就在上周,FireEye公司发布了最新的威胁情报报告《APT28: At The Center for The Storm(APT28:位于风暴中心)》。FireEye在报告中认定著名的APT28组织就是俄罗斯政府支持的黑客组织,剖析以俄罗斯政府为背景的网络黑客行动。 有关《APT28:位于风暴中心》报告2017年1月6日,美国国家情报总监发布了《评估近期美国大选中俄罗斯的活动与意图》报告。问题围绕的就是俄罗斯在美国大选期间扮演了什么角色。俄罗斯政府是否直接支持了导致数据泄露和网络攻击的黑客组织?如果是这样,那么这次行动是否仅是普通的国家间谍行动,或者是否已经突破底限?针对美国DNC(民主党全国委员会)的网络攻击,是否就是俄罗斯政府干涉美国总统大选的一部分? 最重要的问题仍未解答:俄罗斯会采取怎样的一系列方法(包括网络攻击和数据泄露)来隐藏俄罗斯有关机构、攻击者的攻击目标和目的?FireEye针对APT28组织的行动进行了深入研究。在FireEye看来,APT28就是俄罗斯政府幕后支持的黑客组织。 这份报告对俄罗斯政府的部分目标、行动目的和持续扩展的行动本身进行了剖析。FireEye通过多重调查、针对端点和网络的侦测,以及持续的监控,来对APT28组织进行追踪和画像。FireEye认为APT28的行动可以至少追溯到2007年,这有助于了解这家组织所用的恶意程序,及其行动变化和动机。 欲下载这份报告可以点击这里进行申请。 从奥林匹克运动会到美国总统大选从FireEye的这份报告来看,在过去两年中,俄罗斯都在持续利用APT28进行各种活动——应用更广泛的军事政策。在入侵一家受害机构之后,APT28会窃取其内部数据,这些数据随后会根据俄罗斯利益用于进一步的政治用途。 到目前为止,APT掺和的事件包括了叙利亚冲突、北约-乌克兰相关事件、欧盟难民与移民危机,2016奥林匹克运动会和残奥会俄罗斯运动会的兴奋剂丑闻等等。当然最著名的自然就是2016年的美国总统大选了。 报告对APT28组织的目标进行了详述,另外还有相关该组织的黑客工具开发和使用,以及APT28用于攻击的策略等等。 比如说APT28的攻击目标,如上图所示。APT28对于国外政府和军队尤其感兴趣,主要包括西欧和东欧的一些国家,也有区域性的安全组织——如北约、欧洲安全与合作组织等。上面这张表列出的是其近期活动的部分目标。 此外,APT28的网络活动也倾向于支持各种所谓的“信息战”,用于干涉国外内政。比如说打着其他黑客角色的虚假旗号来搞网站破坏和数据窃取。这些活动的目的无一例外都是对俄罗斯的“政治输出”产生利益。下面这张表列举了FireEye iSIGHT威胁情报观察到的一些受害者,追本溯源都可以关系到APT28组织。 如果你一直有关注FreeBuf的安全快讯应该会对其中的很多事件有所了解。比如说去年9月份,WADA(世界反兴奋剂组织)确认APT28入侵其网络,获取了运动员的医疗数据。而实际上在WADA确认这一消息的前一天,Fancy Bears黑客团队宣称入侵WADA,发布有关美国运动员复用兴奋剂的证据医疗记录。 这份报告的其中一个章节《From Olympic Slight to Data Leak》详述了FireEye对于APT28在WADA世界反兴奋剂组织数据泄露事件中扮演的角色调查。从2015年WADA的报告文档展示俄罗斯运动员广泛摄入兴奋剂的证据开始一直到去年9月份WADA数据泄露事件。 APT28组织的工具、策略和行动变化这份报告中,FireEye也详述了APT28组织所用的各种工具,比如说用于持续作战的恶意程序套装,还有其对掌握出色技术开发者资源的追逐。APT28所用工具集的关键词包括了:
下面这张图就是APT28所用的一些恶意程序套装: 如上所述,其模块化框架令APT28能够持续在其中包含更多的工具套装,重新定义攻击策略——让自身不会暴露在公众视野中。在攻击策略的变更方面,APT28的行为包括了:
而在安全策略方面,FireEye提到APT28在对目标进行攻击的时候依赖于4个关键策略,包括发送鱼叉式钓鱼邮件,部署恶意程序等(或包含恶意URL来获取收件者的邮件凭证)。APT28还会对合法网站投放恶意程序,感染网站访问者。其主要策略如下图所示: 不过不知你是否也能够从FireEye的这份报告中看出那么一丝政治意向,以及考虑FireEye的投资背景。尤其关于其中WADA的分析,或许比我们这些常人想象得更为复杂。点击这里申请阅读完整报告。 * 参考来源:FireEye,本文作者:欧阳洋葱 & cxt |