2021 年 3 月底,供职于加拿大网络安全公司 Emsisoft 的研究员凯特(Kat Garcia)收到了一封陌生的邮件。邮件发送者自称是来自网络黑客组织 Cl0p 的成员,他声称该组织已经掌握了凯特的个人电话、邮箱、家庭住址、信用卡信息和社会安全号码。
这是一封威胁信。通过入侵凯特曾光顾过的一家母婴服装店的数据服务器,黑客获得了她记录在服务器上的私人信息。在信中,对方要求通过凯特与 Emsisoft 公司取得联系,并通知她,如果公司没有与 Cl0p 联系,那么她的个人信息将被公布在暗网上。此外,黑客还用挑衅的口吻写道:“你也可以致电这家商店,让商家保护你的个人隐私。”
凯特将受威胁一事告诉了 Vice,后者将其梳理成了一篇报道。4 月 14 日,这篇报道刊载出来,将目前互联网黑客活动最频繁的黑客组织 Cl0p 的一部分运作模式公之于众。
据 ComputerWeekly 此前的报道显示,凯特并不是唯一的受害人。2021 年 2 月 11 日,新加坡电信公司的一台旧服务器遭遇黑客入侵;2 月 24 日,加拿大飞机制造商庞巴迪公司服务器被黑,部分内部数据被公开在暗网;3 月 4 日,Cl0p 入侵网络安全服务供应商 Qualys 的服务器,并在暗网公布了文件截图,泄露数据包括发票、采购订单、税务文件和数据报告;3 月 23 日,能源巨头壳牌公司发布声明,称其数据服务器在 2020 年 12 月就遭遇了黑客攻击,被盗数据包括个人数据以及设计公司和利益相关者的数据。
一系列入侵行动的始作俑者都是 Cl0p。他们以凯特这样的个人为切入点,通过威胁公司职员获得所需的数据,再通过这些数据入侵目标公司的服务器。这一过程中,该组织频繁利用了一个文件共享服务漏洞。这一漏洞出现在由 Appliance 公司提供技术支持的文件系统中,全球约有 300 家企业在使用这项服务。
这一入侵手法被称为“供应链攻击”(supply chain attack),黑客利用互联网服务供应商与用户间的信任,针对供应商的软件漏洞对该供应商的用户展开大规模入侵。之后以数据为要挟要求公司支付赎金,如果受害者及时付款,数据会被删除,黑客甚至会录制删除视频以证明危机已经解除,如果不按时付款,Cl0p 就会开始逐步放出该公司的数据。
目前,Cl0p 的受害者名单上已经扩展到了多达 50 家企业和机构,从壳牌这样的商业公司到斯坦福大学这样的学校,都已经被他们染指过。而一位就职于一家韩国网络安全公司的研究员近期发现,某些受害公司的数据已经从暗网上被移除,该研究人员怀疑已经有公司向 Cl0p 支付了赎金。
但另一些研究者认为,目前我们所知道的受害者和案件或许只是冰山一角。一位长期追踪网络黑客行动的研究者告诉 Vice,Cl0p 看似于 2020 年年底活跃至今,但事实上该组织存在的时间远比想象中的要长久。他们可能已经多次易名,真要追踪起来,2017-2018 年间在网络展开针对金融、零售和酒店业公司的有组织黑客行动的网络组织 FIN11,以及 2019 年臭名昭著的比特币勒索事件的始作俑者 TA505 都是该组织的前身。
网络安全公司 FireEye 此前发布的调研报告指出,比起其他零散的黑客组织,Cl0p 展现出了更组织化的行动模式。他们的入侵方式并不精巧,而是以量取胜,每周该组织都会进行约五次的大规模入侵,甚至可能将部分黑客工作通过外包给其他“黑客散户”以实现他们的大面积入侵。
一位追踪 Cl0p 的安全研究员告诉 Vice,在调研过程中,他发现该组织就像机器一样运作着,他如此描述 Cl0p:“冷酷无情、复杂而创新、组织严密、结构合理”,并且“非常活跃,几乎不休不眠”。一位黑客在与受害者交涉的过程中声称:“在我们的团队中没有‘我’,只有‘我们’,每个人都是可以被替换的。”
一些受害公司向 Vice 透露,Cl0p 在与他们交涉的过程中“彬彬有礼”,并且愿意让步。此前曾有公司与之讨价还价,最终将赎金从 2000 万美金降低到了 600 万美金。如果快速支付赎金,Cl0p 还会提供一些“优惠”,在 3-4 天内快速支付赎金的公司,Cl0p 会给他们打 30% 的折扣。
这很可能意味着 Cl0p 的管理效率颇高,或者团队达成了一致的共识。因为大部分黑客组织常常会在取得成功后暴露出贪婪的一面,但 Cl0p 显然更倾向于缓慢地、有组织地扩展和增长。
目前针对该组织的追踪调查还在继续。FireEye 金融犯罪分析团队经理古迪(Kimberly Goody)告诉 Vice,分析工作有了一点点进展。她的团队在解析 Cl0p 的勒索软件时发现了该软件中有俄语的元数据,并且该组织的行为习惯也符合俄罗斯所在时区的作息。但这并不意味着该组织来自俄罗斯,古迪表示,如果黑客们足够聪明,这些痕迹都是可以伪造的,以便不引起某些国家和地区政府的注意。
古迪认为,要找到潜伏于幕后的黑客,只能等待黑客犯错。只要黑客活动还在继续,他们“犯错只是时间问题”。