网络攻击组织类型分化，对勒索攻击团伙如何归因命名？

引言

勒索攻击导致的COLONIAL输油管道公司运营中断，已迫使美国政府在油气管道安全方面的政策做出重大改变，并加强了对组织向勒索者支付赎金决定的审查。该输油管道公司供应了美国东海岸所需45%的燃料。现在，这一事件已经成为知名安全公司TALOS做出决定的触发因素，该公司将改变其对黑客犯罪组织与它们的政府之间关系的公开归类方式。

思科(Cisco)的威胁情报部门Talos当场时间5月26日表示，将开始使用“私掠船”（privateers）一词来形容那些不受政府控制、但“从政府对其活动视而不见的决定中受益”的黑客组织。

关于黑客组织归因命名的早期研究

九年前,既2012年，杰森·希利,现任哥伦比亚大学国际与公共事务学院高级研究员，他关注网络战,写了一篇论文责任的“频谱”，政府对网络攻击行为发生在他们的领土上,到底负有什么样的责任。

这篇论文的目的是“将(政策)讨论从‘归因固定’转移到国家对网络空间攻击的责任，”希利写道。

国家责任范围是一种工具，可以帮助知识不完善的分析人员更精确、更透明地为特定的攻击或攻击活动指定责任。这个责任频谱划分了10个类别，每个类别根据一个国家是否忽视、纵容或实施攻击，以不同程度的责任来标记。这个范围从一个非常被动的责任开始——一个国家有不安全的系统导致攻击——到一个非常主动的责任——一个国家政府实际上计划和执行了攻击。

1. State-prohibited。国家政府将帮助阻止第三方攻击；

2.
State-prohibited-but-inadequate。国家政府是合作的，但无法阻止第三方的攻击；

3.State-ignored。国家政府知道第三方攻击，但不愿采取任何官方行动

4. State-encouraged。第三方控制并实施了攻击，但国家政府在政策上鼓励他们这样做；

5. State-shaped。第三方控制并实施了攻击，但国家提供了一些支持；

6. State-coordinated。国家政府协调第三方攻击者，比如通过“建议”行动细节；

7. State-ordered。国家政府指示第三方机构代表其进行攻击；

8. State-rogue-conducted。国家政府网络力量的失控元素实施了攻击；

9. State-executed。国家政府使用其直接控制下的网络力量进行攻击；

1. State-integrated。国家政府使用综合第三方代理和政府网络力量进行攻击；

责任频谱既可以用来描述个人攻击，也可以用来描述相关攻击的战役，同时也可以用于网络防御者(“将军，针对我们的攻击可能是国家下令的。如果我们要求那个国家合作，他们不会帮助我们，我们会向他们摊牌。”)和政策界(“我们国家的政策是让国家为任何国家下令的攻击负责，就好像这些攻击来自于军队一样。”

你不能躲在代理背后。”)。任何网络攻击都有可能属于这十类之一，这取决于国家发起网络攻击的三种方式的组合:它们可以忽视、教唆或实施攻击。

Talos团队关于新型黑客组织的归因命名探讨

Talos团队的文图拉（Vitor Ventura）和他的同事沃伦·默瑟(Warren Mercer)最近在一篇博客文章中写道:“很长一段时间以来，区分国家资助和犯罪软件集团的界限是明确的。”“我们认为现在已经不是这样了。”

文中称，网络空间威胁格局正在改变。各组织需要防范不断演变的威胁行为者。很长一段时间以来，区分国家资助和犯罪软件集团的界限是明确的。Talos认为，当前的情况已不再如此。有一些黑客组织，尽管他们的运作方式(MO)是与犯罪团伙一致的，但他们的行为像国家支持的黑客组织。这给保护政府和企业带来了新的挑战，因为这些组织变得更加普遍和危险，这取决于组织的风险概况，可能需要更多的注意。

鉴于最近发生的事件，Talos认为现在应该认识到可以定义一种新的分类，即勒索软件集团受到政府的某种保护，即使不是有意的。因此，Talos提出了“私掠船”一词来描述那些既能从政府对其活动视而不见的决定中获益，又能从更多的物质支持中获益，但政府不一定会对其行为施加直接控制的行为者。这本身并不会减少这些政府与这些组织共同承担的责任，因为它们会保护这些组织，或者只是睁一只眼闭一只眼。

