俄罗斯黑客组织针对乌克兰的网络攻击
文章重点
- 俄罗斯黑客组织Shuckworm(或称Gamaredon)最近对乌克兰的安全服务、军队和政府机构发动了多次网络攻击。
- 黑客们长时间潜伏在乌克兰系统中,试图窃取战争情报。
- 近年来,该组织的攻击策略已经从破坏性攻击转向长期间谍活动。
- 最新的攻击利用Telegram等平台作为指挥和控制基础设施,新的恶意软件Pterodo也被 deployed。
在过去的几个月里,针对乌克兰的俄罗斯黑客组织Shuckworm(又名Gamaredon)发起了多次针对该国安全服务、军事和政府机构的网络攻击,这些攻击形成了一场缓慢渗透的间谍活动。根据Symantec于周四发布的,该威胁参与者已经在乌克兰系统中潜伏数月,以窃取战争情报。
Symantec的研究指出:“在某些情况下,俄罗斯组织成功地进行了长达三个月的持续渗透。”攻击者多次试图访问并盗取敏感信息,例如关于乌克兰军人死亡的报告、敌方交战和空袭的报告、武器库存报告、训练报告等。
据Symantec称,最近的攻击始于二月和三月,Gamaredon甚至在五月份还保持对一些受害者设备的访问。他们的目标是那些“文件名称显示为敏感军事信息”的设备。
Symantec表示:“在一些组织中,有迹象表明攻击者已经进入人力资源部门的计算机,这表明与各个组织内部个体相关的信息是攻击者的优先目标。”
自战争开始以来,美国官员曾,俄罗斯黑客组织对乌克兰实施了“大量”网络攻击。早期的攻击行动主要集中在施加破坏性效果,例如部署清除性恶意软件以及试图干扰或破坏为乌克兰政府和军事提供关键或战略服务的高价值目标,如ViaSat。
清除性攻击并没有消失。最近观察到的俄罗斯APT组织Sandworm在一月份再次出动,在乌克兰部署了新变种的恶意软件。同时,微软本周将归因于一个与俄罗斯武装部队总参谋部(GRU)有关的新识别黑客组织。
在战事初期,这种破坏性攻击对乌克兰军事行动的影响,这使得莫斯科的战略出现变化。网络攻击的数量明显减少,美国一些国家安全观察者推测,俄罗斯在早期可能过度使用了其手头的漏洞利用工具,认为战争将会很快结束。在短暂的平息之后,攻击活动再次增加,但这次大部分黑客活动被重新指向能够为俄罗斯军队提供战争情报的组织和资产。
然而,Gamaredon并不是一个新兴的团队;自2014年以来,该组织一直聚焦于乌克兰。尽管他们一直依赖社会工程和钓鱼攻击等传统方法来获取初始访问权限,但他们通过不断更换黑客工具和基础设施,保持了相对的相关性。
在一月份,黑莓的研究和情报团队称,该组织利用Telegram账户作为指挥和控制基础设施,以配置受害者并引导他们访问恶意软件分发服务器。Symantec对此活动进行了验证,并补充道,近年来该组织已开始利用Telegram的微型博客平台Telegraph来存储指挥控制地址。
该组织还被发现使用一种新的PowerShell脚本通过定制恶意软件感染设备——称为Pterodo。Pterodo会
