繼拉撒路(Lazarus Group)之后，又一個國家黑客組織被發(fā)現(xiàn)參與大規(guī)模加密貨幣挖礦行動。

微軟本周一的報告發(fā)現(xiàn)，越南政府支持的黑客開始在常規(guī)的網(wǎng)絡(luò)間諜工具套件中部署加密貨幣挖礦軟件。

該報告指出越來越多的國家支持的黑客組織開始將目光投向了常規(guī)的網(wǎng)絡(luò)犯罪活動，這使得對財務(wù)動機的犯罪與情報收集活動的區(qū)分變得更加困難。

APT32加入門羅幣采礦大軍

該越南黑客組織在微軟內(nèi)部的追蹤代號為Bismuth，自2012年以來一直活躍，在安全業(yè)界廣為人知的代號還包括APT32和OceanLotus(海蓮花)等。

APT32成立以來大部分時間都在組織國內(nèi)外的復(fù)雜黑客活動，目的是收集信息以幫助其政府處理政治、經(jīng)濟和外交政策決策。近年來隨著越南經(jīng)濟的高速發(fā)展，汽車行業(yè)成為APT32的關(guān)注重點。

但是微軟的報告指出，這個夏天該小組的活動策略發(fā)生了變化。

微軟表示：“在2020年7月至2020年8月的美國總統(tǒng)大選活動期間，該組織將門羅幣礦機程序部署到了針對法國和越南私營部門以及政府機構(gòu)的攻擊中。”

目前尚不清楚該APT32為何改變策略，微軟認為存在兩種可能：首先，APT32可能希望借助加密貨幣挖礦軟件來掩蓋自己的真實目的，誘使事件響應(yīng)者以為自己是最低優(yōu)先級的路過攻擊。其次，APT32小組可能正在嘗試從常規(guī)的網(wǎng)絡(luò)間諜活動中“撈些外快”。

第二種假設(shè)也符合網(wǎng)絡(luò)安全行業(yè)的普遍趨勢。近年來，俄羅斯、伊朗和朝鮮政府資助的黑客組織也經(jīng)常會出于純粹的賺錢目的而攻擊目標，獲取收益。

國家黑客發(fā)動此類攻擊的一個重要原因是，這些團體通常在當(dāng)?shù)卣闹苯颖Ｗo下進行活動，無論是作為承包商還是情報人員，他們也都在與美國沒有引渡條約的國家/地區(qū)內(nèi)開展活動，從而使他們隨心所欲、肆無忌憚地發(fā)動任何攻擊，而不用擔(dān)心后果。

APT32所在的越南也缺乏與美國的引渡條約，而且根據(jù)牛津大學(xué)人類網(wǎng)絡(luò)犯罪項目主任Lusthaus的調(diào)研《匿名行業(yè)：網(wǎng)絡(luò)犯罪業(yè)務(wù)內(nèi)部》，越南有望在未來十年成為新的網(wǎng)絡(luò)犯罪中心和避風(fēng)港。事實上從2018年開始，網(wǎng)絡(luò)安全行業(yè)就觀察到越南的進攻性網(wǎng)絡(luò)活動開始激增。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文