2023年全球十大活跃黑客组织

一、IT Army

IT Army是在乌克兰政府支持下组建的半官方黑客组织，从2022年2月开始活动。该组织由数以万计的志愿者组成，组织架构较为松散，主要目标是俄罗斯及亲俄国家（如白俄罗斯）的政府和军事机构。该组织分为进攻性部队和防御性部队两部分，其中前者负责对俄军发起网络间谍行动和网络攻击行动，后者负责保卫发电厂和供水系统等基础设施。该组织通常会通过X（旧称“推特”）和“电报”等社交平台发布待攻击的俄方目标清单以及攻击工具，然后由加入该组织的志愿者利用这些攻击和自身的黑客技巧攻击俄方网站和系统。此外该组织也会通过“电报”等平台发布宣传信息及其窃取的俄方信息。乌克兰政府承认有文职官员加入了该组织，此外该组织也表示与乌克兰特种作战部队（SSO）有所合作。

该组织在2023年中发动的网络攻击主要包括：2月，该组织对俄罗斯国家电视广播公司（VG TRK）网站和国营Rossiya-24频道的直播平台 Smotrim.ru等网站发动DDoS攻击，导致俄总统普京年度讲话的网络直播中断；5月，该组织入侵了Skolkovo基金会的系统（该基金会负责监管莫斯科郊区号称“俄罗斯硅谷”的高科技商业区），导致该基金会的网站服务瘫痪一天；7月，该组织攻击了俄罗斯国有铁路公司RZD，导致该公司的网站和移动应用程序瘫痪数小时；10月，该组织入侵了俄罗斯Leonardo航空公司预订系统，严重干扰了俄罗斯最大机场的运营，之后该组织又对俄控区的互联网提供商Miranda-media、Krimtelekom和MirTelekom发动大规模DDoS攻击，导致克里米亚等地的互联网一度瘫痪。

二、Fancy Bear

Fancy Bear亦称STRONTIUM、Pawn Storm或APT28等，据称隶属于俄罗斯武装部队总参谋部情报总局（GRU）。该组织从2008年开始活动，主要对西方国家的各类政治和国防目标实施网络攻击行动和网络间谍行动。这些目标既包括政府、国防和航空航天承包商、能源公用事业公司和媒体，也包括俄罗斯本国的不同政见者。该组织通常使用网络钓鱼消息和使用欺骗性网站来收集凭据，并开发了XAgent、X-Tunnel、WinIDS、Foozer和DownRange等针对计算机和手机等不同平台的专业恶意植入程序。

该组织在2023年中发动的网络攻击主要包括：4月，美国网络安全与基础设施安全局（CISA）称，该组织在利用简单网络管理协议（SNMP）的漏洞入侵IT巨头思科公司的路由器，之后加拿大网络安全中心（CCCS）又称该组织对加拿大天然气管道构成威胁；6月，CERT-UA称该组织对地区检察官办公室、未具名的乌克兰行政机构、以及参与军用飞机基础设施升级和翻新的组织发动了鱼叉式网络钓鱼攻击；9月，CERT-UA称其挫败了该组织针对乌克兰某能源设施的社会工程学攻击；10月，法国国家网络安全局（ANSSI）称，该组织利用Mimikatz和CredoMap等工具入侵了法国的大学、企业、智囊团和政府机构；11月，欧盟网络应急响应小组（CERT-EU）称，该组织正在利用各种诱饵文件来引诱受害者泄露敏感文件，其中包括欧洲议会小组委员会的会议记录和联合国特别委员会的报告等。

三、Gamaredon

Gamaredon组织亦称ACTINIUM、BlueAlpha、Primitive Bear和Shuckworm等，是至少从2013年起就开始活动的俄罗斯黑客组织。乌克兰安全局（SBU）指认该组织听命于俄罗斯联邦安全局（FSB）辖下的第18中心。该组织的攻击方式以鱼叉式网络钓鱼为主，其最主要的攻击目标是乌克兰的行政、司法和军事部门。种种迹象表明该组织似乎只进行网络间谍活动，从不参与破坏性网络攻击，因此该组织很少引发受到广泛关注的网络安全事件。

该组织在2023年中发动的网络攻击主要包括：2月，乌克兰国家网络防御中心（SCDC）称，该组织正在对乌克兰政府和关键IT基础设施进行有针对性的网络攻击；6月，网络安全公司赛门铁克称，该组织在最近3个月内广泛入侵了乌克兰的安全服务、军事和政府机构，并窃取了乌军伤亡等方面的信息；7月，乌克兰计算机紧急响应小组（CERT-UA）称，该组织利用鱼叉式网络钓鱼邮件窃取了乌方数据；9月，SBU称该组织试图入侵乌克兰军方用于计划和执行战斗任务的安卓平板电脑，以获取其它联网设备的访问权限。

