编者注:今年早些时候,出现了一个名字“Marketo”并将自己定位为“被盗”尽管是数据市场运营商的网站。Marketo它不是一个勒索软件组织,但它的关键策略似乎相似。据报道,其运营模式非常简单。首先,网站管理员列出了即将成为受害者的名单,然后附上各种证据(通常是可下载的小文档)。如果受害者不与黑客合作,后者将泄露该网站上的数据,并以免费下载的方式提供或只提供VIP会员开放。
8本月下旬,该组织宣布正在出售日本科技公司富士通的秘密数据;本月早些时候,有报道称,从弗吉尼亚军事事务部窃取的数据也可以在该网站上购买。但该组织的勒索行为比许多勒索软件运营商更激进——他们将联系受害者的竞争对手和执法部门,迫使受害者支付数据费。
虽然还不清楚Marketo如何融入更广泛的网络犯罪生态系统,但是Recorded Future的Insikt Group最近发现,在Conti勒索软件勒索博客和Marketo同一受害者在网站上公布。——Conti采用与勒索软件团伙Marketo威胁受害者实现被盗数据货币化的不同方式(可能包括向出价最高的人出售数据)。
Recorded Future威胁情报分析师Dmitry Smilyanets本月与Marketo一名代表就该组织的战略和违法行为进行了交谈。完整的采访内容如下:
Dmitry Smilyanets(以下简称DS):您将Marketo定位为泄露数据市场运营商,那么你和运营勒索博客网站的多个勒索软件家族有什么区别呢?
Mannus Gott(Marketo代表):我们的根本区别在于我们不是勒索软件组织。此外,我们是该行业的第一个“拒绝勒索软件,接受审计”工作原则的人。除了追求利益,我们还被称为“真正的黑客”——寻求知识、不寻常的行动和策略、优雅的解决方案、促进技术进步和信息安全领域的发展——等因素驱动。在我们的活动中,除了利润和士气,我们还在寻求知识,保护人们的数据——人们把自己的数据托付给信任的大企业,却不惜一切代价利用这些数据盈利,没有真正保护它们。
我们是为了数据安全,并提醒人们注意数据安全,尽管方法更激进。所有这些都可以反映在我们的清单、规则和行动中。和媒体一样,我们是第一个创建官方代表的组织。顺便说一句,其他受保护的网络(如ZeroNet、FreeNet、Mastodon等)很快就会有官方代表。
DS:研究人员将是你和网络勒索的先驱TheDarkOverlord比较。你和他们有什么关系吗?
Marketo:我们知道这个组织的行为,所以我们受宠若惊。然而,我们与他们没有共同点,我们彼此也不认识。事实上,也许有一天我们会见面。但你永远不会知道。
DS:你参与网络犯罪多少?你是黑客吗?
Marketo:这是一个有趣的问题。但是,我不能告诉你我的年龄,也不能告诉你我加入了Marketo日期,这可能会暴露我的身份。和戴面具的人说话不是更有趣吗?你如何定义它?“黑客”是的,这个词的寻找最好的、不寻常的解决方案,代表技术创造力。
黑客不一定是罪犯,但罪犯可以是黑客,但这样的罪犯应该被称为“骇客”。黑客是具有黑客精神、学习精神和IT行业风格的人。是的,我是黑客,但这并不意味着我个人参与了攻击或其他事情。我可以成为媒体的代言人,我可以参与攻击,或者我什么都做不了——但我会继续做黑客。那么,你同意让我们使用正确的命名法吗?
DS:Marketo是一群人,还是你一个人经营?您是否运营博客并出售被第三方黑客窃取的数据?
Marketo:回到“匿名性”我可以确认我不能透露我们组织的结构。正如你所说,我们是这个领域的先驱。正如我之前所说,我们——这意味着我们是一群人。Marketo不是博客,而是市场。数据买家绝对可以是任何人。然而,我们的首要任务总是受害者。
DS:你提到几个联邦机构是你的“合作伙伴”。这种伙伴关系是什么样的?为什么不提联邦调查局呢?(FBI)?
