几十年前，当黑客入侵刚刚出现的时候，其大多是网络“发烧友”的“杰作”，他们痴迷于学习有关计算机和网络的一切知识。现如今，民族国家支持的威胁行为者正在开发越来越复杂的网络间谍工具，而网络犯罪分子则针对包含《财富》500强企业、医院、政府机构以及金融机构等在内的一切事物实施攻击，赚得盆满钵满。

网络攻击从未像现在这般复杂、有利可图甚至有些令人难以捉摸。有时，想要在不同类型的活动之间划清界限是一项艰巨的任务。民族国家黑客组织间有时候会为了共同的目标而相互合作，有时候他们甚至会与网络犯罪团伙协同合作。此外，一旦有恶意工具面世，存在竞争关系的威胁行为者通常会对其进行回收改造和再利用。

盾盾下面就为大家介绍一些最具创造力和威胁性的网络间谍和犯罪集团（排名不分先后）：

1.Lazarus -加密世界最成功的窃贼

Lazarus（拉撒路），一个与朝鲜有关的组织，最轰动的事迹可能要数有史以来最大的网络大劫案：2016年2月，孟加拉银行遭到袭击，导致超过1亿美元失窃。当然，该组织的所作所为远不止于此。

说起Lazarus的攻击活动，最早可以追溯到2007年，不过由于其身份的隐秘，再加上活动范围并不广泛，所以，一开始，Lazarus并没有引起人们的注意。

直到2014年，索尼影业推出了一部名为《刺杀金正恩》（《The Interview》）的喜剧电影，正是由于这部影片，让隐蔽的Lazarus开始浮出水面。当时，在影片上映之前，就已经引起了朝鲜方的强烈反对，与此同时，一个自称为“和平守卫队”的黑客团队在窃取了11TB的敏感数据之后向索尼影业发布了一封“警告信”。

信中写道，

“我们已向索尼管理层提出了明确要求，但他们拒绝接受。如果想摆脱我们，就乖乖照我们说的做。立即停止播放恐怖主义影片，它将破坏地区和平，引发战争！”

鉴于此，不少安全机构都认为其隶属于朝鲜。

近年来，Lazaru开始将研究重心放在了勒索软件和加密货币上，甚至还以安全研究人员为目标，以获取有关正在进行的漏洞研究的相关信息。卡巴斯基安全研究人员Dmitry Galov表示，该小组拥有“无限的资源和非常出色的社会工程技能”。

这些社会工程学技能在新冠疫情大流行中发挥了重要作用，当时，包括疫苗制造商在内的制药公司都成了Lazaru最紧迫的目标。根据微软的说法，黑客发送了包括“虚假的工作描述”在内的鱼叉式网络钓鱼电子邮件，诱使他们的目标点击恶意链接。

Malwarebytes研究室主管Adam Kujawa表示，

“该组织与其他组织有所不同，因为尽管它是民族国家资助的组织，但他们的目标并不是政府机构，而是可能掌握朝鲜间谍活动信息或访问权限的企业，有时甚至是个人。”

Lazarus会使用各种自定义恶意软件家族，包括后门、隧道、数据挖掘器和破坏性恶意软件，这些软件有时是内部开发的，在持续不断的攻击活动中创下了赫赫战功。

根据FireEye的说法，APT38的独特之处在于，他们不惧怕在行动过程中大肆破坏证据或受害者网络。该组织是谨慎的、心思缜密的，并且对受害者环境的访问权限表现出了极度的渴望，他们渴望了解受害者的网络布局，所需的权限以及实现其目标所需的系统技术。

2.UNC2452

——全球性供应链危机魁首

2020年，成千上万的组织下载了SolarWinds Orion软件的恶意软件更新，为攻击者提供了进入其系统的入口。五角大楼、英国政府、欧洲议会以及世界各地的一些政府机构和公司都成为这种供应链攻击的受害者。

据悉，该网络间谍行为至少潜伏了9个月之久，直到2020年12月8日，安全公司FireEye宣称自己成为了民族国家黑客组织的受害者，该组织窃取了其多个红队工具。事实证明，这种黑客攻击比最初想像得还要广泛。而针对SolarWinds Orion软件的供应链攻击只是攻击者使用的一个入侵渠道。研究人员还发现了另一起供应链攻击，这次是针对Microsoft云服务的。他们还注意到，Microsoft和VMware产品中同样存在一些缺陷。

FireEye高级副总裁兼首席技术官Charles Carmakal表示，

“UNC2452是我们跟踪的最先进、纪律严明且难以捉摸的威胁参与者之一。他们的技巧非同寻常。他们同时掌握进攻和防御的技能，并利用这些知识来完善自己的入侵技术，以藏匿踪迹。UNC2452表现出了一种很少见的操作安全性，这种能力帮助他们潜伏政府机构和企业内部很久也不会被发现。”

