By Jeffrey - 资深IT经理人,IT运营和安全顾问,历任多家知名跨国企业包括麦肯锡大中华区、通用电气公司、壳牌石油、英美烟草等公司IT总经理
很少有人知道Void Balaur。但在雇佣黑客界,这是个恶名昭彰的名字。
Void Balaur于2019年被首次报道(eQualitie),然后在2020年被再次报道(国际特赦组织)。2021 年 11 月,趋势科技分析了更大的恶意活动行为,并根据东欧民间传说的怪物将其命名为“Void Balaur”。最近,谷歌的TAG强调了他们在今年早些时候的一些活动。
Void Balaur是一个高度活跃的黑客雇佣/网络雇佣兵组织,在全球范围内进行广泛的黑客活动,其目标类型涵盖各个行业。至少自2016年以来,他们已被观察到在线向公众销售其黑客服务,包括收集私人数据以及攻击特定的在线电子邮件和社交媒体服务,例如Gmail,Outlook,电报,Yandex,Facebook,Instagram和企业电子邮件。
黑客服务:
Void Balaur在线对其相关的黑客雇佣服务产品通过各种品牌名称进行了广告宣传,下面只是可能由同一实体运行的两个早期示例。
首先是黑客网,或“黑客网服务”,于2016年底开始运营,(Hacknet-Service.com 现已无法访问)。在这些早期的活动中,该小组宣传他们的“专业黑客订购”服务,并帮助满足其他人无法满足的需求。这个名字可以在许多暗网论坛上找到广告。
当时首次为黑客攻击提供的服务包括Yandex,Rambler,Mail.ru,Gmail,UKR.net,Yahoo,Outlook,企业电子邮件,Instagram,VK.com,OK.ru,Facebook和Skype。
一年后的2017年,该组织删除了攻击Outlook,Facebook和 UKR.net 的服务,但同时又添加了针对ICQ的攻击服务。2018年,该组织指出将考虑公司电子邮件和广告列表以外的其他请求。此外,该集团开始提供内容修改/上传到电子邮件和社交媒体网络的服务。
最终,Hacknet-service网站及其服务在政府禁令的干预下于2020年初结束。
第二个例子是“RocketHack”。作为同一实体运营的第二个角色,它于2018年初变得活跃,
大约在2019年,Hacknet和RocketHack开始通过各种黑客论坛提供服务,以提供有关个人的信息,包括银行和政府文件。其还开始提供以下各项服务:
- 在目标 PC 上远程访问或执行请求的操作
- 从“任何机构”的任何博客、论坛、YouTube 频道、新闻网站或数据库中移除内容。
- 在线清理信息,并操纵搜索引擎结果。
- 远程访问iPhone,移动跟踪,制造相关数据。
- 目标的短信历史记录。
- 通过移动网络进行实时位置跟踪。
针对的目标
目前,Void Balaur仍在继续其已知的针对全球各种个人和组织目标的攻击,包括大量参与地缘政治,法律,商业交易,技术,人权等的个人。这些人的位置包括:
- 俄罗斯
- 美国
- 英国
- 台湾
- 巴西
- 哈萨克斯坦
- 乌克兰
- 摩尔多瓦
- 格鲁吉亚
- 西班牙
- 中非共和国
- 苏丹
Void Balaur被观察到在2022年继续活动,利用通用的,高度可重复的网络钓鱼电子邮件来诱使目标提供帐户凭据。根据我们收集的数千个网络钓鱼域名,Google自有的服务是最常见的目标和攻击主题。
但是,在大多数情况下,网络钓鱼电子邮件与所选目标更相关。例如,这包括旨在模仿当地政府服务的电子邮件,或特定目标通用的在线网站,例如银行或社交媒体。Void Balaur在其存在的大部分时间里都在使用这种方法。曾经的例子包括2016年在莫斯科摩托车公路赛车Youtuber Alexey Naberezhny上进行网络钓鱼的尝试,以及2017年的俄罗斯记者和社交媒体名人伊利亚·瓦拉莫夫。这些人是Void Balaur的目标,网络钓鱼电子邮件通过利用俄罗斯公共交通罚款单进行诈骗伪装。
在2022年,我们观察到Void Balaur试图在启用多因素身份验证的情况下破坏Google帐户的情况。例如,某些网上诱骗网页会要求目标用户输入 Google 在设置两步验证设置过程中提供的备用验证码。
在2022年,Void Balaur仍然高度威胁到全球高度活跃和不断发展的个人和网络通信。从针对知名电子邮件服务到提供黑客攻击企业网络,该集团代表了黑客雇佣市场的冰山一角。在未来,可以预计到这种类型的网络黑客行为会越来越普遍。