大约一年前,美国安全公司帕洛阿尔托网络(Palo Alto Networks)开始收到一连串公司被黑客入侵的消息,这些黑客入侵的方式对网络罪犯来说并不常见。
以英语为母语的黑客会假扮成目标公司的员工,打电话给目标公司的信息技术帮助台,假装丢失了登录信息,以获取登录信息。
他们掌握了所有让人信服的员工信息。
一旦他们获得了访问权限,他们就会很快找到进入公司最敏感的存储库的方法,窃取数据进行勒索。
勒索软件攻击并不新鲜,但这个组织在社会工程和绕过多因素认证方面非常熟练,安全公司Palo Alto Networks旗下Unit 42威胁情报团队的高级副总裁温迪·惠特莫尔(Wendi Whitmore)说,该团队已经对与该组织有关的几次入侵做出了回应。
“他们比许多网络犯罪分子要复杂得多。他们的袭击似乎很有纪律,很有组织。”“这是我们通常在民族国家行为者身上看到的,而不是网络犯罪分子。”
这些黑客在安全行业中被称为“分散的蜘蛛”、“混乱的天秤座”和“UNC3944”。本月早些时候,这些黑客因入侵世界上最大的两家博彩公司——米高梅度假村和凯撒娱乐的系统而成为人们关注的焦点。
追踪入侵的分析师表示,在幕后,它攻击了更多的公司,网络安全专家预计攻击还会继续。
美国联邦调查局(FBI)正在调查米高梅和凯撒的数据泄露事件,两家公司没有就谁可能是幕后黑手发表评论。
安全公司CrowdStrike负责威胁情报的高级副总裁亚当·迈耶斯(Adam Meyers)说,自2022年3月以来,从加拿大到日本,CrowdStrike已经追踪到了该组织在全球发起的52次攻击,其中大多数发生在美国。
谷歌旗下的情报公司Mandiant在过去两年中记录了100多起入侵事件。
几乎所有行业,从电信到金融、酒店和媒体,都受到了冲击。
路透社无法确定黑客可能勒索了多少钱。
但让这个组织脱颖而出的不仅仅是攻击的规模或广度。
Mandiant的创始人凯文·曼迪亚(Kevin Mandia)说,他们非常擅长自己的工作,在与受害者的互动中“冷酷无情”。
Mandiant发现,他们入侵和窃取公司系统数据的速度之快,足以让安全响应团队不堪重负。他们还曾在受害组织的系统上给员工留下威胁字条,并在过去通过短信和电子邮件与他们取得联系。
在某些情况下(Mandia没有透露具体是哪些情况),与Scattered Spider有关的黑客会伪造紧急电话,将全副武装的警察部队召集到目标公司高管的家中。
他说,这种技术被称为“流汗”,“作为受害者,经历这种过程是非常可怕的”。“我甚至不认为这些入侵是为了钱。我认为它们与权力、影响力和恶名有关。这让我们更难做出回应。”
路透社无法立即联系到该黑客组织请其置评。
关于“分散蜘蛛”的位置和身份的细节很少。
根据犯罪分子与受害者的谈话以及从漏洞调查中收集到的线索,CrowdStrike的迈耶斯说,他们大多是17-22岁的年轻人。
Mandiant估计这些黑客主要来自西方国家,但不清楚有多少人参与其中。
分析人士说,在给服务台打电话之前,黑客会通过社交工程获取包括密码在内的员工信息,尤其是“SIM卡交换”技术,他们会欺骗电信公司的客户服务代表,将特定的电话号码从一台设备重新分配到另一台设备上。
分析人士说,他们似乎还在努力研究大型组织的运作方式,包括它们的供应商和承包商,以找到可以攻击的有特权访问权限的个人。
上个月,身份管理公司Okta的首席安全官大卫·布拉德伯里(David Bradbury)亲眼目睹了这一点,当时他发现了多家Okta客户——包括米高梅——遭到了“分散蜘蛛”的攻击。
Okta提供身份服务,如多因素身份验证,用于帮助用户安全地访问在线应用程序和网站。
布拉德伯里说:“这些威胁分子显然已经学习了我们在网上提供的课程,他们显然已经研究了我们的产品及其工作原理。”“这是我们以前从未见过的东西。”
一个名为ALPHV的更大组织上周表示,它是米高梅遭到黑客攻击的幕后黑手。分析人士认为,该组织为“分散蜘蛛”的攻击行动提供了软件和攻击工具。
Okta的布拉德伯里说,这种合作是网络罪犯的典型行为。根据Mandiant的说法,ALPHV是一种“勒索软件即服务”,它将提供帮助台、网页和品牌推广等服务,并从“分散蜘蛛”从黑客攻击中获得分成。
虽然许多勒索软件攻击没有公开,但米高梅的黑客攻击是此类事件对现实世界影响的一个生动例子。
它在拉斯维加斯造成了混乱,游戏机停止运行,酒店系统中断。
勒索软件团伙通常像大型组织一样运作,并不断发展他们的方法以适应组织使用的最新安全措施。
“在某种程度上,这就像是古老的猫捉老鼠游戏,”惠特莫尔说。他将Scattered Spider与Lapsus$进行了比较,Lapsus$是此前入侵Okta和科技巨头微软的另一个组织。
去年,英国警方逮捕了7名年龄在16岁至21岁之间的黑客。
