《快报》刚刚抛出了一个小重磅炸弹。根据该杂志的信息,正在进行调查的调查人员TV5 Monde 被黑客攻击现在会打赌在俄罗斯轨道上而不是伊斯兰主义者。机密元素——尤其是黑客使用的恶意软件的痕迹——宁愿指向 FireEye 公司称为 APT28 的组织……并且该组织与俄罗斯权力直接相关。几个月前我们在下面的文章中提到了这个著名的团体。
文章发表于2014年10月28日
俄罗斯政府黑客如何监视欧洲
各部委、国际组织、记者、国防制造商……俄罗斯网络雇佣兵使用特别复杂的工具攻击具有战略利益的目标。
他们以极其有针对性的方式工作。他们一丝不苟,组织严密。最重要的是,非常谨慎。计算机安全公司 FireEye 刚刚发布了一份关于名为“APT28”的黑客组织的报告,该组织认为该组织是俄罗斯政府网络间谍活动的先锋之一。这些网络雇佣兵至少从 2007 年开始活跃,在对普京帝国具有战略重要性的地区活动。
例如,FireEye 侦探观察到对格鲁吉亚国防部和内政部以及保加利亚、匈牙利或波兰等一系列东欧国家政府服务机构的技术上类似的攻击。他们还以记者和北约或经合组织等国际组织为目标,并试图诱骗范堡罗航展、欧洲海军、欧洲航天或反恐博览会等军事主题展览的参与者。
此外,通过分析拦截的恶意代码,安全研究人员指出,APT28 的软件库的开发是在俄语环境中以非常有条理的方式进行的,有时与莫斯科时区兼容。因此,所有这些因素导致 FireEye 在这些动作中看到了一只手“政府赞助商——更具体地说是位于莫斯科的政府”,我们可以在报告中看到。
引诱人们陷入陷阱
从技术上讲,这些攻击非常复杂。为了感染目标人群的计算机设备,黑客会部署诱饵,通常是虚假网站或虚假电子邮件。它们是非常先进的社会工程的结果,并且总是量身定制的:公务员收到虚假文件或服务信息,记者收到虚假的合作建议,实业家收到虚假的会议邀请,等等。
当陷阱起作用时,一个无情的机制就会启动。安装了“下载器”恶意软件。名为 Sourface,它将下载实际的间谍工具,即 Eviltoss 和 Chopstick。第一个是后门,允许访问系统、窃取凭据和执行 shell 命令行。第二种是网络间谍活动的瑞士军刀。模块化设计,可以轻松适应目标环境。它可以记录键盘输入、截屏、扫描文件系统、执行shell命令等。
然后收集到的数据通过RSA算法加密,然后以不同的方式渗透到外部服务器。通常,Chopstick 会使用为此场合创建的虚假地址,以普通电子邮件流量的形式伪装此数据传输。但它也能够提取未连接到互联网或仅在专用网络上的系统上的数据,例如通过共享文件夹或 USB 记忆棒。
最后,为了避免暴露自己的技术,黑客甚至考虑过集成一定数量的反逆向工程机制。恶意软件能够检测它是否在扫描环境中运行,如果是,它就会进入睡眠状态。他们的代码还通过错误命令进行了加厚,使安全研究人员的检查工作变得更加复杂。简而言之,这是一份真正专业的工作。
以下是 FireEye 的报告:
另请阅读:
《Uroburos》:俄罗斯制造的间谍软件!,于 10/03/2014
俄罗斯黑客利用Windows漏洞监视欧盟,于 14/10/2014
