • 加密所有儲存敏感資訊的電腦或其他機器的磁碟
  • 刪除舊郵件或訊息來實踐良好的網路安全習慣,盡量減少攻擊者獲取敏感資料的機會。

參閱我們的研究報告「Void Balaur:追蹤網路傭兵活動」來了解更多關於Void Balaur活動及其目標的資訊。


@原文出處:Void Balaur and the Rise of the Cybermercenary Industry
THE FAR-REACHING ATTACKS OF THE VOID BALAUR CYBERMERCENARY GROUP