隨著網絡攻擊已經成為強大組織的攻擊武器庫中的常見工具，一個基于提供網絡攻擊服務、工具甚至培訓潛在客戶的行業已經發展起來。這一行業的主要參與者之一是所謂的“網絡雇傭軍”--顧名思義，為政府、犯罪組織甚至企業等客戶提供不同種類的基于互聯網的產品和服務的團體或個人。從理論上講，這些網絡雇傭軍可以被用于非惡意目的，比如幫助政府打擊恐怖主義和有組織犯罪。然而，事實是，他們的服務最終被用來攻擊客戶的對手。趨勢科技（Trend Micro）11月10日發布研究報告稱，發現了一個新的俄語網絡雇傭軍組織，該組織一直在攻擊從俄羅斯企業到記者和政客的各種目標。

　　Void Balaur組織曝光

　　2020年3月，與俄羅斯情報機構有關的黑客組織“兵風暴（Pawn Storm）”（又稱“Fancy Bear”和“APT28”）的長期被攻擊目標表示，黑客用釣魚郵件攻擊了他的妻子。研究人員發現了該組織。趨勢科技發現這些指標與“兵風暴”不符，并將攻擊歸咎于另一個名為“Void Balaur”的俄語組織。

　　據趨勢科技（Trend Micro）稱，與APT28不同，Void Balaur似乎是一個獨立組織，它愿意侵入各種目標的電子郵件，從俄羅斯的航空公司到烏茲別克斯坦的人權活動人士。

　　“他們的目標真是喜憂參半，”首席研究員費克·哈克伯德在一次采訪中說。“看起來有很多不同的客戶在使用它們，這符合我們的印象，即它們實際上是一個網絡雇傭兵，任何人都可以雇傭。”

　　這項研究突顯了日益增長且不受約束的網絡雇傭軍行業，這一行業引發了政治和人權方面的擔憂。研究人員警告稱，雖然各國可能將網絡雇傭軍服務視為國家資產，但雇傭黑客組織很容易針對本國。

　　俄羅斯黑客，比如勒索軟件組織，在該地區活動往往不受懲罰，因為他們與俄羅斯政府達成了不攻擊俄羅斯目標的默契。哈克伯德說，在盜竊和出售俄羅斯個人數據方面，這些協議沒有那么嚴格。俄羅斯人的個人數據在俄語論壇上激增。

　　到目前為止，TrendMicro的研究人員已經發現了該組織的3500多個目標。黑客主要集中在能夠提供大量個人數據的組織，包括移動運營商和體外受精診所。

　　哈克伯德在報告中寫道：“我們的研究揭示了一個清晰的畫面：Void Balaur追蹤并攻擊企業和個人最私密的個人數據，然后將這些數據出售給任何愿意為此付費的人。”

　　Void Balaur組織的受害者

　　該組織在講俄語的地下論壇上以“Rockethack”的名義發布廣告，出售的數據包括俄羅斯護照信息、俄羅斯機場乘客數據、國際刑警組織（Interpol）記錄和俄羅斯稅務記錄。趨勢科技將黑客命名為Void Balaur，這是一個東歐民間傳說中的多頭怪獸，象征著他們被雇傭的許多目標。

　　（Void Balaur從2020年開始在其網站上提供一些產品）

　　通過將基礎設施、主機名和電子郵件地址等指標與eQualit的外部報告中發現的信息相關聯，研究人員能夠確定威脅參與者的受害者的性質。報告提到了對人權活動人士、記者、媒體網站和政治新聞網站的攻擊。Void Balaur也不反對攻擊更高調的目標，因為該組織還攻擊了一個情報機構的前負責人，活躍的政府部長，東歐國家的國民議會成員，甚至總統候選人。

　　這可能不是一次性的攻擊，而是一個更大的戰役的一部分，有多個戰線。此外，雖然威脅行動者的許多活動似乎是出于經濟動機，但其動機可能是希望在受害者之間造成破壞和沖突。

　　Void Balaur組織的攻擊工具

　　根據國際特赦組織的報告，Void Balaur也使用了看似簡單但高度專業化的惡意軟件。其中一種名為Z*Stealer的惡意軟件旨在收集各種類型的軟件的證書，如即時通訊應用程序、電子郵件客戶端、瀏覽器和遠程桌面協議（RDP）程序。此外，它還能夠竊取加密貨幣錢包。

　　DroidWatcher是該組織在其活動中使用的另一個惡意軟件。與Z*Stealer類似，它也用于信息盜竊，同時增加了間諜和遠程跟蹤功能，允許用戶訪問敏感位置和通信信息。

　　TrendMicro還以“中等的信心”將Void Balaur與針對烏茲別克斯坦記者和活動人士的間諜活動聯系在一起，這一活動可以追溯到Void Balaur于2017年首次在網上發布廣告的一年前。

　　Void Balaur組織已引起聯合國的關注

　　聯合國專家周五發布了一份報告，對“網絡空間中與雇傭軍有關的活動”提出警告，并敦促各國不要招募、資助和培訓此類個人。

　　如何防范Void Balaur？

　　像“Void Balaur”這樣的網絡雇傭軍組織擁有大量的工具和資源，可以對高調的目標發動攻擊。趨勢科技的研究報告建議實施如下安全最佳實踐，可以幫助減輕攻擊的影響，甚至阻止攻擊的成功。

　　選擇優先考慮安全性并有強大安全協議的電子郵件提供商。

　　在訪問電子郵件和社交媒體賬戶時使用雙因素認證（2FA），最好使用專為2FA設計的應用程序或設備。

　　確保用于傳輸敏感信息的應用程序對通信進行端到端加密。

　　刪除舊的消息，以減少敏感數據落入惡意人員手中的機會。一些手機應用程序有一項設置，可以在一定時間后自動刪除聊天記錄。

　　對所有機器使用驅動器加密。

　　在不使用時，關掉儲存重要數據的工作和個人電腦

　　考慮在涉及敏感信息或對話的通信中使用加密系統。