(趋势科技研究本区域各类网路犯罪工具及服务价格从8至400美元不等,甚至免费。)
全球网路资安解决方案领导厂商趋势科技 (东京证券交易所股票代码:4704) 日前在GITEX 2017 大展上发表一篇详细的研究白皮书「数位露天市集:中东与北非地下市场初探」(Digital Souks: A Glimpse into the Middle Eastern and North African Underground),详细说明该区地下市场犯罪活动的现况。该区恶意程式与骇客工具的价格整体而言稍高于其他区域。例如:在北美地下市场,一个键盘侧录程式大约需 1 至 4美元,但在这区域却可能高达 19 美元。然而,其成员之间因互利而彼此分享内容的意愿,却也弥补了价格上的劣势。
中东与北非地下市场可说是文化、意识形态和网路犯罪的大融合。趋势科技发现,区域性市场通常会忠实反映当地社会的情况。在分享的精神之下,该区犯罪分子彼此之间似乎有着一种超越其不法行动的兄弟情谊与宗教认同。
趋势科技地中海、中东与非洲地区副总裁 Ihab Moawad 表示:「该区仍是一个持续成长的市场,在规模和范围方面无法与其他区域相提并论,但其产品和服务依然相当普遍且精密。我们已开始高度关注该区,并且透过威胁情报的蒐集和分析来协助该区提升其网路防御能力。趋势科技将持续监控该区地下市场况状,主动提升资安生态系的整体力量,让此区域及全球的执法机关更深入掌握其资安情势。」
Moawad 补充表示:「除此之外,免费提供服务和赠送恶意程式的普遍现象,也颇令人玩味。虽然其他地下市场也会有互相支援的情况,但在意愿和程度上,该区绝无仅有。」
(趋势科技研究显示,该区的产品类别大致分为:恶意程式 (27%)、伪造文件 (27%)、失窃资料 (20%)等。)
由于意识形态是该市场发展的重要动力,骇客精神成了中东与北非地下市场独一无二的服务特色。在其他地下市场,例如北美或俄罗斯,供给者大多只在意如何销售其犯罪工具,此外,市场上的成员也不会共同策划网路攻击。
骇客激进攻击、DDoS 攻击、网站入侵诋毁行动,在该区是家常便饭。这些攻击通常是由一群对西方国家充满敌意的成员或当地政府所为。该区的产品类别大致分为:恶意程式 (27%)、伪造文件 (27%)、失窃资料 (20%)、犯罪工具(13%)、武器 (10%) 以及毒品 (3%)。
其中,犯罪工具包括各种加密程式、恶意程式与骇客工具。至于价格方面:蠕虫为1 至 12 美元、键盘侧录程式为免费至 19 美元、已知勒索病毒为 30 至 50 美元、恶意程式产生工具为免费至 500 美元、Citadel (FUD) 为 150 美元、Ninja RAT (FUD) 为 100 美元、Havij 1.8 (已破解) 为免费。
该区的代管服务厂商靠区域性网路代管空间大发利市,除了提供在地语言和服务时段之外,连线速度也更快。例如:单一 IP 连线和 50 GB 硬碟空间要价 50 美元,当然也有较亲民的方案,最低 3 美元起。在某种程度上,其价格与其他地区的地下市场 (如中国) 不相上下。
如同俄罗斯地下市场一样,该区也提供了销赃服务,让一些偷来的物品可以换成现金。这类服务通常透过金融卡、比特币 (BTC) 或直接转帐来付款。
该区销赃服务较为特殊的一点是歹徒会用来避开一些安全机制与当地法规,例如避开购买手机和抛弃式 SIM 卡的管制。在中东与北非地下市场上,骇客激进份子或犯罪集团会购买 DDoS 服务来达成其意识形态的目的。
私人机构和公家机关经常成为他们的攻击目标,但这类服务并不如一般想像地普遍,因此物以稀为贵,其平均价格为每小时 45 美元,三小时方案要价 275 美元。最常使用的工具是Low Orbit Ion Cannon (LOIC) 或 LizardStresser。
恶意程式服务 (Malware as a Service,简称 MaaS) 通常是由一位供给者或恶意程式开发者所贩售,内容包括一个二进位档案,或是一个二进位档案搭配一个程式产生器,并且宣称完全无法被侦测 (fully undetectable ,FUD)。平均价格为一个二进位档案 20 美元,一个二进位档案加上幕后操纵 (C&C) 基础架构 30 至 110 美元,二进位程式产生器套装价格约 150 至 400 美元。
该区充斥各种伪造身分文件。埃及的阿拉伯文地下市场 hack-int 所贩卖的伪造身分文件要价 18 美元。这股个人身分文件的大量需求,主要源自该区的政治紧张情势。例如,为了逃离战乱区域,有人需要这类假身分来潜逃至其他国家当难民。另一方面,网路犯罪集团也可能购买伪造文件来从事保险诈骗,或者冒充某国居民。其可能引发的严重问题是,危险人物可以利用这类伪造文件来假冒难民潜逃至其他国家。
虚拟私人网路 (Virtual Private Networks ,VPN) 是该区网路犯罪活动的主要支柱,由于不易被追查因此大行其道。此区贩售的 VPN 皆宣称保证安全、绝不留下记录且经过多次转跳。网路犯罪集团经常使用这些伺服器来架设殭尸网路,或者当成进一步攻击的跳板。
趋势科技在这份研究当中所定义的中东与北非地下市场,涵盖了该地区的市集、网站及网路论坛。阿拉伯文为该区主要语言,尽管某些网站提供了土耳其文、波斯文及英文,偶尔也有法文。不论是对中东与北非地区贩售商品或从该区对外贩售的犯罪集团,其活动通常也遍及全球。完整报告请参考https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/the-middle-eastern-and-north-african-underground-where-culture-and-cybercrime-meet
