黑客行动主义卷土重来——但不要被愚弄，它通常是戴着面具的国家支持的暴徒

快速阅读: 《The Register》消息，黑客活动家常与民族国家利益相关，其攻击战术和时机经过精心策划。尽管西方尚未发生大规模破坏性攻击，但许多团体与政府情报机构有联系。暗网资源降低了网络攻击门槛，政府支持的黑客则利用高调攻击作为间谍行动的烟幕。工业网络安全专家呼吁更透明地揭示黑客行动主义者操作，以增强社区应对能力。

专题报道

从引发德克萨斯州水箱溢流到在普京生日当天关闭俄罗斯国家新闻服务，自称为“黑客活动家”的人一直在成为头条新闻。但不要被他们的盖伊·福克斯头像所迷惑。今天的“黑客活动家”，尤其是那些针对关键基础设施的，往往与数字破坏分子有更多的共同点，而非仅仅与九十年代和新世纪的政府支持的网络运营商相似。威胁情报分析师指出，他们的战术、目标和时机表明这是经过精心策划的，并且与民族国家利益密切相关。

今年早些时候，运营技术网络安全公司Dragos透露，在2024年4月，亲乌克兰的黑客活动小组BlackJack入侵了一个莫斯科市政组织，该组织负责维护城市的天然气、水和污水网络的通信系统。在接管路由器和传感器网关后，该团伙部署了名为Fuxnet的OT专用恶意软件，据Dragos估计，这是现存的第八种已知工业控制系统恶意软件。

尽管迄今为止，在西方国家尚未发生可以追溯到黑客活动家的大规模破坏性攻击，但许多当今的团体与政府情报机构有联系，并且与进攻性网络单位的联系日益密切。这使得网络防御者保持警惕，并让他们有理由密切关注这些具有政治和社会意识的团体。

但这并不是说所有今天的黑客活动家都是政府特工。其中一些网民可能是独立的活动人士，他们从篡改网站和攻击更大目标开始，受到全球政治变革的推动。然而，我们采访过的专家指出，现代黑客活动更具组织性和隐蔽性。

“现在以黑客活动为名进行的事情——也许它们是独立的，也许是由国家资助的，但至少国家故意视而不见——这些是现在从事破坏性行动的复杂团体，”前NSA计算机网络操作员埃文·多恩布什告诉《注册报》。

“有许多例子表明，这些团体攻击了基础设施、供水和污水处理设施以及能源公用事业，”他补充道。“这些不仅仅是关心公民、为国家欢呼的普通民众。这些是被故意用作提供国家合理否认机制的工具。”

这次黑客活动家的复兴可能与2022年莫斯科对乌克兰的入侵有关，当时已经解散的“兄弟会”中双方的个人都参与其中。包括Killnet、匿名俄罗斯和匿名苏丹在内的团体迅速行动，支持克里姆林宫的利益。

大多数早期针对乌克兰及其欧洲和当时的美国盟友的攻击虽然令人烦恼，但并不成功。它们主要由“烦扰级”DDoS攻击组成，针对关键基础设施部门，用机器人流量淹没面向公众的网站。

“这很可怕”
“黑客活动的一个显著特点：它很少关乎影响，更多的是关于可见性，”谷歌威胁情报集团首席分析师约翰·赫尔特奎斯特告诉《注册报》。“这些声明往往超出现实。”

他还补充说，这并不意味着黑客活动攻击没有影响。“它可能会在心理上产生影响，”赫尔特奎斯特说。“它可能会影响消费者对一家企业或政府机构的信任，或者对选举等过程的信任。”

CyberArmyofRussia_Reborn1在2024年初通过远程管理软件试图扰乱德克萨斯州水设施的一系列尝试产生了这种影响。只有一个已知的入侵导致系统故障，从而引发了水箱溢流。他们并没有毒害水源或阻止人们在家打开水龙头饮用干净的水，这是对这类关键基础设施进行破坏性攻击时一直担心的情况。

后来，网络安全研究人员的分析表明，水设施入侵可能是伪装成黑客活动家的俄罗斯军事黑客所为。

“这很可怕，”赫尔特奎斯特说。“我知道那个团体与APT44（又名Sandworm）有联系，实际上已经破坏了一些东西。我感到震惊。这是严重的。这是跨越了一条线。这是我们担忧的事情，有时危险在于心理影响。”

不过，他补充说，无论是否由国家赞助，黑客活动家大多是机会主义者，通常寻找低垂的果实。

赫尔特奎斯特表示，他见过一些团体抓住机会攻击安全措施薄弱的网站或IT基础设施，“不受意识形态的限制，然后真的出去寻找理由，在事后公开声称为什么这样做。因此，我们应该对他们的某些意识形态动机持保留态度。很多时候，这更多是出于自我动机。”

不要让他们轻易得手

如前所述，这并不是说所有的黑客活动家都是披着羊皮的政府支持团体。这些团体及其动机多种多样。此外，正如生活中大多数事情一样，现代技术使他们的生活变得更加容易。

DDoS服务（即所谓的“启动器”或“压力测试器”）、出售被盗网络访问权限的初始访问代理，以及其他犯罪分子可以用来侵入计算机的资源，降低了那些想要实施各种网络攻击的不法分子的门槛。昨日的DDoS攻击和页面篡改是基础；这是现代黑客活动的入门级，而不是极限。

“不同黑客活动团体的技能水平各不相同，”SecurityScorecard高级渗透测试员大卫·芒德告诉《注册报》。“但如今他们的好处是，暗网上的服务可以租赁，对于非技术人员来说，这些服务相对便宜且易于使用。”

