在俄罗斯军方努力应对乌克兰期待已久的反攻之际,该国的黑客已将目光转向英国。
上周,超过10万名英国人的数据被自称“Clop”的网络罪犯窃取,“Clop”是俄语中吸血臭虫的意思。
这个网络安全研究人员熟知的团伙,利用一家薪资供应商使用的软件后门,袭击了包括英国航空(British Airways)、博茨(Boots)和英国广播公司(BBC)在内的主要雇主。
被盗的信息包括国民保险号码和银行账户详细信息。
此前,一个讲俄语的黑客组织对Capita进行了类似的攻击,突显出网络犯罪团伙在弗拉基米尔•普京(Vladimir Putin)的监视下,正在加强对西方的攻击。
“五眼联盟”(Five Eyes)国家——美国、澳大利亚、英国、加拿大和新西兰——警告称,“与俄罗斯结盟的网络犯罪集团”威胁要对西方国家“实施网络行动”,以报复这些国家对乌克兰的支持。
今年早些时候,英国内阁大臣奥利弗·道登(Oliver Dowden)警告称,“受意识形态驱动”的黑客正在崛起,他们越来越多地以关键基础设施和主要企业为目标,试图扰乱日常生活。
很难衡量这些攻击在多大程度上是克里姆林宫指使的。
Secureworks的情报总监雷夫•皮林(Rafe Pilling)认为,克洛普不属于俄罗斯政府主导的网络团伙。
该组织长期以来一直以西方企业为目标,勒索他们的数据以换取金钱,这表明本周的攻击只是商业活动的延续。
然而,普京通过在演讲中谴责西方,似乎容忍从俄罗斯领土发起的黑客攻击,至少在心照不宣地鼓励这样的攻击。
谷歌云(Google Cloud)旗下Mandiant网络安全部门高级经理杰里米•肯内利(Jeremy Kennelly)表示,“俄罗斯网络犯罪分子与俄罗斯国家当局之间历来存在某种协调”。
研究人员注意到,入侵乌克兰后,已知的俄罗斯网络团伙的活动与军事目标之间存在不寻常的重叠。这种关系让人想起2014年控制克里米亚的臭名昭著的“小绿人”。
普京否认这些全副武装、身着迷彩军装的人是俄罗斯政府的特工,声称他们只是装备精良的业余人员,他们的目标恰好与克里姆林宫的目标一致。
现在,小小的网络帮手似乎在乌克兰战争中扮演着类似的角色。
由于过去两年的一系列逮捕行动,人们对Clop成员的了解比许多类似的网络犯罪组织都要多。
该团伙已经活动了10年,据信从银行、航空公司和律师事务所等企业受害者那里勒索了逾5亿美元。
美国联邦调查局上周表示,Clop“被认为是全球最大的网络钓鱼和垃圾邮件分销商之一”,据信已经入侵了全球多达8000家公司。
“这些人是俄罗斯网络犯罪的元老,”皮林说。
该组织的作案手法是窃取数据,然后索取赎金,并威胁称,如果不支付赎金,就将敏感信息泄露到网上。
其典型的勒索信是这样写的:“如果你无视我们,我们将在黑市上出售你的信息,并将其发布在我们的博客上,我们的博客每天有3 -5万独立访问者。”
在英国航空公司、英国广播公司和博茨公司的案件中,该团伙发现了一款名为MOVEit的文件传输软件的一个漏洞,该软件由薪资运营商Zellis使用。
皮林说,从发现有后门的服务器到植入数据窃取软件,Clop只需要“大约15-20秒”。
谷歌的肯纳利认为,最近的这种疯狂行为可能使Clop的用户无法处理更多的被盗信息。
过去,该团伙——或网络安全行业术语中的“威胁行为者”——直接联系个人受害者索要钱财。然而,本周,Clop却在暗网上发布了一份通知,要求被黑客攻击的公司与他们取得联系。
“目前的情况是不典型的,”Kennelly解释说,“但可能是由于参与者被访问和数据淹没了。”
在暗网上发布的一份声明中,克洛普说:“如果你是政府、城市或警察部门,不要担心,我们删除了你所有的数据。”
Secureworks的皮林认为,这表明Clop成员担心自己行为的后果:“我认为,他们相信,这一声明足以让他们避开执法部门的监视,并减少可能针对他们的压力。”
这是一厢情愿的想法。西方官员越来越将网络攻击视为国家安全问题,英国国家网络安全中心(national cyber security Centre)正在调查最新的Clop攻击事件。
研究人员表示,很难识别Clop的成员,因为他们甚至倾向于远离网络犯罪论坛和在线公告栏,犯罪分子在这些论坛上吹嘘自己的行为,并出售从西方人那里窃取的大量信息。
然而,据信该组织的行动主要集中在俄罗斯,一些成员在乌克兰。
然而,警方在2021年夏天对乌克兰的突袭,以及在俄罗斯2022年入侵乌克兰前几周的再次突袭,揭开了该团伙一些涉嫌成员及其生活方式的面纱。
其中一名嫌疑人是一名未透露姓名的36岁男子,他和妻子住在乌克兰首都基辅。乌克兰专门的网络警察部队发布的照片显示,这对夫妇住在郊区一栋新建的智能住宅中。
英国和韩国警方在得知克洛普一直以两国的银行为目标后,也参加了这次突袭行动,不过官方消息人士对他们在突袭中了解到的情况守口如瓶。
2021年6月进行了21次类似的突袭,逮捕了6人。
另一所被控犯罪的房子在英国高档房地产开发商的目录中也不会显得格格不入:黑色大理石台面,一个四环煤气灶,设备齐全的厨房电器,以及贴在厨房橱柜上的儿童绘画。
然而,警方在这些国内物品中发现了几英寸厚的美元、欧元和乌克兰钞票,这些钞票藏在保险箱和壁柜里。据说查获了500万格里夫纳(10.8万英镑)。
一辆价值5.5万美元的特斯拉Y型轿车停在房子旁边,而停在外面的一辆银色雷克萨斯被一辆拖车带走了,还有三辆梅赛德斯-奔驰,其中包括一辆价值18.3万英镑的S63轿跑车。
乌克兰网络警察(Cyber Police)在突袭行动中表示:“已经确定,6名被告使用‘勒索软件’等恶意软件对美国和(韩国)公司的服务器进行了攻击。”
专家现在认为,在乌克兰被捕的一些人可能是为克洛普公司工作的洗钱者,而不是犯罪黑客本身,主要是因为逮捕似乎并没有减缓正在进行的犯罪。
即使Clop可以被根除,它也不能解决问题。
长期以来,西方安全和执法机构一直对俄罗斯对在其领土上活动的网络犯罪分子的宽容态度感到失望。
去年的一份报告估计,2021年通过勒索软件赚到的钱中,有74%被支付给了说俄语的黑客。
两年前,乔·拜登与普京通了电话,讨论如何解决黑客问题。然而,通过谈判解决这一问题的任何希望都在入侵之后消失了。
普京的小网络助手们继续胡作非为。
