网络犯罪组织喜欢模仿大企业组织架构 但最后因为太官僚而被抓获
现在,网络犯罪组织竞争激烈,不仅争夺「客户」,还争夺最好的「项目经理」,甚至寻找担任类似 CEO 之类角色的老大来帮助他们保持组织性,完成各种诈骗任务。
来自 IBM 和 Google 的研究人员近日发表了一篇文章描述了网络犯罪组织是如何运作的,以及它们如何模仿现代企业的行为,它们的行为可能会和你现在入职的公司非常像。
「我们可以看到他们有自己的纪律,也可以看到他们在办公时间很活跃。他们在周末休息,他们也是正常工作,他们也有休假,」IBM 安全威胁情报主管 Caleb Barlow 说。
「它们因群而异。在有组织的犯罪中,肯定有一个老大。就像你雇佣一个承包商一样,承包商不一定做所有的工作,他们还能雇佣分包商,比如水管工和电工。这是比较典型的运作方式。」
他说,了解恶意黑客是如何组织他们的业务如何的很重要,这样就能更好地了解公司在打击什么样的组织和行为,因为地下经济往往与更广泛的经济同时运作。
他们也有KPI
网络犯罪组织并不都一样,但一个典型的结构是这样的:一个老大,就像一个首席执行官,监督组织有更远大的目标。作为 IBM X-Force 业务的一部分,负责安全事件响应的 Christopher Scott 解释说,他或她帮助雇佣和领导一系列「项目经理」,执行在网络攻击过程中的不同部分。
如果该组织的目标是通过黑进一家公司并窃取其信息来获取资金,那么一系列「项目经理」将负责监管他们专长领域内的不同职能。
恶意软件专家可能从购买或调整定制「产品」开始,窃取该组织所需的确切信息。另一位「专家」可能会发送欺诈性电子邮件,将恶意软件发送给目标公司。一旦软件成功交付,第三位专家可能会努力扩大获得在目标公司内的访问权限,并寻找该犯罪集团希望在黑市上出售的具体信息。
IBM 提供了一幅图表,展示了从从事黑客攻击的犯罪集团的角度来看,一场针对财富 500 强企业、历时 120 天的真正有针对性的黑客攻击是如何进行的。
Scott 解释说,在这种情况下,对财富 500 强公司的攻击意味着窃取和破坏数据,不同的颜色大致代表不同的工作功能。
在这幅图的左边,专门危害公司网络的攻击者通过自己的努力进入了这个行业,获得了一个立足点。其他「项目经理」通过窃取员工的凭证,黑进员工的各种帐户,并使用这些帐户执行方案中的不同任务,包括访问敏感区域或收集信息。
时间间隔代表黑客停止某些活动的时间段,这样他们就不会触及该公司用于检测犯罪活动的传感器。
在 120 天的周期结束时,其他专家 (用鲜红色表示) 来完成这项工作,他们使用不同的恶意代码来销毁自己的踪迹和公司的数据。
互相合作,互相竞争
犯罪集团并不存在于真空中。Alphabet 旗下专注于网络安全的公司 Chronicle 的研究主管 Juan Andres Guerrero-Saade 解释称,这一交易本质上是为彼此提「B2B 服务」,同时也「劫持了」彼此的进展——就像企业界一样。
Guerrero-Saade 说:「如果我是一个优秀的开发者,我就会写一个勒索软件,然后把它卖出去,或者把它当作一种服务来卖。」「然后我会维护恶意软件,如果你找到受害者,让他们感染病毒,并让他们付钱,我会收取 10% 或 20%。」
近年来,其中一些「服务提供商」的收入有所下降。在本世纪头五年,一种名为「银行木马」(banking trojans) 的恶意软件开始流行起来,这种软件窃取用户的证件,从他们的银行账户中取钱。提供洗钱服务的专家当时这种病毒的需求量很大。不过近年来,随着勒索软件越来越受欢迎,犯罪分子能够直接获得金钱,像「银行木马」的这种需求已经减弱。
「它创造了一种不同的动力。你不需要钱骡,你不需要激怒银行,(被攻击的) 人们不知道该向谁求助,所以这开始流行起来。」(*译者注,money mule,钱骡,指通过因特网将用诈骗等不正当手段从一国得来的钱款和高价值货物转移到另一国的人,款物接收国通常是诈骗份子的居住地。)
Guerrero-Saade 解释说,犯罪集团也有激进的「销售人员」,他们通过争地盘的方式来取代竞争对手。
这在提供 DDoS 攻击的专家中很常见,这种攻击的目的是瞬间用大量信息淹没受害公司的服务器使其崩溃。
一些犯罪集团提供「DDoS-for-hire」服务,而这些服务依赖于每一个犯罪集团已侵入数万或数十万台计算机的基础上。这些被黑客入侵的电脑共同组成「僵尸网络」,并发起 DDoS 攻击。
Guerrero-Saade 说,一个 DDoS-for-hire 服务通常只攻击已经被竞争对手入侵的计算机,然后出于自己的目的接管僵尸网络。他解释说,僵尸网络中电脑越多,犯罪分子的效率就越高。通过这种方式,DDoS-for-hire 服务可以削弱竞争,并说「看,我有10万台电脑,而他只有2万台左右。」
因为变得太大而失败
Scott 说,企业越来越善于识别这些不同类型犯罪商业结构的特征。
但有时,它们发展得太大、太有组织,以至于太容易被识别——因此,它们就会倒闭。
「当你与这些更官僚的组织打交道时,这些活动是非常可预测的,」他说,一个名为 Dyre 的专门从事银行业木马的集团在 2015 年左右变得非常庞大,以至于成为最容易挫败的犯罪集团之一。
Scott 说,了解这些趋势对于希望打击网络犯罪的公司来说非常重要。
「如果你在追逐一个特定的对手,你实际上可能会了解他们使用了多少相同的工具、技术和实战经验。(企业)没有无限的资金,但如果你正确地掌握了策略,你就能真正专注于安全支出。」