俄罗斯APT小组Fancy Bear又搞了个大新闻。根据网络安全公司CrowdStrike的调查,Fancy Bear小组的成员从2014年底到2016年利用Android恶意软件跟踪乌克兰炮兵部队。 屡屡见诸报端的APT小组Fancy Bear又名APT 28, Pawn Storm, Sednit, Sofacy。近几年来,这个APT以各种身份出现在各种攻击事件中:
而在今年的美国大选期间,该组织还攻击了民主党基金会,泄露了大批文件,影响了美国大选。 此次攻击中,黑客编写恶意程序用于跟踪乌克兰炮兵部队的地理位置并监听通信。这些情报很可能被乌克兰东部的亲俄派武装力量用来发动攻击。 调查经过2016年夏季,CrowdStrike公司的研究人员们开始调查‘Попр-Д30.apk’ (MD5: 6f7523d3019fa190499f327211e01fcb)的可疑安装包。
Crowdstrike还公布了以下Snort规则,这些规则能够匹配X-Agent-Android C2 beacon请求:
由于这款应用并没有在Google官方的应用商店上架,炮兵们不得不从各种其他渠道下载应用,这就导致经过Fancy Bear修改的恶意应用能够轻易传播。 攻击效果显著根据报道中所引用的数据,乌克兰炮兵在近两年的冲突中损失了超过50%的武器,损失的D-30榴弹炮超过80%。在乌克兰所有部队中,这是损失最多的一支。 如果报告的分析准确,那就意味着克林姆林宫运用黑客攻击再一次影响了外国政府的内部事务。很多专家们认为,Fancy Bear黑客小组隶属俄罗斯联邦军队总参谋部情报管理总局格勒乌(GRU),近些年来的目标也多数能够反映出俄罗斯的地缘政治利益。 尽管俄罗斯反复否认,但美国政府始终声称俄罗斯的黑客影响了美国大选,进而导致特朗普的意外当选。而此次针对乌克兰炮兵的攻击事件中所使用的恶意代码与美国民主党全国委员会攻击事件中的代码有很多共同点。 *参考来源:SecurityAffairs & Softpedia,本文作者:Sphinx |