四、Killnet

Killnet是由俄乌冲突催生的亲俄罗斯黑客组织，从2022年3月开始活动。该组织主要对北约国家（包括美国、加拿大、澳大利亚、意大利和波兰）以及乌克兰政府掌握的关键基础设施、机场网站、政府服务和媒体公司发动DDoS攻击，并通过“电报”（Telegram）等社交平台传播亲俄宣传信息。

该组织在2023年中发动的网络攻击主要包括：4月，该组织对负责欧洲航空交通管制的“欧洲空中航行安全组织”（EUROCONTROL）发动大规模DDoS攻击，之后又泄露了数千名北约相关人士的个人数据；8月，该组织声称对乌克兰三大加油站企业SOCAR Energy Ukraine、WOG和Amic Energy的网站发动攻击，导致约200座加油站一度瘫痪；10月，该组织攻击了以色列政府网站域名gov.il，导致其它国家的用户一度无法访问以色列政府网站。

五、Anonymous Sudan

Anonymous Sudan自称是来自苏丹的黑客组织，从2023年1月开始活动。出于亲伊斯兰教和反西方动机，该组织频频对西方国家及亲西方中东国家的关键基础设施及其它公共部门发动分布式拒绝服务（DDoS）攻击。瑞典、荷兰、丹麦、澳大利亚、法国、以色列、德国、阿联酋、美国和伊朗的金融服务、航空、教育、医疗保健、软件组织及政府机构均遭受过该组织的攻击。部分西方研究人员认为该组织实际上隶属于俄罗斯政府。

该组织在2023年中发动的网络攻击主要包括：2月，该组织攻击了瑞典的国家公共电视台SVT，导致该台一度停播，之后又攻击了9家丹麦医院的网站，导致这些网站被迫下线；6月，该组织攻击了美国微软公司的云系统Azure和Microsoft 365，导致相关服务一度中断；10月，该组织声称攻击了以色列的“铁穹”导弹防御系统、警报应用程序和工业控制系统（ICS）；11月，该组织声称攻击了美联社等西方新闻媒体的网站，之后又声称攻击了美国OpenAI公司的人工智能平台ChatGPT，导致该平台一度中断。

六、LockBit

LockBit是一个追求经济利益的勒索软件网络犯罪组织，从2020年1月开始活动。该组织通常采用双重勒索策略，即不仅窃取并加密受害者的数据，还会在要求未得到满足时泄露受害者的数据。该组织是近年来最活跃的勒索软件组织，其在2022年制造的勒索软件事件占全球所有同类事件的44%。美国、印度和巴西是该组织最主要的攻击目标，而医疗保健和教育行业则是该组织的最大受害者。

该组织在2023年中发动的网络攻击主要包括：2月，该组织攻击了总部位于伦敦的金融衍生品交易公司ION Cleared Derivatives，导致欧洲主要银行一度被迫手动处理相关交易，并使一家主要期货交易所的交易结算推迟了两个小时；3月，该组织通过第三方供应商窃取了SpaceX公司的图纸等数据，之后又窃取了美国奥克兰市政府的数据；5月，该组织泄露了印度银行Fullerton India的600 GB关键数据；之后又泄露了印度尼西亚伊斯兰银行（BSI）的1.5 TB个人数据和财务数据；7月，该组织从第三方供应商窃取了芯片巨头台积电的数据；8月，该组织窃取了英国国防承包商Zaun的10 GB邮件、订单、图纸和项目文件等数据；9月，该组织窃取了加拿大蒙特利尔电力服务委员会（CSEM）的数据；10月，该组织窃取了美国波音公司的数据。

七、Clop

Clop是一个追求经济利益的勒索软件网络犯罪组织，从2019年2月开始活动。该组织以多重勒索和全球范围内的恶意软件分发能力而闻名。该组织利用大规模网络钓鱼活动和复杂的恶意软件渗透网络并索要赎金，并会在要求未得到满足时泄露受害者的数据。该组织正越来越多地使用“不加密数据，只威胁泄露数据”的勒索方法，并开始采用零日攻击等更复杂的攻击手段。该组织的勒索软件会特意避开采用俄语的计算机，并宣称不会泄露关于“军队、儿童、医院和政府”的数据。

该组织在2023年中发动的网络攻击主要包括：2月，该组织利用Fortra公司GoAnywhere MFT安全文件共享解决方案中的零日漏洞，窃取了130家公司的数据，其中包括日立等行业巨头；6月，该组织利用文件传输软件MOVEit的漏洞入侵人力资源公司Zellis的系统，从而窃取了包括英国广播公司（BBC）和英国航空公司在内的数百家公司的数据，之后又窃取了英国通信监管机构Ofcom的数据；8月，该组织窃取了法国政府就业机构 Pôle emploi的数据。