2.1有政府背景的威胁

与国家有关的行为体很容易分为两大类:一类是与国家机构直接相关的行为体，比如美国美国国家安全局(National Security Agency，简称nsa)、APT28、APT29、APT1，以及那些尽管与某个特定国家没有直接联系，但在信息安全界有一个共识，即它们受益于国家为其提供支持的决策。

第一种群体的动机通常不是金钱，因此他们没有盈利方案。他们通常有小型的基础设施，一旦行动结束，这些设施就会被完全摧毁，或者以某种方式暴露出来。这些组织试图使他们的行动尽可能隐蔽，不想引起注意。在像SolarWinds、CCleaner或VPNFilter这样的特定行动中，他们在准备/侦察阶段尽可能隐蔽，知道最终行动可能会暴露他们，希望在暴露发生之前尽可能多地执行他们的计划。

以Gamaredon(或Armageddon或Arma)为例。这个组织很复杂，起源于俄罗斯吞并克里米亚之后的乌克兰。他们不属于传统的俄罗斯情报机构，但我们非常有信心，他们从行动中收集的大部分情报都被转交给了俄罗斯的利益集团。在这种情况下，有一个与国家有关的威胁，它不是赞助国的一个元素，但从赞助国得到了积极的支持和指导。

Gamaredon并不明确自己的目标用户，相反，他们瞄准的是大量用户。他们的基础设施是巨大的-他们有数百个域，他们不会显著改变他们的恶意软件或基础设施，尽管被暴露。然而，他们共享的非威慑方面的一级集团。

还有两个与国家相关的类别;国家可以雇佣“雇佣兵”群体来执行特定行动。雇佣兵团队通常会根据他们被要求执行的战役而被归入与国家相关的第一层，所以不会在这里详细说明。

2.2 “私掠船”群体

私掠船群体不是由国家直接赞助，而是受到经济上的激励，但他们确实从国家的直接或间接保护中受益。这往往表现为缺乏执法行动，即使在其他国家通过正常渠道提出要求时也是如此。保护国并没有从这些组织获得直接利益，但却免受这些组织活动的影响，这些活动经常针对保护国的地缘政治对手。还有一种可能性是，保护国可能会对私掠船群体施加压力，要求其采取特定行动或针对特定实体。

唯一具有这种级别保护的其他行动者是那些直接在国家机构上运作的行为者。例如，被美国司法部指控对信用报告机构Equifax发起网络攻击的人员与中国某研究所有直接联系。美国司法部还对国家支持的行为者提出了其他指控，包括拉撒路集团(Lazarus Group)、卷入“想哭”事件的一名朝鲜公民，以及参与数起电脑黑客事件的六名GRU官员。

Darkside（黑暗面）可以被认为是这样一个“私掠船”集团。这个勒索软件家族最近攻击了美国最大的输油管道，它会检查目标的键盘配置，以避免任何使用西里尔语键盘的用户。Lockbit也可能被视为一家“私掠船”集团，因为该集团的运营商告诉Talos，他们不会以俄罗斯或任何俄罗斯盟国为目标。

值得注意的是，历史上，没有勒索软件运营商被拘留在任何独联体(独联体)，只要他们不针对其成员国。然而，如果一个勒索软件集团的目标是这些国家中的任何一个，他们将被调查和关闭。这类组织中的一个例子是Lurk，它与Angler漏洞工具包相关联。在该组织以俄罗斯银行为目标后，“潜伏”的幕后操作者在俄罗斯被捕。

这些团体通常属于犯罪软件的类别，但是，Talos建议他们不是简单的犯罪软件团伙。这些都是高度组织化的团体，为其附属机构提供过多的支持服务。他们的行动和缺乏来自家乡的威慑使他们成为对社区的持续威胁。对于典型的垃圾邮件发送者或普通的口令窃取者来说，情况就不一样了。“私掠船”在“大猎物猎捕”空间中，窃取了几百千兆字节的信息。这表明某种程度的复杂。尽管它们不能与国家资助的顶级团伙相提并论，但“私掠船”团伙比常规犯罪团伙复杂得多，因此应该被认定为此类团伙。

