繼拉撒路（Lazarus Group）之后，又一個國家黑客組織被發(fā)現(xiàn)參與大規(guī)模加密貨幣挖礦行動。

　　微軟本周一的報告發(fā)現(xiàn)，越南政府支持的黑客開始在常規(guī)的網(wǎng)絡(luò)間諜工具套件中部署加密貨幣挖礦軟件。

　　該報告指出越來越多的國家支持的黑客組織開始將目光投向了常規(guī)的網(wǎng)絡(luò)犯罪活動，這使得對財務(wù)動機(jī)的犯罪與情報收集活動的區(qū)分變得更加困難。

　　APT32加入門羅幣采礦大軍

　　該越南黑客組織在微軟內(nèi)部的追蹤代號為Bismuth，自2012年以來一直活躍，在安全業(yè)界廣為人知的代號還包括APT32和OceanLotus（海蓮花）等。

　　APT32成立以來大部分時間都在組織國內(nèi)外的復(fù)雜黑客活動，目的是收集信息以幫助其政府處理政治、經(jīng)濟(jì)和外交政策決策。近年來隨著越南經(jīng)濟(jì)的高速發(fā)展，汽車行業(yè)成為APT32的關(guān)注重點。

　　但是微軟的報告指出，這個夏天該小組的活動策略發(fā)生了變化。

　　微軟表示：“在2020年7月至2020年8月的美國總統(tǒng)大選活動期間，該組織將門羅幣礦機(jī)程序部署到了針對法國和越南私營部門以及政府機(jī)構(gòu)的攻擊中?！?/p>

　　目前尚不清楚該APT32為何改變策略，微軟認(rèn)為存在兩種可能：首先，APT32可能希望借助加密貨幣挖礦軟件來掩蓋自己的真實目的，誘使事件響應(yīng)者以為自己是最低優(yōu)先級的路過攻擊。其次，APT32小組可能正在嘗試從常規(guī)的網(wǎng)絡(luò)間諜活動中“撈些外快”。

　　第二種假設(shè)也符合網(wǎng)絡(luò)安全行業(yè)的普遍趨勢。近年來，俄羅斯、伊朗和朝鮮政府資助的黑客組織也經(jīng)常會出于純粹的賺錢目的而攻擊目標(biāo)，獲取收益。

　　國家黑客發(fā)動此類攻擊的一個重要原因是，這些團(tuán)體通常在當(dāng)?shù)卣闹苯颖Ｗo(hù)下進(jìn)行活動，無論是作為承包商還是情報人員，他們也都在與美國沒有引渡條約的國家/地區(qū)內(nèi)開展活動，從而使他們隨心所欲、肆無忌憚地發(fā)動任何攻擊，而不用擔(dān)心后果。

　　APT32所在的越南也缺乏與美國的引渡條約，而且根據(jù)牛津大學(xué)人類網(wǎng)絡(luò)犯罪項目主任Lusthaus的調(diào)研《匿名行業(yè)：網(wǎng)絡(luò)犯罪業(yè)務(wù)內(nèi)部》，越南有望在未來十年成為新的網(wǎng)絡(luò)犯罪中心和避風(fēng)港。事實上從2018年開始，網(wǎng)絡(luò)安全行業(yè)就觀察到越南的進(jìn)攻性網(wǎng)絡(luò)活動開始激增。