Marketo:所谓“合作伙伴”事实上,我们每周都会向被黑客攻击的企业提供报告。这些报告中的每一份都是决定不与我们合作的企业。我们还判断,他们不关心员工、客户、运营商和合作伙伴的数据安全,并对其进行了处理“惩罚”。虽然我们知道我们的初衷是促进数据安全进展,但总有一天我们会为此付出代价。顺便说一句,FBI也在我们的清单中。
DS:在你的行为准则中,你说你不会发布或出售“关键数据”有些部分。这些数据将如何处理?为什么要创建代码?
Marketo:也许你误解了我们的意思。正如我们在名单中所说,我们首先将数据出售给公司本身。如果公司不回购数据,将其出售给愿意付费的人。数据仅发送给买方,我们不会发布。当组织不为我们的工作付费时,其他关键数据(即未售出部分)将100%发布。这实际上是一种信息安全审计。一些数据立即作为证据发布。这就是我们的工作方式。
我们创建名单本身是为了回答常见的问题,并表明我们有原则,我们将在任何情况下遵循这些原则。我们的名单涵盖了几乎所有的场景,并展示了我们的行为。稍后,我们将添加每个场景的证明和结果,如商业报价,以便每个人都能看到我们是如何工作的。当然,前提是团队同意这样做。我们支持透明度,我们提供服务,尽管它是强制性的。这就是我们的立场。
DS:您将一些泄密标记为“绝密”。你如何处理这些数据?任何被盗数据都有机密属性吗?
Marketo:这个问题我们有发言权。想象一下,数据中有一个蓝图上有一个标记。——这是一个秘密,它是一家公司的财产,不能向第三方透露,它是一个商业秘密。数据将被标记为绝密。
另一方面,即使蓝图没有标记机密状态,我们也会分析数据并得出结论。例如,一家公司丢失了F-16 机载电子数据电子数据和B-2精神轰炸机的硬翼蓝图。当然,这是机密数据,我们从许多其他公司(也有机密数据)获得了这些蓝图。
即便如此,这些公司仍然忽略了我们的警告1-2一个月,有的甚至口出不逊,甚至根本不考虑公民及其国家的安全。
DS:你从四月份开始赚了多少钱?你卖的最贵的数据是什么?
Marketo:不幸的是,这个问题超出了我的权限,违反了我们的保密政策。我们不是IT该公司也没有发布财务报告。此外,我们保证所有公司的隐私,并同意销毁数据。
DS:您称DarkSide及其声明“令人作呕”,因为“他们应该知道自己在做什么”。那你呢?你如何从法律角度看待自己?
Marketo:你误解了我的意思。我们没有说他们很恶心,但他们的行为是真的。有一个简单的原因:他们攻击关键的基础设施,这可能会导致饥饿、骚乱甚至内战。我们不支持这种行为。我们的目标是发展各国的经济,迫使他们投资于信息安全,并将其提升到一个新的水平。公司也是如此。我们对破坏任何县的经济不感兴趣,也不追求任何政治事业。是的,我们的行为是非法的,但我们从不交易生命。
DS:您只是出于经济动机还是这次行动有政治/黑客行为主义的一面?
Marketo:我想我已经明确表示我们有原则,我们支持黑客的原意,但我们不追求任何政治原因。
DS:如何选择攻击目标?
Marketo:这是商业秘密——我不能透露。
DS:你在其他地方看到的最有趣的泄密事件是什么?你的灵感是什么?
Marketo:很难选择最有趣的。在之前的回答中,我几乎涵盖了最令人震惊的案例。能是最有趣的。我的灵感——学习新事物。寻求知识、优雅、简单的解决方案。
DS:为什么大多数受害者都在美国?为什么亚洲、南美等地区几乎没有?
Marketo:美国似乎是一个有前途的信息安全发展国家。它敏捷的法律体系、快速的决策和世界知名的技术开发中心。此外,互联网是由美国国防部及其ARPANET这个项目诞生了。但这并不意味着我们不会针对世界各地的其他目标。这只是巧合。在美国,人们喜欢投保而不是防御,仅此而已。
DS:告诉我一个秘密,你的下一个目标是谁?
Marketo:您可以在我们的网站上查看横幅广告。别的不能多说,否则就没那么有趣了,对吧?