当黑客遭遇“黑吃黑”：相互残杀的网络混战

虽然大多数的网络罪犯将目光锁定在从缺乏安全防护的企业获取有价值的数据，但是事实上他们对目标的选择并没有明显的限制。在“网络窃贼”的世界中并没有任何名誉可言，所以有些恶意黑客会寻找合适的时机愉快地攻击其他“黑帽黑客”和“灰帽黑客”就成为不足为奇的事情了。

有时候攻击只是纯粹地为了谋取私利：竞争对手知道如果他们能够发现一种简单的数据挖掘方式就能够很快地获取到“好东西”（如身份或财物信息等）。同样地，某些类型的网络冲突旨在除去竞争对手。当然，也存在一些攻击带有个人色彩：例如为了炫耀、获取分数或者因为确定一个哲学立场等等。

但是不管最初的动机如何，看到“坏家伙们”陷入困境的模样还是为网络安全工程师们提供了“幸灾乐祸”的满意剂量。很高兴可以每隔一段时间就能看到他们战斗一次，现在就占好座位，捧好爆米花，跟小编一起欣赏这场“黑吃黑”的盛宴吧。

1.w0rm攻击Monoploy

2015年，名为“w0rm”的黑客组织成功入侵另外一个黑客团伙Monoploy，并在w0rm论坛上出售后者的数据库且出售价格非常低，只有500美元（2.15比特币）。

w0rm因在2013年入侵BBC，2014年入侵Vice、CNET和《华盛顿邮报》而声名大噪。Monopoly则主要在自己的论坛上出售供在线欺诈、僵尸网络和与垃圾邮件相关产品的用户信息。

据悉，w0rm与Monoploy之间并不存在恩怨史，所有一切的缘由可能只能通过“只是做生意而已”一句话解释。

2.Peace 攻击 w0rm

还记得那个臭名昭著的黑客“Peace_of_Mind （简称Peace）”吗？

他就是之前在暗网上兜售LinkedIn、MySpace、Tumblr、Fling.com和VK.com数据的黑客，Facebook CEO小扎也因他泄露的数据被黑过。去年他又在暗网上放出了2亿份雅虎用户数据，影响甚远。

而他与w0rm的恩怨又是怎么一回事呢？据悉，Peace曾声称w0rm已经从某些论坛盗取了他们很多零日漏洞并作为自己发现的漏洞进行发布。更重要的是，w0rm公布Peace用于访问受损网站的漏洞等行为严重惹恼了Peace。作为报复，Peace开始进行了一系列破坏行为，例如在w0rm使用的网站上发布概念证明码（proof-of-concept codes）以及从攻击《华尔街日报》、Vice以及 CNET等目标的高收益攻击活动中转储泄漏数据。

3.臭名昭著的 d33ds组织

网络团伙之间的攻击可谓是稀疏平常且由来已久的事情了。其中一个发生在不久前的例子就是，2011年一个名为“d33ds”的黑客组织攻破了竞争对手“Srblche”的在线黑市商店，该商店主要出售军事教育和政府网站的管理权限以及各类网站的漏洞等。d33ds从该商店的服务器中转储数据，其中包括客户密码散列和管理密码等。

4.APT对APT攻击

2015年，卡巴斯基实验室发现了首个网络间谍组织之间的APT战争。最初，卡巴斯基实验室专家发现了一个规模较小的Hellsing网络间谍组织。该组织的技术并不突出，其攻击目标为亚洲政府机构和外交机构。

之后，Hellsing遭受到了另一网络犯罪组织发动的鱼叉式钓鱼攻击，因此进行了反击。卡巴斯基实验室认为，这一现象标志着网络犯罪行为出现了一种新的趋势：“APT战争”。

据悉，卡巴斯基实验室安全专家在针对Naikon网络间谍组织行为进行研究时，发现了上述行为。Naikon网络间谍组织同样针对亚太地区的组织和机构进行攻击。安全专家注意到，Naikon的一个攻击目标觉察到了Naikon试图利用包含恶意附件的鱼叉式钓鱼攻击邮件感染其系统。

被攻击者对于邮件发信人的真实性表示怀疑，很显然根本不信任这封邮件，因此并未打开其中的附件。不久之后，受攻击者向发件人转发了一封邮件，其中包含自己的恶意软件。这一举动引起了卡巴斯基实验室的注意，并开始了后续调查，从而发现了Hellsing这一APT组织。