2.3“私掠船”组织标准

由于Talos正在引入一个新的分类，Talos觉得它是适当的概述什么使一个团体成为“私掠船”在塔洛斯的眼中。已经决定了以下标准来确定一组什么时候应该被视为私掠船。可能还有其他考虑，但Talos认为，至少必须满足下列条件:

Talos意识到，有些团体可能不会特别勾选这里的每一个复选框，这一标准有可能改变。私掠船集团应该只对符合上述标准的威胁行为者开放。

三、对黑客组织的细粒度分类有助于对抗网络攻击

部分网络安全高管将一些政府今天为网络罪犯提供的安全港与17世纪的盗版相提并论。

“如果是在17世纪，骚扰英国商船队的海盗正在潜入荷兰港口，荷兰人在什么情况下会被判有罪?”Mandiant负责威胁情报的副总裁约翰·胡尔特奎斯特(John Hultquist)发推称。“在什么情况下，中立政策的主张会逐渐减弱?”

TALOS的研究人员说，DARKSIDE（黑暗面），一个说俄语的网络犯罪集团，据称是入侵COLONIAL管道公司的团伙，这就是一个私掠船的例子。

美国总统乔?拜登(Joe Biden)似乎对此表示赞同。拜登5月10日对记者说:“到目前为止，我们的情报人员没有证据表明俄罗斯参与了此事，尽管有证据表明这个勒索软件就出自俄罗斯。”“他们有责任解决这个问题。”

如果Talos的分类系统在其他安全公司中被认可推行，它可能会对美国政府及其盟友如何处理这个问题产生影响。美国检察官在起诉非国家黑客和与国家有关的黑客时，大量利用了这类研究公司的分析和协助。

Talos研究人员维特·文图拉在一封电子邮件中表示，他的公司的目标是“挑战网络安全行业中现行的黑客群体分类的现状”。“重要的是要将这些组织与典型的国家相关的威胁行为者区分开来，因为从复杂性的角度来看，它们是犯罪软件和APT组织之间的桥梁，”他补充道，使用了一个与国家支持的黑客有关的缩写。

TALOS为私掠船标签提出的标准之一是，在不配合引渡请求的国家运作的黑客组织。私掠船也应该从事“大型猎物狩猎”，或针对大型公司进行敲诈勒索，TALOS的研究人员说。这是讲俄语的勒索软件团伙的一种标志性策略。

与Talos相比，这种标签的改变表明，私营部门的研究人员近年来在将黑客行动归罪于个人组织方面变得更加熟练，也更愿意就这些组织与政府的关系得出结论。

对发生在他们领土上的黑客行为，政府应该承担多大责任的争论并不新鲜，只是在Colonial油气管道公司运营关闭数天之后，这一争论变得更加重要。

在当前网络攻击泛在化、复杂化、扩大化等等持续恶化的态势下，对背后的攻击组织进行准确、细粒度的归因、分类，形成对其攻击动因的归并、分析，有助于实施精准的法律、经济、技术等手段的打击，有助于厘清攻击组织归属国的国家责任，也有助于企业之间、执法机构之间、国家之间不同形式和不同层次的合作与协同，共同形成对抗网络威胁的积极态势。

小结

“APT”这个词有一个广泛的含义，现在被用在更宽泛的术语中。这个术语通常包括国家支持的团体。然而，Talos认为，国家赞助应被称为国家相关，并分为三个不同的类别:第一种，代表特定国家组织工作的团体/人;第二种，与国家行为者密切相关，但没有明确的组织联系，也没有明显的经济动机的团体/人;第三种，与国家组织不直接相关，但直接或间接受益于国家保护的团体/人。

第一类包括像拉撒路集团(又名APT38)这样的行为体，这是一个国家支持的行为体，为了一个民族国家的直接利益而实施网络攻击。第二类包括Gamaredon和PROMETHIUM。这些组织似乎与国家组织没有直接联系，但据信为国家工作。它们不像主要的APT一样复杂，但并没有直接的经济动机。

最后，还有Darkside联合体这样的组织，Talos称之为“私掠船”。私掠船受益于一定程度的国家保护或接受，而与国家没有任何真正的联系。这些私掠船队正变得越来越普遍，很可能会在未来几年显著改变威胁格局。

来源：闲话网空