“暗黑客栈”：神秘黑客獠牙浮现

根据这个组织以往的“案底”来看，他们进攻的主要目标都集中在亚洲，而且以中国为主，零星分布在日本、韩国和东南亚。但是，这并不能证明他们的攻击对象国籍非常分散。由于他们进攻的IP多为酒店，所以很难确定他们的目标究竟是外国人还是在国外出差的中国人。严格来说，这是第一次有中国安全公司掌握有关暗黑客栈如此详尽的信息。仅从本次攻击来看，他们的目标非常明确——中国企业。比对以往的资料来看，他们有可能一直在搞中国企业。

【微步在线发布的本次攻击特征和历史数据比对】

这让人想到了知道创宇CEO赵伟的一段自白：

每次我到国外演讲，都会遇到责难。他们指责中国黑客对他们进行了大量的网络攻击。事实上中国遭受的攻击更多，我感到很委屈，恨我们有这么多黑客，却拿不出遭受攻击的证据。

种种迹象表明，暗黑客栈并不是“海淀银枪小霸王”之类的街头混混级别，而是有组织有背景的“山口组”。如此说来，这次活捉“大鱼”暗黑客栈，可以让赵伟“瞑目”了。事实上，这并不是中国安全人员第一次定位针对中国的APT（Advanced Persistent Threat 高级持续性威胁）。2015年，360揪出了针对中国海事机构持续攻击了三年的黑客组织“海莲花”，把它定性为：国外政府支持背景的、高度组织化的、专业化的境外国家级黑客组织。

【海莲花（OceanLotus）使用的域名和服务器分布图】

然而，薛锋认为暗黑客栈的Level并不比海莲花低。

如果说我们（中国安全公司）的水平是大学生的话，一般的黑客组织充其量是小学生。但暗黑客栈是和我们一样的大学生。

那么，只剩下了最后一个问题：暗黑客栈机关算尽，究竟想要从中国得到什么呢？

永无绝断的“暗战”

黑客的行事方式可以分为两种：

精准型——指哪打哪。以获得特定信息为目标，并不直接敛财。穷技术之所极，为达成更高的目标创造可能性。类似于詹姆斯·邦德之类的特工。

撒网型——广撒网，多敛鱼。用通用的扫描方法直接盗取大量的信息或财物。虽然可能产生可观的直接经济效益，但是这种黑客并无远谋，最多算是没有背景的犯罪分子。

暗黑客栈显然属于前者。在他们的木马攻击过程中，有些行为耐人寻味。例如：

1、他们会经常改变活动时间，让追踪者无法用作息时间来推断黑客所在的时区。

2、他们会用不同语言的操作系统来编码，让追踪者无法判断其国籍。

3、每次攻击行为之后，程序会自动抹掉攻击痕迹。

虽然历次攻击都是针对商业公司，而不是政府，但这些行为特征已经凸显出了一定的政治对抗性。而且，本次攻击中所采用的0day漏洞在市场上的价格大约为20-60万人民币。如果这个漏洞是暗黑客栈自己挖掘的，那么他们需要有相当强的技术实力。如果这个漏洞是他们购买得来的，则需要雄厚的资金实力。薛锋判断，想要做到“暗黑客栈”的成绩，至少需要百万级别的投入。

那么，这些黑客究竟来自那个国家呢？他们的背景是什么呢？

薛锋说，对于暗黑客栈的人员，微步在线已经有了基本的定位，对他们的背景也有了合理的判定。但是，现在并不是说出来的最佳时机。

但是现在敌人在明我在暗。如果现在暴露了我掌握的全部信息，那么敌人就会变得更加难以对付了。事实上，由于漏洞的暴露和“白帽子”的追踪，暗黑客栈已经关闭了服务器的一些接口。我们需要时间来做更多的研究。

暗黑客栈在变得更加警觉，安全研究员的难度在加大。但让人并不愉快的现实是：对于网络空间里国家之间的攻击、企业之间的攻击，并没有有效的方法实行反制。对于这种永难禁止的攻击，能做的只有加强守卫。对于暗黑客栈来说，也许只有详细曝光他们历次的犯罪轨迹，才是令其收手的最好武器。

在此之前，这台黑暗的服务器还将继续运转。

注：相关网站建设技巧阅读请移步到建站教程频道。

（编辑：云计算网_汕头站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!