近些年来,随着企业网络防御能力提升,网络渗透难度也随之提升,为了弥补这段攻击能力的缺失,社会工程学的重要地位便体现了出来。从近些年一些翻墙撬锁骗保安插U盘,伪装员工身份,电话诈骗类网络攻击的真实攻击案例逐渐出现在新闻头条即可看出。
而其中,有一种战术名为策反术,字面意思,通过重金或资源直接让目标成员帮助己方从内部实施攻击,但近期发生的一起却不太一样,主要特点在于海外人员亲自现场指导,如果没有被抓,恐怕仍是可载入教科书级别的社会工程学内鬼攻击。
现年27岁的俄罗斯人Egor Igorevich Kriuchkov(克里奥科夫)被美国执法机构认为是一个大型网络犯罪团伙的成员,该团伙一般会采取手段入侵目标公司网络,在窃取完大量敏感文件后再投放勒索软件,就像我此前说的Maze勒索团伙一样。受害公司会被要求支付大笔赎金。
与往常一样,他们开始寻找攻击目标,而这次他们盯上了特斯拉。
2020年7月16日 ,克里奥科夫通过WhatsApp应用发消息联系特斯拉的员工,并告知他即将去美国的计划。然而这名员工A表示,他已经在2016年就和克里奥科夫联系上了,因此黑鸟怀疑这名员工可能也是网络安全相关从事者。
当然,还有个主要原因是,这名员工会说俄语。
到8月1日,克里奥科夫到达美国并与A进行电话联系,2号和3号克里奥科夫和A的朋友一起出去玩,并且克里奥科夫全程付费,同时也一直小心避免被相机拍到他。
而就在旅程的最后一天,在深夜的酒吧,克里奥科夫告诉A,他在做一个特殊项目,而这个项目就是向目标公司员工支付费用,从而在公司网络投放恶意软件。
然后,克里奥科夫介绍了整个攻击方案,首先,恶意软件会通过U盘拷贝给A,或者也可以通过电子邮件发送给A提供,也可以通过电子邮件发送给他。然后,安装该恶意软件到内部网络只需要支付50万美元,在这个过程中,他的团伙成员会发动DDoS攻击来掩盖数据窃取的过程。
当得知这一消息后,A非常心动,然后把这个消息报告给FBI。
到8月7日,克里奥科夫与A再次会面,由于已经通告FBI,A也许是为了拖延时间,他要求赏金提高到一百万美元,并且需要预付5万美元的定金。
17日,他俩再次会面,而这一次,克里奥科夫表示他们是通过exploit论坛作为第三方托管来处理付款,黑鸟推测这意味着他们只是实施攻击者,而勒索软件运营方另有其人,只是勒索软件即服务(RaaS)的下线。他还透露已经至少招募了另外两名员工,其中一个在之前的公司成功留下了恶意软件,然后那次该公司支付了400万美元的赎金。
可以想象,看来现在很多公司也是内鬼丛生,里面投放勒索软件,外面负责Money laundering。
这两人还与犯罪团伙成员进行了WhatsApp通话,并讨论了后续付款细节。克里奥科夫还声称,该组织的成员是俄罗斯一家政府银行的雇员,他们为了这次行动花费了25万美元购买恶意软件,该恶意软件是专门为特斯拉公司编写。克里奥科夫拿到A的电话号码,以便将来与他联系。
18日的会面上,克里奥科夫告诉A,他们拒绝向他支付预付款,因为他们从未这样做过。但是,他们同意支付一百万美元。克里奥科夫表示他的赏金只有25万美元了,并提出需要A向团伙提供有关特斯拉网络的详细信息,以便更好的编写恶意软件。
经过A顽强的周旋后,克里奥科夫于19日会见了A,并表示该团伙最终同意预付款1比特币。
21日,克里奥科夫与A会面,通知他攻击被推迟,原因是另一个正在进行的黑客攻击项目(简称内鬼攻击项目),该团伙预计将获得巨额支出并需要集中精力。克里奥科夫还告诉A他要离开美国,然后向A留下指示,详细说明了将来团伙成员将如何联系他。
然而实际上,美国联邦调查局特工在那之后一直监视着克里奥科夫,当这次会面得知克里奥科夫要溜后,联邦调查局特工收集了起诉所需的所有证据,通过电话联系克里奥科夫,后者随后试图匆忙离开美国,然并卵,其在第二天在洛杉矶被捕。
克里奥夫科夫周一被指控,如果被判有罪,将因在该计划中的主要角色而面临最高五年的监禁。
2020年8月28日,马斯克证实特斯拉美国内华达工厂确实存在上述攻击过程。
因此,如果以后看到一些勒索软件团伙攻击了一些非常大型的企业的情况,可以考虑一下有没有存在公司有内鬼的情况,毕竟干一单,顶的上好几年工资。
诉讼书下载地址:
https://www.documentcloud.org/documents/7044253-Egor-Igorevich-Kriuchkov-criminal-complaint.html
声明:本文来自黑鸟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。