研究显示，白俄罗斯、印度和哥伦比亚等国家对一些重大网络攻击有牵连。在过去的一年里，供应链攻击和勒索软件攻击占据了新闻头条，美国及其西方盟友因SolarWinds间谍软件渗透、colonial油气管道遭勒索、微软Exchange黑客攻击等重大网络安全事件的影响，但凡网络攻击就会将矛头指向俄罗斯、伊朗、朝鲜等国，并促使各民族国家对网络安全做出回应。然而，在数字领域，有一些危险的对手往往被忽略了。除了偶尔占据安全新闻头条的伊朗、以色列和印度外，还有像叙利亚、巴基斯坦、白俄罗斯、越南、哥伦比亚等规模较小的威胁组织，在破坏性黑客或间谍活动方面可以独来独去。此外，所谓的“黑客活动主义者”团体和来历不明的威胁行动者往往出于神秘的目的从事恶意活动。

　　印度：黑客冒充合法公司

　　路透社记者克里斯·宾（Chris Bing）和拉斐尔·萨特（Raphael Satter）在最近的网络战争大会（Cyberwarcon）上回顾了他们正在对一个松散的印度黑客组织进行的调查，该组织模糊了声誉管理公司和直接雇佣黑客服务之间的界限。这些黑客为Appin Security Labs和BellTrox等机构工作，目标是律师、活动人士、高管、投资者、制药公司、能源公司、资产管理公司、离岸银行实体和高价值个体。

　　总部位于德里的BellTrox的目标之一是伊朗裔美国航空大亨法哈德·阿齐玛（Farhad Azima），该公司窃取了他的电子邮件，并在诉讼中用来指控他。“当你们发现黑客和泄密行动时，我不希望你们认为是俄罗斯、朝鲜甚至是印度干的，”Chris Bing说。“我们想让你认为，可能是那个上了新闻的亿万富翁，可能是那个K街游说公司，甚至可能是那个心怀不满的前配偶。”

　　《环球时报》近日引用多家中国网络安全企业报告，揭示了一张精密、复杂的真实网络：来自南亚大陆——以印度为主要代表的顶尖黑客组织，它们在国家和情报机构的强大支持下，在过去几年里不断攻击中国、尼泊尔和巴基斯坦的国防、军事单位以及国有企业。近些年，印度军政高层和媒体不断炒作“中国网攻威胁”，每次都遭到中方驳斥。事实证明，中国才是黑客攻击的主要受害国之一。安天科技集团、360政企安全集团和奇安信三大中国网络安全企业相关人士公开了大量翔实的一手资料，从中可以发现印度对中国重要部门频密发动网络攻击的重要信息。

　　白俄罗斯：幕后黑手不是俄罗斯

　　最近波兰和白俄罗斯之间的难民问题变得愈发严峻，使白俄罗斯成为全球关注热点。而网络战争大会最大的新闻则是，Mandiant的威胁情报集团（Threat Intelligence Group）将国家支持的间谍组织UNC1151与白俄罗斯政府联系在一起，此前该组织被研究人员与俄罗斯联系在一起。曼迪昂特还得出结论，UNC1151为名为“枪手”（Ghostwriter）的信息行动提供了技术支持，该行动培养了符合白俄罗斯政府利益的叙事方式，包括反北约信息。

　　Mandiant的网络间谍分析高级经理本·里德（Ben Read）和技术威胁情报分析师加比·朗科内（Gabby Roncone）说，他们不能完全排除俄罗斯参与的可能性。里德说：“枪手与白俄罗斯有一定的联系。”“我看到了与UNC1151的关系。我们对你们从这个团队获得的技术支持非常有信心。”

　　“我们没有看到UNC1151或Ghostwriter活动与其他被公开认为是俄罗斯所为的网络间谍信息行动之间有任何重叠。它有它自己的东西，我们认为它应该被这样评价。有很多充分的理由怀疑俄罗斯参与其中。我们只是没有确凿的证据。”

　　越南：长达十年的持续攻击

　　海莲花组织是奇安信于2015年披露并命名的APT组织。该组织自 2012年4月起，针对中国政府、 科研院所、海事机构、海域建设、航运企业等相关重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。OceanLotus的攻击不局限于国家级网络间谍活动，也延伸至商业情报窃取，比如汽车制造行业。2019年，丰田、现代、宝马等跨国汽车企业被报道遭到OceanLotus攻击，导致数据泄露。

　　APT-Q-31 属于攻击境内目标的境外组织，奇安信威胁情报中心对 APT-Q-31 组织的命名为魔株系——海莲花，“莲花”是表现了该组织的地缘及文化特征，“海”则主要表现了该组织以海洋领域为主要攻击目标的活动特征。

　　以色列：间谍软件公司candru老练的水坑攻击

　　Cyberwarcon的另一个重大发现是，ESET的研究人员发现，中东一些知名网站遭受的水坑攻击与以色列间谍软件公司Candiru有关。受到攻击的网站包括伊朗驻阿布扎比大使馆的网站、总部位于伦敦的数字新闻网站“中东之眼”（Middle East Eye），以及其他批评沙特阿拉伯的网站。美国商务部最近对Candiru进行了制裁，将其列入了禁止美国机构与无证公司开展业务的实体名单。

