當俄羅斯軍事情報總局的網路特工(Glavnoyé Razvédyvatel'noyé Oupravléniyé,GRU)採取行動,但他們並不總是做得對。最近留下印記的行動之一是去年四月在海牙發生的一次令人難以置信的越軌行為。一個由四名特工組成的小組乘飛機抵達,均持有外交護照,試圖侵入禁止化學武器組織(OPCW)的電腦網路。
為此,我們的駭客租了一輛雪鐵龍 C3,並在後行李箱裡塞滿了 IT 設備:伺服器、逆變器、隱藏在黑色外套下的扁平天線、筆記型電腦和各種智慧型手機。然後他們把車停在國際組織附近。行動目標:透過強制存取無線路由器來滲透其內部網絡,並可能恢復涉及俄羅斯事務的資訊。事實上,禁化武組織內部正在處理兩份文件:前俄羅斯特工謝爾蓋·斯克里帕爾在倫敦與諾維喬克一起企圖投毒,以及敘利亞杜馬的化學攻擊。
但這四名特工無法完成任務,因為他們被荷蘭特勤局逮捕,並被帶回邊境。不得不說,這次操作確實不謹慎。所有技術細節以及代理商名稱均於去年 10 月的一次會議上披露。新聞發布會,給克里姆林宮帶來了極大的恥辱。
然而,GRU 特工明天不太可能變得更加謹慎。在網路空間中,俄羅斯軍隊駭客被稱為“白狼”,他們幾乎不加掩飾地前進。美國和英國政府多次將它們與 APT28 組織(也稱為 Fancy Bear、Sofacy 或 Sednit)正式聯繫起來。「這是一個非常活躍的全州團體,並且已經存在很長時間了。他精心保管他的黑客工具並讓它們不斷發展”卡巴斯基實驗室安全研究員 Christian Funk 解釋。
APT28 的行動目標各異,但每次都引起轟動。 2015 年,該組織出於間諜目的滲透了德國議會 (Bundestag) 的電腦網路數月。基礎設施遭到嚴重破壞,必須完全重建。成本:140萬歐元。同年,俄羅斯駭客破壞了國際法語頻道TV5世界,冒充達伊沙極端分子。鑑於法國在幾個月前(即 2015 年 1 月)成為恐怖攻擊的目標,這是一項特別有害和侮辱性的行動。卡澤納夫、法比尤斯和佩勒林在視聽頻道的床邊,這是當時公眾輿論中極度緊張的跡象。
可以說,另一個傑作是駭客入侵美國民主黨的管理機構民主黨全國委員會(DNC)的電子郵件箱。這項行動發生在 2016 年總統競選期間,各國政府也將正式歸咎於格魯烏美國人等英國人。其目的是破壞候選人希拉蕊·柯林頓的穩定。“這些被盜的電子郵件透過 Guccifer 2.0、DCLeaks 和 WikiLeaks 網站傳播,揭示了民主黨全國委員會的內部鬥爭或希拉里·克林頓向捐助者發表的演講,為政治記者提供了天賜之物””,大衛·E·辛格 (David E. Singer) 在他的調查書中解釋道《完美武器》。這次行動取得了全面成功。
顯然,格魯烏在烏克蘭也非常活躍。去年2月,英國政府正式分配的看到這真是太可怕了諾特佩蒂亞俄羅斯軍隊駭客。這種假勒索軟體於 2017 年 6 月閃電般傳播,摧毀了數十家在烏克蘭營運的公司的 IT 基礎設施,其中包括聖戈班,尤其是馬士基。
然後,去年十月,英國政府還已連接GRU 對 BlackEnergy 和 Sandstorm 組織的攻擊做出了回應,這一訊息令一些專家感到驚訝。 “迄今為止,我們在 Sandstorm/BlackEnergy 和 APT28 之間沒有技術聯繫”Eset 安全研究員 Alexis Dorais-Joncas 解釋。因此,該資訊可能來自女王陛下的特勤局。
