实际上,就已经结束的美国总统大选,美国政府认定俄罗斯就是在大选期间进行网络攻击、干涉美国大选,甚至让大选结果倾向于川普的幕后真凶——这是去年年末fbi和dhs联合发布的jar报告所述。最近,这件事的发展可谓异彩纷呈。
freebuf的安全快讯对此做了多次追踪报道:本月早前odni(美国国家情报主任办公室)发布《针对近期美国大选中俄罗斯活动与意图的评估》报告,直指针对美国大选进行干涉的黑客行动就是普京“下令”发动的。
上周cnn报道称,美国一份机密报告再曝大量爆炸性消息:俄罗斯黑客手持有相关川普的敏感信息,包括川普的个人财务甚至私生活信息。这则消息已经于上周呈给川普,据说川普在看过之后甚至转变态度,认为俄罗斯的确可能在美国大选期间的网络攻击中扮演了重要角色。
就在上周,fireeye公司发布了最新的威胁情报报告《apt28: at the center for the storm(apt28:位于风暴中心)》。fireeye在报告中认定著名的apt28组织就是俄罗斯政府支持的黑客组织,剖析以俄罗斯政府为背景的网络黑客行动。
有关《apt28:位于风暴中心》报告
2017年1月6日,美国国家情报总监发布了《评估近期美国大选中俄罗斯的活动与意图》报告。问题围绕的就是俄罗斯在美国大选期间扮演了什么角色。俄罗斯政府是否直接支持了导致数据泄露和网络攻击的黑客组织?如果是这样,那么这次行动是否仅是普通的国家间谍行动,或者是否已经突破底限?针对美国dnc(民主党全国委员会)的网络攻击,是否就是俄罗斯政府干涉美国总统大选的一部分?
最重要的问题仍未解答:俄罗斯会采取怎样的一系列方法(包括网络攻击和数据泄露)来隐藏俄罗斯有关机构、攻击者的攻击目标和目的?fireeye针对apt28组织的行动进行了深入研究。在fireeye看来,apt28就是俄罗斯政府幕后支持的黑客组织。
这份报告对俄罗斯政府的部分目标、行动目的和持续扩展的行动本身进行了剖析。fireeye通过多重调查、针对端点和网络的侦测,以及持续的监控,来对apt28组织进行追踪和画像。fireeye认为apt28的行动可以至少追溯到2007年,这有助于了解这家组织所用的恶意程序,及其行动变化和动机。
欲下载这份报告可以进行申请。
从奥林匹克运动会到美国总统大选
从fireeye的这份报告来看,在过去两年中,俄罗斯都在持续利用apt28进行各种活动——应用更广泛的军事政策。在入侵一家受害机构之后,apt28会窃取其内部数据,这些数据随后会根据俄罗斯利益用于进一步的政治用途。
到目前为止,apt掺和的事件包括了叙利亚冲突、北约-乌克兰相关事件、欧盟难民与移民危机,2016奥林匹克运动会和残奥会俄罗斯运动会的兴奋剂丑闻等等。当然最著名的自然就是2016年的美国总统大选了。
报告对apt28组织的目标进行了详述,另外还有相关该组织的黑客工具开发和使用,以及apt28用于攻击的策略等等。
比如说apt28的攻击目标,如上图所示。apt28对于国外政府和军队尤其感兴趣,主要包括西欧和东欧的一些国家,也有区域性的安全组织——如北约、欧洲安全与合作组织等。上面这张表列出的是其近期活动的部分目标。
此外,apt28的网络活动也倾向于支持各种所谓的“信息战”,用于干涉国外内政。比如说打着其他黑客角色的虚假旗号来搞网站破坏和数据窃取。这些活动的目的无一例外都是对俄罗斯的“政治输出”产生利益。下面这张表列举了fireeye isight威胁情报观察到的一些受害者,追本溯源都可以关系到apt28组织。
如果你一直有关注freebuf的安全快讯应该会对其中的很多事件有所了解。比如说去年9月份,wada(世界反兴奋剂组织)确认apt28入侵其网络,获取了运动员的医疗数据。而实际上在wada确认这一消息的前一天,fancy bears黑客团队宣称入侵wada,发布有关美国运动员复用兴奋剂的证据医疗记录。
这份报告的其中一个章节《from olympic slight to data leak》详述了fireeye对于apt28在wada世界反兴奋剂组织数据泄露事件中扮演的角色调查。从2015年wada的报告文档展示俄罗斯运动员广泛摄入兴奋剂的证据开始一直到去年9月份wada数据泄露事件。
apt28组织的工具、策略和行动变化
这份报告中,fireeye也详述了apt28组织所用的各种工具,比如说用于持续作战的恶意程序套装,还有其对掌握出色技术开发者资源的追逐。apt28所用工具集的关键词包括了:
- 具弹性的模块化框架,可让apt28黑客组织持续往其中加入新工具——而且是至少从2007年就开始的;
- 正规编码环境的采用,在这种环境下开发工具,可让组织在后门中构建部署定制化模块;
- 反向分析能力的融合,包括runtime检查以确认分析环境,运行时解压混淆字符、从未使用的机器指令融合降低分析速度;
- 在莫斯科时区内的正常工作日、俄语编译环境下编译的代码。
下面这张图就是apt28所用的一些恶意程序套装:
如上所述,其模块化框架令apt28能够持续在其中包含更多的工具套装,重新定义攻击策略——让自身不会暴露在公众视野中。在攻击策略的变更方面,apt28的行为包括了:
- 采用0day漏洞:主要是包含在flash、java和windows中的0day漏洞,比如cve-2015-1701,cve-2015-2424,cve-2015-2590、cve-2015-3043等等;
- 采用分析脚本,有选择性地部署0day和其他工具,减少安全研究人员了解其工具的机会;
- 增加对公共代码库的依赖,比如说carberp、powershell empire、p.a.s webshell、meteasploit模块等,以期加速开发周期;
- 通过构建的谷歌app身份认证和oauth访问来获取身份凭证,可让apt28绕过双重身份认证和其他安全策略。
而在安全策略方面,fireeye提到apt28在对目标进行攻击的时候依赖于4个关键策略,包括发送鱼叉式钓鱼邮件,部署恶意程序等(或包含恶意url来获取收件者的邮件凭证)。apt28还会对合法网站投放恶意程序,感染网站访问者。其主要策略如下图所示:
不过不知你是否也能够从fireeye的这份报告中看出那么一丝政治意向,以及考虑fireeye的投资背景。尤其关于其中wada的分析,或许比我们这些常人想象得更为复杂。申请阅读完整报告。
试用申请