美国国家安全局（NSA）、联邦调查局（FBI）和其他一些美国机构认为，这项行动是由俄罗斯发起的，美国对此实施了制裁。他们还认为，黑客入侵很可能是俄罗斯联邦对外情报局（SVR）实施的。其它线索则指向Cozy Bear / APT29组织。

然而，事情并没有这么简单。卡巴斯基研究人员注意到，有几段代码片段将此攻击与讲俄语的团伙Turla（Snake、Uroburos）联系在一起，该组织曾针对欧洲和美国政府及外交官发起过攻击。

3.Equation Group

—网络间谍的“上帝”

作为另一个具有出色技能和资源的威胁组织，Equation Group于21世纪初开始运营，甚至可能更早。直到2015年，卡巴斯基安全研究人员发布了一份报告，详细介绍了该组织的一些最新工具后，它才登上新闻头条，走进大众视野。该报告的标题之一是：“与网络间谍的‘上帝’会面”。

Equation Group之所以得名，是因为它使用了强大的加密和先进的混淆方法。它的工具非常先进，并与NSA的神秘组织TAO（特定入侵行动）存在关联。

该组织的攻击目标包括政府、军事和外交组织；金融机构；以及在电信、航空航天、能源、石油和天然气、媒体和运输领域运营的公司。受害者分布在伊朗、俄罗斯、巴基斯坦、阿富汗、印度、叙利亚和马里等地。

Equation Group最强大的工具之一是可以重新编程包括Seagate、Western Digital、Toshiba和IBM在内的各种制造商的硬盘固件的模块，以创建可以在擦除和重新格式化后保存下来的秘密存储库。该小组还创建了一个基于USB的命令和控制机制，该机制允许映射空白网络。之后，它还将类似功能集成到了Stuxnet活动中。

4.Carbanak

—银行大盗

2013年，几家金融机构都遵循相同的模式遭到黑客入侵。攻击者发送了鱼叉式网络钓鱼电子邮件，试图侵入组织。然后，它使用各种工具来连接可用于提取数据或金钱的PC或服务器。像APT一样，负责这些攻击的网络犯罪团伙Carbanak精心部署这一切，常常在受害者的系统中潜伏数月不被发现。

Carbanak组织的主体可能位于乌克兰，其目标对象主要是位于俄罗斯、美国、德国和中国的金融公司。在其攻击案例中，一名受害者由于ATM欺诈损失了730万美元，而另一名受害者在其网上银行平台成为攻击目标后损失了1000万美元。有时候，该组织还会命令ATM吐钞，而无需现场人员干预。

早在2014年，几家安全公司就对Carbanak进行了调查，结果所有结论都不同。卡巴斯基高级安全研究员Ariel Jungheit称，

“Carbanak似乎是两个使用相同恶意软件的不同组织。其中，一个组织主要关注金融机构，而另一组则更多地关注零售组织。尽管其他人对此存有异议，但主要结论是，该组织最初是一个小组，后来分化成了多个小组。欧洲刑警组织于2018年3月宣布，经过复杂的调查，已逮捕了Carbanak小组的策划者。然而今天，许多参与该团伙的网络犯罪分子仍然活跃，他们也许是隶属不同群体的一部分。”

5.Sandworm

—格鲁乌的“黑暗”

俄罗斯网络间谍组织Sandworm与过去十年中一些最具破坏性的事件有关，包括2015年和2016年乌克兰的电力中断；2017年的NotPetya供应链攻击；在俄罗斯运动员因使用兴奋剂被禁赛后，针对2018年平昌冬季奥运会的攻击；以及针对多个国家、地区选举相关的攻击活动，例如2016年的美国大选，2017年的法国选举以及2019年的格鲁吉亚选举。

FireEye副总裁John Hultquist称，2018年美国司法部公布的针对俄罗斯情报机构GRU（总参谋部军事情报总局，国内一般称格鲁乌或格勒乌）所下属12名情报人员的起诉书就像是过去我们目睹的许多最重要的网络攻击事件的清单。我们有充分的理由认为，俄罗斯军事情报部门GRU下属74455部队资助了Sandworm的行动。

近年来，该组织的策略、技术和程序（TTP）都已经发生了变化以集成勒索软件，对此，研究人员并未感到惊讶。根据FireEye分析主管Ben Read所言，与目标广泛的网络犯罪活动相关的基于加密的勒索软件通常很容易被网络间谍活动者重新利用，以进行破坏性攻击。