间谍行动无止尽：俄罗斯APT小组利用Android木马追踪乌克兰炮兵部队 ...

俄罗斯APT小组Fancy Bear又搞了个大新闻。根据网络安全公司CrowdStrike的调查，Fancy Bear小组的成员从2014年底到2016年利用Android恶意软件跟踪乌克兰炮兵部队。

屡屡见诸报端的APT小组

Fancy Bear又名APT 28, Pawn Storm, Sednit, Sofacy。近几年来，这个APT以各种身份出现在各种攻击事件中：

2015年8月，电子前哨基金会声称遭到了Fancy Bear的钓鱼攻击。

今年6月，Pawn Storm被发现攻击4000个Google账户。

今年9月，Palo Alto的研究人员发现Fancy Bear小组使用Mac恶意软件对航空行业发起攻击。

而在今年的美国大选期间，该组织还攻击了民主党基金会，泄露了大批文件，影响了美国大选。

此次攻击中，黑客编写恶意程序用于跟踪乌克兰炮兵部队的地理位置并监听通信。这些情报很可能被乌克兰东部的亲俄派武装力量用来发动攻击。

调查经过

2016年夏季，CrowdStrike公司的研究人员们开始调查‘Попр-Д30.apk’ (MD5: 6f7523d3019fa190499f327211e01fcb)的可疑安装包。

“从2014年末到2016年，FANCY BEAR在某个正规的Android程序中植入X-Agent，然后在乌克兰的军事论坛上传播，这款程序由炮兵军官Yaroslav Sherstuk开发。” Crowdstrike的报告中提到，“这款程序的功能是让乌克兰的炮兵部队更快地处理前苏联时期的D-30 榴弹炮的瞄准数据。使用了这款应用后，部队的瞄准时间从几分钟减少到几秒钟。根据媒体的采访，超过9000名炮兵使用了这款应用。”

Crowdstrike还公布了以下Snort规则，这些规则能够匹配X-Agent-Android C2 beacon请求：

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (\
msg: “CrowdStrike FANCY BEAR X-Agent Android C2 Request”; \
flow: established,to_server; \
content: “lm=”; http_uri; \
pcre: “/^\/(watch|search|find|results|open|close)\/\?/U”; \
pcre: “/[\?\&](text|from|ags|oe|aq|btnG|oprnd)=/U”; \
classtype: trojan-activity; metadata: service http; \
sid: XXXX; rev: 20160815;)

由于这款应用并没有在Google官方的应用商店上架，炮兵们不得不从各种其他渠道下载应用，这就导致经过Fancy Bear修改的恶意应用能够轻易传播。

攻击效果显著

根据报道中所引用的数据，乌克兰炮兵在近两年的冲突中损失了超过50%的武器，损失的D-30榴弹炮超过80%。在乌克兰所有部队中，这是损失最多的一支。

如果报告的分析准确，那就意味着克林姆林宫运用黑客攻击再一次影响了外国政府的内部事务。很多专家们认为，Fancy Bear黑客小组隶属俄罗斯联邦军队总参谋部情报管理总局格勒乌（GRU），近些年来的目标也多数能够反映出俄罗斯的地缘政治利益。

尽管俄罗斯反复否认，但美国政府始终声称俄罗斯的黑客影响了美国大选，进而导致特朗普的意外当选。而此次针对乌克兰炮兵的攻击事件中所使用的恶意代码与美国民主党全国委员会攻击事件中的代码有很多共同点。

*参考来源：SecurityAffairs & Softpedia，本文作者：Sphinx