研究人員聲稱美國註冊的雲主機協助國家支援的網路攻擊
詳細報導
根據網路安全公司 Halcyon 的研究人員的報告,一家鮮為人知的雲公司提供網頁寄存和網際網路服務給超過二十個不同的國家支援的駭客組織和商業間諜軟體運營商。該報告指出,以美國註冊的 Cloudzy 公司「有意或無意地」充當著眾所周知的國家支援的駭客組織的指揮和控制提供者(C2P)。C2P 是指允許駭客託管虛擬私人伺服器和其他匿名服務的網際網路供應商,這些服務被勒索軟體幫兇用於進行網路攻擊和勒索。
Halcyon 表示依賴於 Cloudzy 的二十幾個組織包括中國支援的間諜組織 APT10、朝鮮支援的駭客組織 Kimsuky 以及克林姆林宮支援的團體 Turla、Nobelium 和 FIN12。FIN12 在 2020 年 10 月對美國醫療行業發起了一系列的勒索軟體攻擊,成為聯邦調查局(FBI)和國家訊息安全中心(CISA)聯合發布的一項警示。Halcyon 在報告中指出,當 Cloudzy(當時名為 Router Hosting)託管的至少 40 個指揮和控制伺服器曾被 FIN12 在其網路攻擊中使用。Cloudzy 提供服務給的組織還包括來自伊朗、巴基斯坦和越南的駭客組織以及位於特拉維夫的惡意軟體製造商 Candiru,該公司向政府客戶出售其側錄手機的間諜軟體。Candiru 於 2021 年被美國政府制裁,因其活動與美國國家安全相悖。Halcyon 表示 Cloudzy 託管的伺服器中約一半看似直接支援有害的活動。該網路安全公司得出的結論是,雖然 Cloudzy 是在美國註冊的,但他們「高度相信」該雲主機實際上是基於伊朗首都德黑蘭運營的 AbrNOC 的前奏,這可能使美國客戶與美國政府的制裁產生衝突。Cloudzy 聲稱在紐約市運營,但卻在懷俄明州註冊,而該公司網站上列出的支援電話號碼則與拉斯維加斯的不同位址有關。根據 Halcyon 的研究人員所述,AbrNOC 與 Cloudzy 擁有相同的標誌,只是顏色不同,還具有相同的虛構名稱的員工。名為 Hannan Nozari 的人被列為 abrNOC 的執行長,他在推特個人資料中自稱是這兩家網頁服務公司的創始人,還表示自己是「網際網路上的新手」。TechCrunch 透過 LinkedIn 和電子郵件傳送的訊息並未得到 Nozari 的回覆,TechCrunch 也無法透過該公司網站上列出的電話號碼聯絡到任何人。路透社最早報導了這家網路安全公司的發現,他們表示已經與 Nozari 進行了對話,Nozari 表示他對客戶的行為沒負責任,並且他的公司「竭盡全力除掉他們」,並估計公司只有 2%的客戶是具有惡意行為的。正如 Halcyon 所指出的,Cloudzy 以一種「不僅直接吸引隱私愛好者,而且還吸引了威脅行為者」的方式進行市場推廣。這家主機供應商只需要一個有效的電子郵件位址和使用加密貨幣進行匿名付款。其中駭客最喜歡的隱私幣 Monero 也得到支援。研究人員還發現,雖然 Cloudzy 的網站聲稱不允許非法活動並將立即停止提供服務,但其網站的另一部分表示如果惡意行為者支付一筆象徵性的 250-100 美元罰款,他們可能繼續使用該服務。
社論
這項報告顯示了在全球網際網路時代,駭客組織和間諜組織如何利用雲主機和網路服務來進行網路攻擊和間諜活動。在這個數位時代,隨著科技的不斷創新和發展,威脅者也在積極尋找新的方法來逃避法律制裁和監控,這對全球安全構成了重大威脅。
首先這一報告再次凸顯出網路安全是全球面臨的共同挑戰,需要國際社會共同應對。駭客組織和間諜組織的活動不再受國界的約束,而國家支援的網路攻擊已經成為國家之間戰爭的一種新形式。各國應加固國際合作,在法律、技術和情報等方面共同對抗網路威脅。
其次這一報告提醒我們在使用網際網路服務時要格外謹慎。大多數人可能不會留意到他們所使用的雲主機或網路服務是否支援或涉及非法活動。因此作為個人使用者,我們應該選擇可靠且有良好聲譽的網際網路服務供應商,同時增強自身的網路安全防護意識,例如嚴格控制個人資料的分享和使用,避免隨意點選可疑的連結和附件。
建議
對於企業和組織而言,保護網路安全是一個重要的任務,無論是從技術還是管理層面。首先組織需要建立強大的防火牆和入侵檢測系統,以檢測和防止網路攻擊。其次針對員工進行定期的網路安全培訓,提高他們的警覺性,並教育他們如何識別和應對網路威脅。此外組織應該與網路安全公司合作,進行定期的安全審查和漏洞檢測,確保系統的可靠性和安全性。
最後由於國家支援的網路攻擊日益嚴重,各國政府應該制定更加嚴格的法律和監管機制,打擊這些非法活動。同時建立國際合作機制,分享情報,追蹤和懲罰網路威脅的幕後黑手,以保護全球網路安全。