八、Lazarus

Lazarus亦称Hidden Cobra、Zinc、APT-C-26和Guardians of Peace等，是规模最大且最活跃的朝鲜黑客组织，据信隶属于朝鲜情报机构侦察总局（RGB）第121局第110号实验室。该组织从2007年开始活动，自2013年起活动力度有所加强。该组织的活动范围遍及全球20多个国家，但头号攻击对象始终是韩国和美国。该组织的目的主要是从全球各地的金融机构窃取资金和通过勒索软件索取赎金，获取技术情报，并攻击损害朝鲜形象的机构。目前已知的受害者包括韩国政府、多家韩国银行、索尼影视公司、若干美国国防承包商以及全球多家加密货币交易所。

该组织在2023年中发动的网络攻击主要包括：4月，网络安全公司ESET称，该组织长期开展名为“理想工作行动”（Operation Dream Job）的社会工程学攻击，即以虚构的理想工作机会为诱饵，诱使目标下载恶意软件；5月，网络安全公司AhnLab称，该组织利用Microsoft Web服务器进程w3wp.exe植入恶意间谍软件；7月，网络安全公司Mandiant等称，该组织入侵JumpCloud公司以窃取加密货币，之后又有GitHub网站称，该组织冒充合法的开发或招聘人员，以加入GitHub开发项目为诱饵，通过恶意节点包管理器（npm）依赖项传播恶意软件；8月，网络安全公司思科称，Lazarus Group利用Zoho ManageEngine ServiceDesk Plus的关键安全漏洞来分发名为QuiteRAT的远程访问木马；9月，Certik等公司称，该组织从CoinEx、Atomic Wallet、CoinsPaid、Alphapo和Stake.com等加密货币交易所窃取了价值近2.4亿美元的加密货币。

九、Blackcat

BlackCat亦称ALPHV或Noberus，是一个追求经济利益的勒索软件网络犯罪组织，从2021年11月开始活动。该组织主要采用双重勒索策略，有时也采用三重勒索策略，即除加密和威胁泄露受害者数据外，还威胁对受害者的基础设施发动DDoS攻击。此外该组织也是首个在公开互联网上创建公共数据泄露网站的勒索软件组织。该组织惯于利用Emotet僵尸网络，目前已攻击过全球数百家组织作为攻击目标，并通常要求受害者以比特币和门罗币的形式支付价值数百万美元的赎金。

该组织在2023年中发动的网络攻击主要包括：2月，该组织声称窃取了印度导弹推进剂制造商Solar Industries的2 TB敏感数据，包括印度军用导弹和火箭系统使用的推进剂规格，以及Pinaka MK-1 ADM-1等火箭和Konkur等弹头的数据；3月，该组织从数据存储巨头Western Digital公司窃取了大量客户个人数据；5月，该组织声称从美国政府的服务提供商Casepoint窃取了2 TB敏感数据，这些数据涉及到美国国防部、美国联邦调查局、美国证监会和美国警方等重要机构；6月，该组织声称从美国主要社交平台Reddit窃取了80 GB数据；7月，网络安全公司Trend称，该组织正利用广告来分发恶意的WinSCP文件传输应用程序；8月，该组织窃取了日本钟表制造商精工的数据；9月，该组织利用Sphynx软件来窃取微软Microsoft Azure云系统的访问权限；11月，该组织声称从医疗保健巨头Henry Schein公司窃取了数十TB的数据，包括工资数据和股东信息等。

十、Oilrig

OilRig亦称Crambus、Twisted Kitten、Helix Kitten和APT34等，疑似是来自伊朗的黑客组织。该组织从2015年开始活动，主要目标包括金融、政府、能源、化工和电信等多个行业，尤其是沙特阿拉伯的相关组织。该组织主要利用组织之间的信任关系来发动社会工程学攻击，包括利用领英（LinkedIn）等合法社交网络发布欺诈性的工作机会等，进而窃取相关数据。鉴于该组织的活动高度符合伊朗的战略侦察目标，网络安全公司FireEye认为该组织隶属于伊朗政府。

该组织在2023年中发动的网络攻击主要包括：5月，网络安全公司ESET称，该组织向以色列医疗保健公司部署标记为Mango的定制植入程序；8月，网络安全公司卡巴斯基称，该组织建立了面向阿拉伯联合酋长国政府人员的虚假IT公司，并通过虚假招聘窃取敏感信息；9月，网络安全公司Trend称，该组织利用鱼叉式网络钓鱼手段向某沙特组织投放名为Menorah的恶意软件；10月，网络安全公司赛门铁克称，该组织在中东某国政府的网络中潜伏了8个月（2023年2月至9月），窃取了大量数据；11月，网络安全公司Check Point称，该组织利用名为Scarred Manticore的间谍软件从沙特阿拉伯、阿拉伯联合酋长国、约旦、科威特、阿曼、伊拉克和以色列的政府、军队和电信部门窃取数据。