网络犯罪与国家级间谍活动的融合

近期研究表明，代表国家进行间谍活动的黑客组织与通过勒索软件等网络犯罪谋取经济利益的团体之间的合作日益增多。尽管这两类组织之间一直存在某种程度的重叠，但近年来这种合作变得更加明显。Google旗下的Mandiant安全公司指出，这种趋势的出现部分原因是预算紧缩，同时也是为了通过将国家支持的间谍活动与经济动机的网络攻击混为一谈来隐藏其真实目的。

合作机会增多

Mandiant研究人员解释称，现代网络犯罪分子通常专注于某一特定领域的网络犯罪，并与其他具有不同专长的实体合作开展行动。这种网络犯罪能力的专业化为国家支持的团体提供了机会，他们可以简单地作为客户出现，向通常向其他犯罪分子出售服务的团体购买恶意软件、凭证或其他关键资源。对于国家支持的团体来说，从非法论坛购买这些资源可能比内部开发更便宜，同时也能够更好地融入经济动机的操作中，减少被注意到的风险。

恶意软件共享案例

报告指出，网络犯罪团体与俄罗斯、中国和伊朗政府之间的恶意软件共享有所增加。这种共享是双向的。例如：

• 俄罗斯国家黑客组织APT44使用了多种犯罪软件，包括DarkCrystalRat、WarZone和RadThief，并使用了著名的防弹主机（bulletproof host）的基础设施。
• 伊朗国家行为者UNC5203也使用了相同的RadThief恶意软件。
• 中国国家间谍活动操作者UNC2286多次使用了SteamTrain勒索软件，并使用了另一个名为DarkSide的团体的勒索软件注释。

逆向合作的案例

Symantec安全公司的研究人员报告了一种逆向合作的案例：RA World勒索软件团体使用了一个“独特的工具集”，该工具集此前仅在中国相关的威胁团体进行的间谍活动中使用过。该工具集是PlugX自定义后门的一个变种，首次在7月被发现。8月，攻击者利用该变种入侵了东南欧国家的政府，随后又入侵了东南亚国家的政府部门。9月，攻击者入侵了该地区的电信运营商，并在次年1月针对另一个东南亚国家的政府部门进行了攻击。

合作动机的推测

Symantec研究人员提出了几种关于这种合作动机的理论：

1. 经济利益：攻击者可能试图利用其雇主的工具集赚取额外收入。
2. 掩盖入侵证据：勒索软件可能被用来掩盖入侵的证据，或作为诱饵转移注意力。然而，勒索软件的部署在掩盖入侵工具方面并不十分有效，且目标组织在战略上并不重要，这显得不太寻常。
3. 双重动机：可能存在既追求经济利益又进行间谍活动的双重动机团体。

总结

国家支持的团体与网络犯罪团体之间的合作日益增多，这种趋势不仅为双方提供了新的机会，也为网络安全带来了更大的挑战。研究人员指出，这种合作可能是为了降低成本、隐藏真实目的，甚至是为了赚取额外收入。随着这种合作的深入，网络安全威胁将变得更加复杂和难以应对。