现如今,个人数据与信息保护的热议度居高不下,在各种数据安全布局持续加强的同时,以窃取数据为目标的黑客活动却依然层出不穷。名为Void Balaur的黑客雇佣组织就是其中之一。
五年多来,Void Balaur一直在窃取电子邮件和高度敏感的信息。趋势科技的安全研究人员在研究后表示,其商业模式是窃取“企业和个人最私密的数据”,并将其出售给具有雄厚财力和间谍目的的客户。
这个活跃的威胁组织正在俄罗斯地下论坛宣传他们的服务:号称拥有3500多个目标,几乎遍布所有大陆。
历史回溯
Void Balaur 的黑客活动可以追溯到 2015 年,但最早的提及者是在 2017 年 9 月,其形式是投诉该组织在其服务上发布垃圾邮件。
Void Balaur的付费广告从 2018 年开始出现在俄语论坛 Darkmoney (carding)、Probiv、Tenec (stolen credentials)和 Dublikat上。这些服务包括访问免费网络邮件(Gmail、Protonmail、Mail.ru、Yandex、VK)、社交媒体(电报)和公司电子邮件帐户。黑客会向客户提供被破坏邮箱的副本。
(根据2021年9月14日的汇率换算成美元)
多样化的服务
2019 年,随着俄罗斯的个人敏感私人数据开始以 21 美元至 124 美元的起价出售,该组织的服务变得多样化。
这些信息包括:
- 护照和航班信息
- 交通摄像头快照
- 交警数据(罚款、汽车登记)
- 武器登记
- 犯罪记录
- 信用记录
- 银行账户余额和对账单
- 税务服务记录
不仅如此,新服务还提供来自手机服务的数据,如电话号码、电话和短信记录(有或没有手机塔位置)、地图通话、电话或SIM卡位置、短信打印件。
当前,对于Void Balaur 获取这些信息的途径仍然没有定论。一种解释认为,向电信公司内部人士行贿是一种可能性。另一种解释则基于趋势科技获得的作证,即,Void Balaur 攻击了俄罗斯各电信公司的关键工程师和管理人员。
广泛的目标
根据加拿大非营利组织eQualitie和Amnesty International的报告,研究人员可以将Void Balaur活动与2016年开始的针对乌兹别克斯坦人权活动家和记者的攻击联系起来。
该组织在2020年9月的最新活动针对白俄罗斯的政治人物、总统候选人和反对党成员。
2021年9月,黑客们的关注点集中在“一个情报机构前负责人、五名现任政府部长(包括国防部长)和两名东欧国家议会议员的私人电子邮件地址“。
除此之外,其他国家(亚美尼亚、乌克兰、哈萨克斯坦、俄罗斯、法国、意大利、挪威、斯洛伐克)的政治人物和外交官、媒体组织、数十名记者也是Void Balaur网络钓鱼活动的目标。
同时,在2020年9月至2021年8月期间的另一场活动中,Void Balaur则将目标对准了一家俄罗斯大公司的董事会成员、董事和高管(及其家庭成员)。
另一组目标包括处理大量个人敏感数据的组织。这些数据可用于促进出于经济动机的攻击。
包括:
- 移动和核心电信公司
- 蜂窝设备供应商
- 无线电和卫星通信公司
- ATM供应商
- 销售点(POS)系统供应商
- 金融科技公司和银行
- 商用航空公司
- 俄罗斯至少三个地区的医疗保险机构
- 俄罗斯的体外受精(IVF)诊所
- 提供基因检测服务的生物技术公司
此外,Void Balaur 还一直在寻求访问各种交换服务(Binance、EXMO、BitPay、YoBit)的加密货币钱包,利用网络钓鱼网站来引诱受害者。
与Fancy Bear活动的重叠
在知情人提供了多封网络钓鱼电子邮件后,Void Balaur出现在了趋势科技的雷达上。
研究人员最初认为这些邮件出自Pawn Storm的手笔。Pawn Storm是一名俄罗斯威胁行为者(threat actor),也被称为Fancy Bear、Sednit、Pawn Storm和Sronium。
尽管他们最终将这些电子邮件归因于Void Balaur,但研究人员发现这两个群体之间存在重叠,虽然雇佣黑客显示出更多不同的客户和目标。
研究人员如今在一份报告中写道:“总的来说,我们观察到了12个电子邮件地址,这些地址分别在2014年至2015年期间被Pawn Storm、2020年至2021年期间被Void Balaur锁定。”
对此,趋势科技还补充道:“除了宗教领袖,我们还看到了外交官、政治家和记者遭到袭击。”
从趋势科技收集的证据可以看出,Void Balaur专注于将私人数据出售给任何愿意支付适当费用的人。这是一个网络雇佣集团,它不在乎客户如何处理他们购买的数据。