中国网络罪犯发展研究报告

前言

由于其长久性和先进的技术水平,长期以来,俄罗斯网络犯罪地下一直是致力于研究网络犯罪策略和技术的威胁​​研究人员的基准。有大量出版物致力于分析其经济状况和黑客论坛。但是,只有少数研究集中在其他较不突出的网络犯罪地下组织正在出现的威胁和趋势上。

最新数据显示,2017年,中国网络犯罪地下组织的利润超过151亿美元,同时造成了超过133亿美元的数据丢失,身份盗窃和欺诈损失。多年来,McAfee Advanced Programs Group(APG)观察到,中国的非国家威胁行为者组织已从主要针对中国企业和公民的小型本地网络逐渐转变为能够入侵国际组织的大型组织良好的犯罪集团。

专注于恶意软件货币化的商业规模漏洞利用工具包和犯罪网络的开发,扩大了亚太地区网络犯罪的日益增长的风险,其中包括2013年12月对中国人民银行的DDoS攻击价值10亿美元的SWIFT攻击孟加拉银行于2016年2月进行了欺诈, 2017年10月台湾远东国际银行发生了6,000万美元的盗窃案,仅举几例。

该博客提供了有关中国网络犯罪地下的难得一见的信息。通过分析其当前的业务模型和技术,可以洞悉其运营的急剧变化,包括从俄罗斯网络犯罪分子那里借来的策略和策略。

时间线:中国网络犯罪的崛起

中国于1994年建立了与互联网的第一条电缆连接,而与此同时,来自俄罗斯的网络犯罪集团和其他新兴的网络犯罪地下组织也开始执行其首批主要网络犯罪。此后,中国领导人一直优先考虑互联网技术的发展和加速,如今,中国的互联网使用规模巨大,拥有8亿用户,这是无与伦比的。

但是,互联网使用量的增长并非没有讽刺意味,因为它伴随着网络犯罪活动的显着增加。尽管中国政府高度重视运行世界上最复杂的互联网审查系统之一,但本地网络犯罪分子仍在寻找变通办法,这有助于中国成为增长最快的网络犯罪地下经济体之一。

中国的网络犯罪企业规模庞大,利润丰厚且发展迅速。根据2018年互联网发展统计数据,中国的网络犯罪价值超过150亿美元,几乎是其信息安全行业规模的两倍。同样的中文来源还表明,中国的网络犯罪正在以每年30%以上的速度增长。估计有40万人在地下网络犯罪网络中工作。

战术,技巧和程序的变化

为了快速扩大业务规模并最大程度地提高投资回报率(ROI),中国网络犯罪分子不断调整其战术,技术和程序(TTP)。一个重大变化是,中国网络犯罪分子正逐渐从通过中国流行的QQ即时消息平台进行高度一对一的互动转移到现在建立更正式的网络犯罪网络。这些网络使用集中式广告和标准服务流程,类似于俄罗斯和其他更复杂的网络犯罪地下论坛。网络罪犯可以访问托管在深度网络上的这些集中式网络,以发布其产品和服务。通过自动服务可以获取大量被盗数据,在那里,刷卡者可以订购所需的信用卡和借记卡信息,而无需与其他用户进行交互。关于黑客服务,中国网络罪犯还为潜在客户提供模块,以填写他们的服务请求,包括攻击类型,目标IP地址,所需的恶意软件或漏洞利用工具包以及在线支付处理。通过建立标准化的销售模式,中国网络犯罪分子可以迅速扩展其活动,而不会产生额外的间接费用。

攻击即服务

与其他知名的网络犯罪黑社会类似,中国的网络犯罪地下市场致力于提供优质的客户服务。许多黑客将工作时间扩展到周末,甚至为没有技术背景的客户提供24/7全天候技术支持。中国黑市上有分布式拒绝服务(DDoS)僵尸网络,流量销售,源代码编写服务,电子邮件/ SMS垃圾邮件和泛洪服务。