说到美好的旧时光……

上个月，加拿大警方逮捕了37岁的奥布里·科特尔，他是安大略省奥沙瓦居民，因涉嫌在2021年窃取德克萨斯州共和党数据而在美国面临刑事指控。

根据2024年9月公布的投诉文件[PDF]，科特尔入侵了德克萨斯州共和党使用的第三方托管公司Epik，并利用此访问权限修改了德克萨斯州共和党的官方网站，将其替换为卡通人物、色情内容和音乐视频。

此外，除了被指控修改网站外，科特尔据称还是早期加入Anonymous黑客活动集体的成员之一，在在线论坛上使用“Kirtaner”这一绰号，还被指控获取了一份包含180GB个人身份信息的德克萨斯州共和党Apache Web服务器部署副本，并在之后供他人下载。

然后，按照典型的黑客活动家风格，科特尔被指控承认了安全漏洞的责任，在Discord上炫耀，并在后来的TikTok视频中继续炫耀。“哦，我已经给了孩子们SQL注入漏洞利用代码，”他被指控在Discord上写道，“当它生效时，你永远不会把它归咎于我，但……epik主机完蛋了。”

检察官在搜查科特尔位于安大略省的电子设备时发现了从德克萨斯州共和党窃取的数据。

他被控非法转移、持有或使用识别手段，意图从事或协助从事违反州或联邦法律的违法行为。如果被判有罪，科特尔将面临最高五年监禁。

考虑到罪犯可以在暗网上以10美元的价格购买一次DDoS攻击，“这在经济上是可行的，技术上也是可行的，”芒德指出。“作恶行为的商业化正在变得更容易。”

在另一端，那些显然是作为黑客活动家行事的顶级政府支持团队则完全不同。他们利用高调攻击来针对关键基础设施，或作为间谍行动和其他隐秘网络活动的烟幕。“有些自称黑客的人其实并不是真正的黑客，”赫尔特奎斯特说，“他们声称自己的行为是基于意识形态动机，但事实是他们只是在听从命令。”

早在2014年，我们就目睹了臭名昭著的索尼影业娱乐公司被黑事件，在此期间，据强烈怀疑是朝鲜伪装成一个名为‘和平守护者’的黑客组织，清空了索尼的基础设施并泄露了信息。

最近，谷歌将俄罗斯格鲁乌军事情报部门的进攻性网络部门Sandworm与针对美国和欧洲水厂的网络攻击以及其他战争时期的破坏行动联系起来。但他们利用Telegram频道XakNet Team、CyberArmyofRussia_Reborn1和Solntsepek上的黑客伪装身份来宣传非法活动并分享被盗数据——以此伪装成独立的黑客行动主义行为。

2023年末，联邦调查局、国家安全局、网络安全和基础设施安全局（CISA）和其他联邦机构指责伊朗革命卫队（IRGC）附属组织CyberAvengers入侵了美国多个供水系统。

但我们应该补充一点：这些黑客并未展现出太多的技术复杂性。根据联邦政府的说法，该团队可能通过使用互联网可访问的可编程逻辑控制器的默认密码侵入了美国的供水设施。

然而，后来发现这个团队正在使用一种名为IOCONTROL的自定义恶意软件来攻击和远程控制位于美国和以色列的供水和燃料管理系统。

“尽管他们在工业领域具有相同甚至更高的访问权限，但他们并未锁定系统，甚至不更改或设置管理员密码，而且很多时候，这些系统根本没有密码，”工业网络安全公司ABS Consulting的ICS安全专家罗恩·费巴勒告诉《注册报》。“在他们制作视频之后，他们并未采取任何有效措施来阻止对运营资产的访问或隐藏其存在。”

至于为什么他们没有采取下一步进入OT中断，只有犯罪分子才能回答。但费巴勒认为，即使这些团队被称为‘政府忽视’而非国家支持的黑客，一次破坏性的网络攻击‘仍可能引起他们不希望来自政府的关注’，他指出。

针对操作技术系统的恶意软件变种非常罕见——但去年发现了两种。

匿名苏丹也不再存在：两名涉嫌操作员被指认并起诉。

以色列黑客组织吹嘘称其已使伊朗互联网瘫痪。

全球警察关闭了世界上‘最猖獗’的DDoS经销商。

“另一种推测是，这些并非一对一的攻击，”他补充道。“他们并非侵入一家企业后攻陷20个系统并进行数据窃取。他们只找到一个单一系统，所以可能不值得花时间去锁定一个HMI。”

所有接受《注册报》采访的网络安全防御者均表示认同，执法部门针对booter及其他DDoS服务的行动，例如正在进行的由欧洲刑警组织协调的Operation PowerOFF，是朝着正确的方向迈进了一步——尽管一些被认为已被摧毁的僵尸网络出现了复苏。

‘去神秘化’那些不太令人印象深刻的攻击

但根据费巴勒的说法，政府的安全警报和私营部门关于黑客行动主义者的博客文章应该通过链接到原始材料来揭示这些组织的操作。黑客行动主义者在Telegram和其他社交媒体渠道上发布他们的操作视频并炫耀其活动。然而，许多提及这些组织Telegram频道的警告未附带任何视频或帖子链接。

“这让我十分生气，”费巴勒说，“他们公开发布此类信息。除非是为了抢先于其他研究人员，否则并无必要保密。所以这归因于自负。”

为此，他编制了一份公开的Telegram账户列表，这些账户发布了针对关键基础设施的攻击。

“我们越能揭示这些数据的来源，并削弱或揭露他们向公众展示的能力，这就在社区中为将其视为免疫反应打开了空间，”费巴勒说，并补充道，这就像感冒。