网络安全世界中的两大威胁是国家支持的高级持续性威胁（APT）和网络罪犯，其深入世界各个角落的基础设施和圈子也就是所谓的暗网。APT组织和网络犯罪团伙向来井水不犯河水，各自都有自己的目标、人员和手段。但是近些年来，二者之间出现了一些交叉和重叠。

从进入公众视野之日起，APT就一直在用通常在暗网上售卖的工具。具体而言，许多APT事件中都出现了Poison Ivy等远程访问木马（RAT）的身影。这种现象非常普遍，以致于许多人对“APT”一词本身提出了质疑，因为RAT并不被认为是“高级的”（事实上，APT中的“高级”指的是黑客组织背后的基础设施，即民族国家）。APT事件常以数据渗漏为目标，多年来，APT组织使用暗网上各种网络犯罪工具达成此目标，二者并不矛盾。

而另一方面，网络犯罪团伙也借鉴了APT的一些战术。骗子常常盯上金融机构的客户，就是因为客户被认为是金融机构整个安全链条中最弱的一环。他们根本不去尝试突破银行的安全网络，而是采用网络钓鱼攻击来染指其受害者。其他企业沦为网络犯罪的受害者，则是因为网络犯罪团伙黑进了他们的系统（比如电子商务网站），从而盗走了各种凭证。但突破银行的系统就被认为是无法企及的目标，绝大多数网络犯罪团伙都不会去尝试。

不过，在某种程度上，网络犯罪团伙明白，如果APT使用暗网工具访问企业网络取得了巨大成功，那他们自己也能做到。一些网络犯罪团伙已经采用了APT的战术，使用鱼叉式网络钓鱼发送感染了恶意软件的附件，通过恶意附件来获取银行IT系统的访问权。网络安全公司Group-B称，名为Cobalt的网络犯罪团伙利用银行系统权限，向ATM机远程植入了恶意软件，造成银行ATM机自动吐钞（所谓Jackpotting攻击）。

后来的事件中，APT的目标逐渐开始网络犯罪团伙化。如果说以前APT的主要目标是数据渗漏，为了窃取知识产权和情报，那最近一些APT组织入侵各大企业就开始是为财了。在这方面最臭名昭著的APT组织是Lazarus，据说该组织与朝鲜有关。一系列攻击中都出现了Lazarus的身影，包括索尼影业数据泄露事件和针对韩国的多起DDoS攻击事件。尤为值得一提的是，该组织还与2016年孟加拉央行网络攻击事件有关。这起事件中，作案者发起的非法SWIFT网络转账价值近十亿美元，不过，三十五条转账指令中仅五条成功了。此外，Lazarus与WannaCry勒索软件也有关系，被认为是2017年5月那波全球性攻击的幕后黑手。WannaCry勒索软件使用了最初由NSA研发的被泄漏洞利用程序，感染Windows主机后会加密其上文件并发出勒索信，受害者不支付赎金就无法解锁文件。这波全球性攻击中，150多个国家的30多万台计算机遭感染。

将作案重点转向经济收益的APT并非仅仅有据称归属朝鲜的Lazarus一家。各家网络安全公司的报告宣称，伊朗政府支持的黑客组织目前盯上了以色列公司。研究人员声称，尽管他们的目标表面上看似乎是为了求财，但这些攻击背后真正的原因是政治性的。2020年11月20日，名为Black Shadows的黑客组织攻击了以色列保险公司Shirbit。他们试图勒索这家保险公司，警告称如果不付款就曝光被盗数据。Shirbit拒绝付款，而数据随后也确实泄露了。这家公司遭受了直接经济损失，并且面临集体诉讼。安全供应商SentinelOne表示，尽管该事件的性质是网络犯罪，但所有这些操作都是用来掩盖伊朗针对以色列的各项行动。这起事件，以及针对KLS Capital等以色列公司的多起其他事件，都是APT攻击，是两国间当前冷战的一部分。ClearSky Cyber Security指出，这一行动中的其他重磅攻击落在了Amital和Habana Labs身上。

尽管基础设施、目标和手段存在差异，恶意黑客组织的工作环境并非真空。他们会互相取经。网络威胁世界中所有恶意团伙都这样。关注网络犯罪活动的研究人员也应该注意APT空间中发生的事情，因为这类事情最终可能会渗透到犯罪世界。反过来也一样，网络犯罪团伙使用的工具、创新战术和方法，最终也会落入政府支持的黑客组织手中。

来源：数世咨询