Hellsing所使用的反击手段表明其试图查清Naikon组织的身份，并且收集该组织的相关情报。卡巴斯基实验室对Hellsing网络间谍组织进行深度分析后发现，他们会使用一种包含恶意附件的鱼叉式钓鱼攻击邮件，用以在不同的组织中传播间谍软件。

如果受害者打开其中的恶意附件，系统就会被一种定制的后门程序所感染，从而下载和上传文件，并且可进行更新和卸载。

巴斯基实验室全球研究和分析团队总监Costin Raiu对此表示：“Hellsing针对Naikon的反击，可以说是一种《帝国大反击》式的报复行为，而且非常令人兴奋。过去，我们也曾经见过APT组织在窃取受害者通讯录后，根据通讯录名单进行大规模垃圾邮件发送，无意之中向其他APT组织发动过攻击。但是这次攻击的目标和来源均表明，这很可能是一次故意进行的APT对APT攻击。”

5.提供竞争者信息给Shadowserver

虽然上述提及的d33ds的例子中报复成分比商业目的强，但是研究人员还是认为，之所以存在激烈竞争的本质原因在于攻击者们的“牙齿咬上了同一块肉”。

去年，Shadowserver（提供Conficker数据的安全组织）的研究人员详细地解释了为什么黑客组织基于竞争对手黑客的技巧就能够成功击破其C&C服务器以及域名。原来攻击者们都希望将竞争对手赶出市场，所以就让Shadowserver和其他恶意软件人员记下来他们竞争对手的C&C服务器和域名的信息。

6.黑吃黑是需要真本事的——Hacking Team黑客入侵事件

黑吃黑是要真本事的，2015年意大利安全公司Hacking Team遭到了黑客的入侵，数百GB的内部电邮、文件和程序源代码泄漏。在攻击发生将近一年之后，黑客PhineasFisher（又名FinFisher）在PasteBin上公开了入侵Hacking Team服务器的细节。

FinFisher是将一个未披露名字的企业网络使用的嵌入式设备0day漏洞作为入口渗透进Hacking Team的内网。他为有漏洞的嵌入式设备开发和安装了一个后门固件，然后监听内网流量，扫描和绘制内网地图。他发现了该公司使用的MongoDB数据库没有密码保护，进而找到了备份系统。

最重要的备份系统是Exchange电邮服务器，他从中提取到了BES （BlackBerry Enterprise Server）管理员帐户密码，该密码允许他访问了Domain Admin服务器，获取了所有公司用户的密码。

通过阅读电子邮件，FinFisher发现了企业内部还有一个隐藏网络，存放了该公司远程控制监控软件的源代码。他将目标对准了该公司关键程序员Christian Pozzi，通过扫描 Pozzi的计算机和电邮帐户，最终发现了源代码管理系统。

7.Phineas Fisher用Gamma International热身

入侵Hacking Team并不是PhineasFisher唯一拿的出手的事，早在2014年他还侵入了Gamma International公司的内网，公开了40GB的内部文档和恶意程序源代码（BT种子）。据悉，Gamma Group International是一家专门贩卖间谍软件给政府和警察机构的欧洲公司，其开发出了无数强悍的间谍软件，包括FinFisher。

8.曾帮FBI 破解 iPhone 的 Cellebrite 公司发生数据泄露事件

一个“PhineasFisher”倒下了，还有千千万万个PhineasFisher正在继续着这份工作。就在上个月，以色列公司Cellebrite遭遇了900G的机密数据泄漏事件，该公司的主打产品是一种名叫“通用取证提取设备”的装置，并且在去年成功帮助FBI破解了Iphone设备。

据悉，该公司一直都与美国联邦调查局和美国州政府执法部门有着密切来往，而且根据此次泄露出来的信息显示，Cellebrite似乎也与很多独裁政府有联系，例如俄罗斯、阿拉伯联合酋长国、以及土耳其等等。

根据攻击者透露的信息以及部分泄露文件的时间戳来看，其中的一部分数据似乎在去年就已经从Cellebrite的服务器中泄露出来了。除了客户信息之外，泄露数据中似乎还包含有Cellebrite的产品从移动手机中提取出来的取证文件和日志记录。

看来，黑客本身也面临诸多安全隐患，其中不乏法律层面的问题，如此看来，黑客倒更像刀尖上的舞者，用生命在演绎着暗色系的青春。你还知道哪些“黑吃黑”的例子，欢迎留言区跟小编分享。