尽管受到政府的审查,但仍有少数中国网络犯罪分子使用暗网市场来提供其服务和产品。这些市场通常专门从事被盗个人身份信息(PII),高余额银行账户,黑客服务和恶意软件定制的商业化。但是,由于中国政府封锁了Tor匿名网络,因此这些暗网市场或黑客论坛不容易访问。许多中国网络罪犯继续使用专有和不透明的QQ群组,微博论坛和百度Teiba进行广告和传播。中国网络犯罪分子也活跃在clearnet上。为了避免政府的审查和镇压,中国的网络犯罪分子广泛使用use语或其他语言手段进行交流和广告宣传,局外人很难理解。例如,中国网络罪犯称受感染的计算机或服务器为“鸡肉”。被盗的银行帐户,信用卡密码或其他被劫持的帐户称为“字母”或“信封”。用于凭据网络钓鱼攻击或垃圾邮件的恶意网站和电子邮件帐户称为“邮箱”。存储在银行卡磁条背面的被盗信息或详细信息称为“数据”,“磁迹材料”或简称为“材料”。”用于凭据网络钓鱼攻击或垃圾邮件的恶意网站和电子邮件帐户称为“邮箱”。存储在银行卡磁条背面的被盗信息或详细信息称为“数据”,“磁迹材料”或简称为“材料”。”用于凭据网络钓鱼攻击或垃圾邮件的恶意网站和电子邮件帐户称为“邮箱”。存储在银行卡磁条背面的被盗信息或详细信息称为“数据”,“磁迹材料”或简称为“材料”。

将运营基地迁往国外

另一个值得注意的趋势是,越来越多的中国网络犯罪团伙将其运营基地转移到国外,使用加密货币来洗钱。他们似乎更喜欢网络犯罪法规薄弱或执法不力的国家和地区,例如马来西亚,印度尼西亚,柬埔寨和菲律宾。自2017年以来,中国公安部共发现5,000多起跨境电信欺诈案件,涉及金额超过1.5亿美元。一些网络犯罪集团的组织结构高度复杂,像传统的黑手党集团一样,吸引了犯罪的IT专业人员。一些中国网络犯罪团伙结构合理,分工明确,供应链多样。即使攻击是跨国的,成员也通常位于很近的地理位置。

独特的文化和实践

中国黑客采用其他网络犯罪地下组织的不同付款方式,招募策略和运营结构。支付宝和银行转帐是中文黑客论坛宣传的普遍接受的付款方式;许多其他论坛通常更喜欢Monero和比特币。

作为指导的一种形式的“主学徒机制”在中国黑客社区中起着重要作用。许多中国黑客团体利用这一策略来招募新成员或赚钱。如下图所示,通常是有组织犯罪集团的策划者或黑客社区的管理员的QQ黑客团体负责人,从他们招募的成员那里收取培训费。这些被称为“学徒”或“培训中的黑客”的成员在完成培训计划之前必须参与多个刑事“任务”。培训结束后,他们有资格升级为专职黑客,并负责下游操作,例如针对性攻击,网站黑客和数据库渗透,这些黑客将全职工作。

图2:主学徒机制(来源:作者)

中国网络犯罪的发展

这些年来,中国的网络犯罪地下发生了翻天覆地的变化。它逐渐从主要针对中国企业或公民的小型本地网络转变为能够入侵国际组织的规模较大且组织良好的犯罪集团。我的研究表明,针对韩国,台湾,新加坡,德国,加拿大和美国的个人和组织的威胁活动越来越多。中国网络罪犯提供各种商品和服务,从对美国和加拿大驾照的实际伪造,对美国和加拿大驾照的伪造的扫描,美国手机号码,信用卡和身份证到被盗的社交媒体和电子邮件帐户。

图3:中国网络犯罪的增长(来源:作者)

如以下屏幕截图所示,一百万个使用加密密码的美国电子邮件帐户被盗,售价为117美元;在中国黑市上有190万个带有明文密码的德国电子邮件帐户被盗,价格为400美元。伪造或扫描美国或加拿大护照或驾驶执照的价格也仅为13美元。

图4:在中国的网络犯罪分子地下出售了100万个带有加密密码的美国电子邮件帐户
图5:190万个带有明文密码的德国电子邮件帐户被盗,正在中国的网络犯罪分子地下出售
图6:中国网络犯罪分子出售伪造的加拿大驾照

