“权力、影响力、臭名昭著”：袭击MGM和凯撒的Z世代黑客 | 路透社

Zeba Siddiqui,Raphael Satter

2023-09-23

美国内华达州拉斯维加斯的MGM大酒店和赌场外景，由于MGM度假村关闭了一些计算机系统，发生了一起网络攻击，照片拍摄于2023年9月13日。路透社/Bridget Bennett

旧金山/华盛顿，2023年9月22日（路透社）- 大约一年前，美国安全公司Palo Alto Networks开始接到一系列公司的报告，称它们遭到了非传统的黑客攻击。

以英语为母语的黑客会打电话给目标公司的信息技术帮助台，假装是公司员工，并试图获取登录详细信息，声称自己忘记了。他们拥有所有必要的员工信息，听起来非常令人信服。一旦获得访问权限，他们会迅速进入公司最敏感的存储库，窃取数据进行勒索。

勒索软件攻击并不新鲜，但这个团伙在社交工程和绕过多重身份验证方面非常娴熟，Palo Alto Networks的Unit 42威胁情报团队高级副总裁温迪·惠特莫尔说道，该团队已经应对了与该团伙有关的多起入侵事件。

“他们比许多网络犯罪分子更加复杂。他们在攻击中显得纪律严明、有组织，”她说。“这是我们通常更多地在国家行为者而不是网络犯罪分子身上看到的。"

在安全行业中，这些黑客被称为Scattered Spider、Muddled Libra和UNC3944，他们在本月初因侵入世界上两家最大的赌博公司——MGM度假村（MGM.N）和凯撒娱乐有限公司（CZR.O）的系统而引起了公众的关注。本月初，根据跟踪入侵的分析师的说法，这已经影响了更多公司，网络安全专家预计这些攻击将继续。

FBI正在调查MGM和凯撒斯的侵入事件，公司没有评论可能是谁干的。

从加拿大到日本，安全公司CrowdStrike自2022年3月以来已经在全球跟踪到该组织发动了52次攻击，其中大多数发生在美国，该公司的威胁情报高级副总裁亚当·迈耶斯表示。谷歌旗下的情报公司Mandiant在过去两年中记录了100多起被其入侵的事件。

加载中几乎每个行业，从电信到金融、酒店和媒体，都受到了影响。路透社无法确定黑客可能勒索了多少钱。

但这个组织引人注目的不仅仅是攻击的规模和广度。Mandiant的创始人凯文·曼迪亚表示，他们在所做的事情上非常擅长，并且在与受害者的互动中“残酷无情”。

他们从公司系统中窃取和外泄数据的速度可能会压倒安全响应团队，他们曾在受害组织的系统上留下威胁性的便条，并在过去通过短信和电子邮件联系过受害组织的员工，Mandiant 发现。

在某些情况下 - Mandia没有透露具体情况 - 与Scattered Spider有关的黑客曾伪造紧急电话，召唤重装武装的警察部队前往袭击目标公司高管的住所。

这种叫做SWATing的技术，“作为受害者经历这种事情是非常可怕的，”他说。“我甚至认为这些侵入并不是为了钱。我认为它们是关于权力、影响力和臭名昭著。这使得应对变得更加困难。”

路透社无法立即联系上这个黑客组织进行评论。

17-22岁的年轻人

关于Scattered Spider的位置或身份几乎没有详细信息。根据犯罪分子与受害者的聊天以及对侵入调查的线索，CrowdStrike的Meyers表示，他们主要是17-22岁的年轻人。Mandiant估计他们主要来自西方国家，但目前尚不清楚有多少人参与其中。

在寻求帮助台之前，黑客通过社会工程学，特别是“SIM卡交换”这种技术，获取员工信息，包括密码 - 这种技术是指他们欺骗电信公司的客服代表，将特定电话号码从一个设备重新分配到另一个设备，分析人员表示。

他们似乎也在努力研究大型组织的运作方式，包括它们的供应商和承包商，以找到具有特权访问权限的个人，然后对其进行攻击，分析人士称。

这是Okta身份管理公司首席安全官David Bradbury亲眼看到的情况上个月，当时他发现Scattered Spider入侵了多个Okta客户，包括MGM。Okta提供诸如多因素身份验证之类的身份服务，用于帮助用户安全地访问在线应用程序和网站。

“威胁行为者显然已经学习了我们在线提供的课程，他们显然也研究了我们的产品以及它的运作方式，” Bradbury说道。“这是我们以前从未见过的情况。”

上周，一个名为ALPHV的更大组织声称自己是MGM黑客事件的幕后黑手，分析人士认为它提供了该操作所需的软件和攻击工具，由Scattered Spider执行。

Okta的Bradbury表示，这种合作对于网络犯罪分子来说是典型的。根据Mandiant的说法，ALPHV是一个“勒索软件即服务”组织，它会提供诸如帮助台、网页和品牌等服务，并从Scattered Spider的黑客行为中分成。

尽管许多勒索软件攻击并未公开报道，但MGM黑客事件生动地展示了此类事件的现实影响。它在拉斯维加斯造成了混乱，游戏机陷入停顿，酒店系统受到干扰。

勒索软件团伙通常像大型组织一样运作，并不断改进他们的方法以适应组织使用的最新安全措施。

“在某种程度上，这就像老生常谈的猫鼠游戏，”Whitmore说道，他将Scattered Spider与之前入侵Okta和科技巨头微软的另一个组织Lapsus$进行了比较。去年，英国警方逮捕了16至21岁之间的七名人员，他们涉及之前的这些黑客攻击。