網(wǎng)絡(luò)安全世界中的兩大威脅是國家支持的高級持續(xù)性威脅(APT)和網(wǎng)絡(luò)罪犯，其深入世界各個角落的基礎(chǔ)設(shè)施和圈子也就是所謂的暗網(wǎng)。APT組織和網(wǎng)絡(luò)犯罪團伙向來井水不犯河水，各自都有自己的目標(biāo)、人員和手段。但是近些年來，二者之間出現(xiàn)了一些交叉和重疊。

從進入公眾視野之日起，APT就一直在用通常在暗網(wǎng)上售賣的工具。具體而言，許多APT事件中都出現(xiàn)了Poison Ivy等遠程訪問木馬(RAT)的身影。這種現(xiàn)象非常普遍，以致于許多人對“APT”一詞本身提出了質(zhì)疑，因為RAT并不被認為是“高級的”(事實上，APT中的“高級”指的是黑客組織背后的基礎(chǔ)設(shè)施，即民族國家)。APT事件常以數(shù)據(jù)滲漏為目標(biāo)，多年來，APT組織使用暗網(wǎng)上各種網(wǎng)絡(luò)犯罪工具達成此目標(biāo)，二者并不矛盾。

而另一方面，網(wǎng)絡(luò)犯罪團伙也借鑒了APT的一些戰(zhàn)術(shù)。騙子常常盯上金融機構(gòu)的客戶，就是因為客戶被認為是金融機構(gòu)整個安全鏈條中最弱的一環(huán)。他們根本不去嘗試突破銀行的安全網(wǎng)絡(luò)，而是采用網(wǎng)絡(luò)釣魚攻擊來染指其受害者。其他企業(yè)淪為網(wǎng)絡(luò)犯罪的受害者，則是因為網(wǎng)絡(luò)犯罪團伙黑進了他們的系統(tǒng)(比如電子商務(wù)網(wǎng)站)，從而盜走了各種憑證。但突破銀行的系統(tǒng)就被認為是無法企及的目標(biāo)，絕大多數(shù)網(wǎng)絡(luò)犯罪團伙都不會去嘗試。

不過，在某種程度上，網(wǎng)絡(luò)犯罪團伙明白，如果APT使用暗網(wǎng)工具訪問企業(yè)網(wǎng)絡(luò)取得了巨大成功，那他們自己也能做到。一些網(wǎng)絡(luò)犯罪團伙已經(jīng)采用了APT的戰(zhàn)術(shù)，使用魚叉式網(wǎng)絡(luò)釣魚發(fā)送感染了惡意軟件的附件，通過惡意附件來獲取銀行IT系統(tǒng)的訪問權(quán)。網(wǎng)絡(luò)安全公司Group-B稱，名為Cobalt的網(wǎng)絡(luò)犯罪團伙利用銀行系統(tǒng)權(quán)限，向ATM機遠程植入了惡意軟件，造成銀行ATM機自動吐鈔(所謂Jackpotting攻擊)。

后來的事件中，APT的目標(biāo)逐漸開始網(wǎng)絡(luò)犯罪團伙化。如果說以前APT的主要目標(biāo)是數(shù)據(jù)滲漏，為了竊取知識產(chǎn)權(quán)和情報，那最近一些APT組織入侵各大企業(yè)就開始是為財了。在這方面最臭名昭著的APT組織是Lazarus，據(jù)說該組織與朝鮮有關(guān)。一系列攻擊中都出現(xiàn)了Lazarus的身影，包括索尼影業(yè)數(shù)據(jù)泄露事件和針對韓國的多起DDoS攻擊事件。尤為值得一提的是，該組織還與2016年孟加拉央行網(wǎng)絡(luò)攻擊事件有關(guān)。這起事件中，作案者發(fā)起的非法SWIFT網(wǎng)絡(luò)轉(zhuǎn)賬價值近十億美元，不過，三十五條轉(zhuǎn)賬指令中僅五條成功了。此外，Lazarus與WannaCry勒索軟件也有關(guān)系，被認為是2017年5月那波全球性攻擊的幕后黑手。WannaCry勒索軟件使用了最初由NSA研發(fā)的被泄漏洞利用程序，感染W(wǎng)indows主機后會加密其上文件并發(fā)出勒索信，受害者不支付贖金就無法解鎖文件。這波全球性攻擊中，150多個國家的30多萬臺計算機遭感染。

將作案重點轉(zhuǎn)向經(jīng)濟收益的APT并非僅僅有據(jù)稱歸屬朝鮮的Lazarus一家。各家網(wǎng)絡(luò)安全公司的報告宣稱，伊朗政府支持的黑客組織目前盯上了以色列公司。研究人員聲稱，盡管他們的目標(biāo)表面上看似乎是為了求財，但這些攻擊背后真正的原因是政治性的。2020年11月20日，名為Black Shadows的黑客組織攻擊了以色列保險公司Shirbit。他們試圖勒索這家保險公司，警告稱如果不付款就曝光被盜數(shù)據(jù)。Shirbit拒絕付款，而數(shù)據(jù)隨后也確實泄露了。這家公司遭受了直接經(jīng)濟損失，并且面臨集體訴訟。安全供應(yīng)商SentinelOne表示，盡管該事件的性質(zhì)是網(wǎng)絡(luò)犯罪，但所有這些操作都是用來掩蓋伊朗針對以色列的各項行動。這起事件，以及針對KLS Capital等以色列公司的多起其他事件，都是APT攻擊，是兩國間當(dāng)前冷戰(zhàn)的一部分。ClearSky Cyber Security指出，這一行動中的其他重磅攻擊落在了Amital和Habana Labs身上。

盡管基礎(chǔ)設(shè)施、目標(biāo)和手段存在差異，惡意黑客組織的工作環(huán)境并非真空。他們會互相取經(jīng)。網(wǎng)絡(luò)威脅世界中所有惡意團伙都這樣。關(guān)注網(wǎng)絡(luò)犯罪活動的研究人員也應(yīng)該注意APT空間中發(fā)生的事情，因為這類事情最終可能會滲透到犯罪世界。反過來也一樣，網(wǎng)絡(luò)犯罪團伙使用的工具、創(chuàng)新戰(zhàn)術(shù)和方法，最終也會落入政府支持的黑客組織手中。