如以下屏幕截图所示,中国黑客还出售被盗的个人数据,包括台湾和韩国公民的身份证和护照。

图7:在台湾的中国网络犯罪嫌疑人地下室出售的是台湾公民被盗的PII,包括身份证号码,实际地址,手机号码等。
图8:中国黑客出售了1700万韩国国民身份证号码

在中国的网络犯罪地下市场上,可以找到世界各地银行的登录凭证,并且帐户的可用余额越高,其售价就越高。在地下网络犯罪市场上,来自美国主要社交媒体公司和网络平台,游戏服务提供商以及媒体服务提供商的被黑客入侵的帐户包的售价仅为29美元。这些社交媒体帐户有时会遭到黑客攻击,目的是将其用作生成假帐户以诱骗更多网络用户的方式。来自台湾人(例如,@ yahoo.com.tw)和韩国电子邮件服务提供商(例如,@ nate.com,@ yahoo.com.kr)的大量电子邮件帐户正在中国黑市上出售。

越来越难以将网络犯罪与网络间谍活动区分开

随着中国地下网络犯罪分子迅速扩大其范围和复杂性,将网络犯罪与网络间谍活动区分开来越来越困难。当我观察到中国网络犯罪分子提供监视企业和出售商品的目的时,尤其如此,这些商品可用于针对企业或政府官员的经济和政治间谍目的。我发现在中国网络犯罪分子地下出售的最有趣的物品之一是有关中国公司和政府机构的完整商业档案。一些中国黑客向知名技术公司出售内部员工目录。中国的网络犯罪分子似乎与恶意内部人员合作,或雇用黑客在电信服务提供商内部担任秘密特工,金融服务和技术公司窃取公司机密或其他专有信息。文件包括来自中国50强公司的首席执行官和高级管理层的详细联系信息。其他商业专有信息,例如与公司各种银行帐户相关联的凭证,资金历史记录,营销策略和税务标识号(TIN),也可以在黑市上出售。恶意行为者可以使用上述信息对企业发起有针对性的攻击,也可以利用第三方漏洞(例如受信任的金融服务,人员配备公司和IT服务提供商)渗透到目标系统。文件包括来自中国50强公司的首席执行官和高级管理层的详细联系信息。其他商业专有信息,例如与公司各种银行帐户相关联的凭证,资金历史记录,营销策略和税务标识号(TIN),也可以在黑市上出售。恶意行为者可以使用上述信息对企业发起有针对性的攻击,或者利用第三方漏洞(例如受信任的金融服务,人员编制公司和IT服务提供商)渗透到目标系统。文件包括来自中国50强公司的首席执行官和高级管理层的详细联系信息。其他商业专有信息,例如与公司各种银行帐户相关联的凭证,资金历史记录,营销策略和税务标识号(TIN),也可以在黑市上出售。恶意行为者可以使用上述信息对企业发起有针对性的攻击,或者利用第三方漏洞(例如受信任的金融服务,人员编制公司和IT服务提供商)渗透到目标系统。

结论

中国的网络犯罪网络的范围和复杂度正在迅速增长。与我三年前关于中国地下网络犯罪分子的早期研究论文相比,中国网络犯罪分子已开始采用复杂的商业模式方法,并与国内外的网络犯罪分子群体建立了复杂的等级体系,合作伙伴关系和合作关系。这些在全球运营和组织有序的网络犯罪网络都立足于法律体系和执法薄弱的国家,同时充分利用全球互联网的连通性来攻击全球目标。来自这些网络的越来越多的中国网络犯罪分子利用深层网络托管其基础设施并出售非法商品和服务,而不是依靠通过QQ平台进行的传统对等参与。为了提高盈利能力,中国黑客社区采用了类似于俄罗斯和其他知名网络犯罪地下市场的策略和技术,以变得更加结构化和面向服务。相比之下,俄罗斯的网络犯罪网络以其专门针对PII盗窃和金融欺诈货币化的多方面犯罪组织结构而闻名。但是,另一方面,中国的地下犯罪分子在获得经济利益时更加重视社区和门徒训练。中国的许多网络犯罪网络都将此门徒训练(也称为“主学徒机制”)纳入了与俄罗斯同行大不相同的招聘策略。随着中国网络犯罪的不断发展和进步,在亚太地区开展业务的国际组织正面临着针对高价值企业资产的网络犯罪活动的不断扩大的威胁态势。知识产权和身份盗用也会造成重大的经济后果。

0 0 vote
Article Rating

未经允许不得转载:x-sec » 中国网络罪犯发展研究报告

赞 (1) 打赏

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x