“權力、影響力、臭名昭著”：襲擊MGM和凱撒的Z世代黑客 | 路透社

Zeba Siddiqui,Raphael Satter

2023-09-23

美國內華達州拉斯維加斯的MGM大酒店和賭場外景，由於MGM度假村關閉了一些計算機系統，發生了一起網絡攻擊，照片拍攝於2023年9月13日。路透社/Bridget Bennett

舊金山/華盛頓，2023年9月22日（路透社）- 大約一年前，美國安全公司Palo Alto Networks開始接到一系列公司的報告，稱它們遭到了非傳統的黑客攻擊。

以英語為母語的黑客會打電話給目標公司的信息技術幫助台，假裝是公司員工，並試圖獲取登錄詳細信息，聲稱自己忘記了。他們擁有所有必要的員工信息，聽起來非常令人信服。一旦獲得訪問權限，他們會迅速進入公司最敏感的存儲庫，竊取數據進行勒索。

勒索軟件攻擊並不新鮮，但這個團伙在社交工程和繞過多重身份驗證方面非常嫺熟，Palo Alto Networks的Unit 42威脅情報團隊高級副總裁温迪·惠特莫爾説道，該團隊已經應對了與該團伙有關的多起入侵事件。

“他們比許多網絡犯罪分子更加複雜。他們在攻擊中顯得紀律嚴明、有組織，”她説。“這是我們通常更多地在國家行為者而不是網絡犯罪分子身上看到的。"

在安全行業中，這些黑客被稱為Scattered Spider、Muddled Libra和UNC3944，他們在本月初因侵入世界上兩家最大的賭博公司——MGM度假村（MGM.N）和凱撒娛樂有限公司（CZR.O）的系統而引起了公眾的關注。本月初，根據跟蹤入侵的分析師的説法，這已經影響了更多公司，網絡安全專家預計這些攻擊將繼續。

FBI正在調查MGM和凱撒斯的侵入事件，公司沒有評論可能是誰幹的。

從加拿大到日本，安全公司CrowdStrike自2022年3月以來已經在全球跟蹤到該組織發動了52次攻擊，其中大多數發生在美國，該公司的威脅情報高級副總裁亞當·邁耶斯表示。谷歌旗下的情報公司Mandiant在過去兩年中記錄了100多起被其入侵的事件。

加載中幾乎每個行業，從電信到金融、酒店和媒體，都受到了影響。路透社無法確定黑客可能勒索了多少錢。

但這個組織引人注目的不僅僅是攻擊的規模和廣度。Mandiant的創始人凱文·曼迪亞表示，他們在所做的事情上非常擅長，並且在與受害者的互動中“殘酷無情”。

他們從公司系統中竊取和外泄數據的速度可能會壓倒安全響應團隊，他們曾在受害組織的系統上留下威脅性的便條，並在過去通過短信和電子郵件聯繫過受害組織的員工，Mandiant 發現。

在某些情況下 - Mandia沒有透露具體情況 - 與Scattered Spider有關的黑客曾偽造緊急電話，召喚重裝武裝的警察部隊前往襲擊目標公司高管的住所。

這種叫做SWATing的技術，“作為受害者經歷這種事情是非常可怕的，”他説。“我甚至認為這些侵入並不是為了錢。我認為它們是關於權力、影響力和臭名昭著。這使得應對變得更加困難。”

路透社無法立即聯繫上這個黑客組織進行評論。

17-22歲的年輕人

關於Scattered Spider的位置或身份幾乎沒有詳細信息。根據犯罪分子與受害者的聊天以及對侵入調查的線索，CrowdStrike的Meyers表示，他們主要是17-22歲的年輕人。Mandiant估計他們主要來自西方國家，但目前尚不清楚有多少人蔘與其中。

在尋求幫助台之前，黑客通過社會工程學，特別是“SIM卡交換”這種技術，獲取員工信息，包括密碼 - 這種技術是指他們欺騙電信公司的客服代表，將特定電話號碼從一個設備重新分配到另一個設備，分析人員表示。

他們似乎也在努力研究大型組織的運作方式，包括它們的供應商和承包商，以找到具有特權訪問權限的個人，然後對其進行攻擊，分析人士稱。

這是Okta身份管理公司首席安全官David Bradbury親眼看到的情況上個月，當時他發現Scattered Spider入侵了多個Okta客户，包括MGM。Okta提供諸如多因素身份驗證之類的身份服務，用於幫助用户安全地訪問在線應用程序和網站。

“威脅行為者顯然已經學習了我們在線提供的課程，他們顯然也研究了我們的產品以及它的運作方式，” Bradbury説道。“這是我們以前從未見過的情況。”

上週，一個名為ALPHV的更大組織聲稱自己是MGM黑客事件的幕後黑手，分析人士認為它提供了該操作所需的軟件和攻擊工具，由Scattered Spider執行。

Okta的Bradbury表示，這種合作對於網絡犯罪分子來説是典型的。根據Mandiant的説法，ALPHV是一個“勒索軟件即服務”組織，它會提供諸如幫助台、網頁和品牌等服務，並從Scattered Spider的黑客行為中分成。

儘管許多勒索軟件攻擊並未公開報道，但MGM黑客事件生動地展示了此類事件的現實影響。它在拉斯維加斯造成了混亂，遊戲機陷入停頓，酒店系統受到干擾。

勒索軟件團伙通常像大型組織一樣運作，並不斷改進他們的方法以適應組織使用的最新安全措施。

“在某種程度上，這就像老生常談的貓鼠遊戲，”Whitmore説道，他將Scattered Spider與之前入侵Okta和科技巨頭微軟的另一個組織Lapsus$進行了比較。去年，英國警方逮捕了16至21歲之間的七名人員，他們涉及之前的這些黑客攻擊。