不管怎樣,它都很重。 2015年,BlackEnergy駭客進行了第一次工業破壞在公共領域,使超過一百萬烏克蘭人陷入黑暗。他們有幸在 2016 年再次使用惡意軟體這樣做工業家。同時,他們繼續透過 Eset 研究人員稱之為的控制論武器庫監視工業基礎設施葛瑞能源它繼承了 BlackEnergy 惡意軟體。
間諜活動、破壞活動、資訊戰……這種戰略多功能性也體現在戰術和技術層面。俄羅斯軍隊的駭客並不是世界上最好的,但他們使用的工具相當廣泛。“如果我們必須將他們的技術水平與其他國家集團的技術水平進行比較,我會給他們 7 分(從 1 到 10),”亞歷克西斯·多萊斯-瓊卡斯相信。最好的分數顯然會給予著名的樂隊方程式,卡巴斯基實驗室於 2015 年檢測到該病毒,並歸咎於 NSA。
APT28 駭客正在全力以赴。為了滲透對手的網絡,他們會毫不猶豫地使用諸如誘殺電子郵件之類的平庸技術。但他們也擁有先進的工具可供使用。最近,Eset 研究人員透露洛賈克斯,一個 UEFI Rootkit,可讓您持續感染 Windows 系統。對於 DNC 駭客攻擊,他們結合了多個後門(XAgent、Sedreco)和通訊中繼(XTunnel)。這些工具非常模組化,證明 GRU 駭客在軟體工程方面擁有紮實的知識。
另一方面,營運安全似乎並不總是他們的首要任務。 APT28 是安全研究人員記錄最多的組織之一,因為他們留下了許多痕跡。「他們很容易遵循,因為他們經常重複使用相同的工具和基礎設施。他們的行動方式相當機會主義,並根據目標調整策略。過去,他們不惜將兩個零日漏洞整合到同一個Word文件中,這是相當昂貴的””,亞歷克西斯·多萊斯-瓊卡斯繼續說道。
風險、保密和衝擊的文化
從這群駭客身上可以看出,這是一個務實運作、不太謹慎的組織,明顯傾向於採取強硬的行動。這種做事方式最終非常適合 GRU,該機構成立於 1918 年,以其殘暴和不遵守標準做法而聞名。試圖毒害謝爾蓋·斯克里帕爾(Sergei Skripal),並在倫敦引起真正的精神錯亂,正是格魯烏(GRU)的行動。在被指認並面對他們的行為證據後,特工們並沒有留下深刻的印象。他們只是笑而不語地說,他們在英國首都度過了幾天假期。
「綠衣小人」全副武裝但沒有佩戴任何徽章,入侵克里米亞也是格魯烏的一項行動,更準確地說是其特種部隊旅的一項行動。這些特種部隊創建於 20 世紀 50 年代,專門從事破壞活動、消滅敵方領導人、奪取戰略目標、偵察等任務。對烏克蘭的入侵令整個國際社會措手不及,今天被認為是「混合戰爭」的典型例子,即混合了多種發動戰爭方式(常規戰爭、資訊戰爭、非常規戰爭等)的戰爭。
有了這樣的同事,駭客採取某種相同的行為也就不足為奇了。這是一個「企業文化」的問題。“基於冒險、侵略和秘密幹預的長期傳統,GRU 採取了許多行動來強有力地表達其網絡力量”,政治學研究員 Alexander Klimburg 在他的書中總結道《黑暗之網:網路空間之戰》。
換句話說,俄羅斯軍事駭客的目標之一就是展現實力並公開維護俄羅斯的網路力量。這最終是該國網路力量中相當獨特的定位。因此,未來我們很可能會繼續聽到更多有關 GRU 行動的信息,而不是 FSB 或 SVR 的行動。這兩個組織繼承了著名的克格勃,使用更謹慎的策略。
