美国多家律所近日遭遇一种愈加激进的新型黑客攻击手法:攻击者不再满足于远程网络入侵,而是直接派人假扮公司IT技术支持,上门接触目标员工电脑,通过U盘或远程控制工具窃取敏感数据。根据Google及美国联邦调查局(FBI)发布的最新预警,这些行动由名为“Silent Ransom Group(静默勒索团伙)”的网络犯罪组织发起,攻击时间集中在今年1月至5月,已波及“数十家”受害机构,其中律所是重点目标。
6月5日,Google旗下网络安全团队Mandiant和Google Threat Intelligence Group发布报告称,该团伙在近期攻击行动中,多次尝试通过“物理、现场访问”配合社工手段渗透受害企业网络,包括向律所派出冒充内部或外包IT支持的人员,要求进入办公场所直接接触员工终端设备。Mandiant首席技术官Charles Carmakal介绍,Mandiant多年来在调查案件中发现,黑客雇佣或安插内部人员、贿赂员工、或亲自潜入办公楼实施网络攻击的情况正在增加,此次针对律所的行动是这一趋势的最新例证。
FBI在上月发布的安全通告中已特别点名Silent Ransom Group,称其通过社交工程和钓鱼邮件冒充IT支持,骗取律师事务所员工信任与访问权限。FBI发言人向媒体表示,执法部门已发现多起案情:嫌疑人冒充IT技术人员,试图或已经以面对面方式进入企业办公室和设备,配合该团伙实施数据外流方案。
据披露,在部分案件中,这些“假IT”人员成功接入员工电脑,插入U盘直接拷走数据,或部署远程访问工具,为团伙中其他成员后续远程登陆和持续控制创造条件。被窃取的信息包括合同文本、包含社会安全号码在内的敏感个人信息,以及财务和税务记录等高度机密资料,一旦外泄,可能给律所及其客户带来严重的法律与声誉风险。
与传统“加密-勒索”模式不同,Silent Ransom Group主要采用“纯数据劫持+泄露威胁”的敲诈方式:攻击者并不对受害系统内数据进行加密,而是建立专门的泄露网站,先行掌握并备份被窃数据,再以公开数据相要挟迫使对方支付赎金。如果受害方拒绝谈判或在限期内不付款,团伙便在该泄露站点上分批或一次性公布资料,以扩大对律所及其客户的冲击。
Google指出,该团伙通常在完成渗透后,直接向受害机构高层或相关负责人发送威胁邮件,提醒其“数据在手”,要求尽快“协商解决”。在一封被披露的邮件中,黑客写道,如果对方选择忽视或拒绝,他们将通知受害机构的员工、合作伙伴和客户,随后公开全部被窃信息,从而在舆论和商业层面对受害者施加更大压力。
虽然物理渗透是此次行动的突出特点,Google在报告中强调,Silent Ransom Group仍然广泛使用各类传统网络攻击手段,包括钓鱼邮件、后续电话诈骗和多轮社交工程,构成完整的攻击链条。攻击者往往以“处理紧急安全问题”或“协助公司数据迁移项目”为名,与目标人员建立初步信任,再一步步引导其配合操作、放松警惕。
在远程技术环节,该团伙常通过电话或在线沟通引导受害者加入屏幕共享会话,理由是“协助排查故障”或“完成配置”。他们会诱导受害者下载并打开屏幕共享工具,或利用Zoom、Microsoft Teams等常用办公软件内置的共享功能,借此绕过既有安全控制,获得对终端的高权限访问,从而植入恶意程序或直接拷出数据。
长期以来,黑客更多依赖恶意软件和远程网络攻击实施数据窃取,但Google和FBI认为,此次针对律所的连续案件表明,部分网络犯罪团伙正在主动“跨界”,将传统黑客技术与实地入侵结合,形成更具攻击力和隐蔽性的混合模式。对以处理高度敏感信息为主业的律所而言,这种从“线上”延伸到“线下”的攻击升级具有明显的里程碑意义,也对现有的物理安防、访问控制和员工安全培训提出了更高要求。