　　ESET的恶意软件研究员Matthieu Faou在他的Cyberwarcon演讲中表示，在公民实验室、谷歌和微软发布详细描述Candiru活动的博客几周后，Mandiant在2021年7月底就没有再观测到这种活动了。

　　以色列盛产技术伪造的网络安全公司，同时也盛产优秀的间谍软件。今年7月份美国《华盛顿邮报》、英国《卫报》和法国《世界报》等17家媒体共同披露，一款名叫“飞马”（Pegasus）的间谍软件在全球至少50多个国家，被用来监视人权活动人士、记者和律师。涉及人数可能高达5万人。“飞马”由总部位于以色列特拉维夫的网络科技公司NSO集团开发，能够侵入苹果和安卓操作系统，提取短信、照片和电子邮件，对通话进行录音，并在使用者不知情的情况下，远程启动手机的话筒和摄像头。

　　另外，以色列与伊朗旷日持久的黑客对攻战也常常是安全新闻的头条。

　　巴基斯坦和叙利亚：Facebook实施黑客组织瓦解行动

　　Facebook负责全球威胁破坏的主管戴维·阿格拉诺维奇（David Agranovich）和领导Facebook网络间谍团队的迈克·德维利扬斯基（Mike Dvilyanski）分享了过去几个月该公司在巴基斯坦和叙利亚针对四个不同黑客组织采取的行动细节。Facebook禁用了这些群体的账户，禁止他们的域名在其平台上发布，与业内同行、安全研究人员和执法部门分享信息，并提醒了它认为是黑客攻击目标的人。

　　这个来自巴基斯坦的组织名为SideCopy，该组织一直以前阿富汗政府成员和其他驻阿富汗人员为目标。在叙利亚，Facebook删除了三个与叙利亚政府有关的群组：叙利亚电子军，APT-C-37，以及一个以少数群体、活动人士、反对派、库尔德记者、活动人士、人民保护部队（YPG）成员和叙利亚民防或白盔组织（一个基于志愿的人道主义组织）为目标的组织。

　　哥伦比亚：威胁组织“弯刀”（Machete）的重点是拉丁美洲

　　Blake Djavaherian是CrowdStrike的全球威胁分析小组（GTAC）的情报分析师，他详细介绍了他的公司对“弯刀”的调查。“弯刀”是一个专注于拉丁美洲的威胁行动者，至少从2010年就开始活跃。“弯刀”以一种高度针对性的方式运作，几乎总是关注拉丁美洲的问题或组织。

　　该组织通过对政府通信进行很好的恶搞来传播恶意软件。“弯刀”特别关注厄瓜多尔、委内瑞拉、尼加拉瓜、古巴和哥伦比亚的一些内部组织。虽然CrowdStrike并未将威胁行为者归咎于某个特定国家，但Djavaherian表示，“目标范围与哥伦比亚政府可能的情报收集重点非常相关，包括可能为哥伦比亚政府从事此类活动的承包商和分包商。”

　　伊朗：四个伊朗组织正在转向犯罪角色

　　Alex Orleans是CrowdStrike Intelligence公司GTAC的入侵任务负责人，Katie Blankenship在会议上透露了他们调查的四个伊朗组织的细节：Tarnished Gauntlet, Pioneer Kitten, Spectral Kitten和Nemesis Kitten。Blankenship说，这些组织正从黑客角色转变为犯罪角色，因此“他们可以有机地利用勒索软件的破坏能力，同时允许参与者混入大量新的犯罪活动。”

　　微软观察到六个伊朗威胁组织部署勒索软件。微软威胁情报中心（MSTIC）的James Elliott、Simeon Kakpovi和Ned Moran分析了伊朗恶意网络运营商使用的工具、技术和程序的逐渐演变。自2020年9月以来，MSTIC观察到6个伊朗威胁组织平均每6至8周部署一波又一波的勒索软件来实现其战略目标。其中一个组织，PHOSPHORUS，针对Fortinet FortiOS SSL VPN和全球未打补丁的内部交换服务器，目的是在脆弱的网络上部署勒索软件。

　　另外，释放信号可能是黑客活动分子的目标。SentinelOne的主要威胁研究员胡安·安德烈斯·格雷罗-萨德（Juan Andres Guerrero-Saade）回顾了一系列涉及所谓黑客活动组织或参与者的网络安全事件。比如知名的Phineas Fisher，它声称在2015年入侵了监控公司Hacking Team，以及因德拉（Indra），后者声称对伊朗的攻击负责，包括对该国火车站的一次黑客攻击。因德拉还策划了最近对伊朗加油站的袭击。格雷罗-萨德说，在大多数情况下，黑客攻击不一定是最终目的。相反，黑客们正在释放一种信号。扰乱正常的工作生产秩序，让人们感到心烦意乱！