俄罗斯政府利用黑客工具对乌克兰进行了 targeted 侦察

评论 · 8 浏览

研究人员表示,一个与联邦安全局(FSB)有关的黑客组织使用了另一网络犯罪团伙开发的工具,针对乌克兰军队和边境警卫进行攻击。

根据最新研究,一个得到俄罗斯政府支持的黑客组织利用了网络罪犯开发的工具和基础设施,针对乌克兰军队发起了攻击。

周三,微软发布了一份报告,详细描述了一个名为“秘密风暴”的黑客组织的攻击行动。

美国网络安全与基础设施安全局(CISA)此前表示,“秘密风暴”是俄罗斯联邦安全局(FSB)中心16的一个已知单位,而其他安全公司则称其为Turla。

微软的研究人员在报告中指出,“秘密风暴”使用了一种名为Amadey的僵尸网络,该僵尸网络据称在俄罗斯黑客论坛上出售,并由一个网络罪犯集团开发。

研究人员称,“秘密风暴”在今年3月至4月期间试图入侵与乌克兰军队相关的设备。

尽管承认仍在调查“秘密风暴”是如何获取Amadey访问权限的,但微软认为该黑客组织要么通过购买作为恶意软件即服务的方式使用了僵尸网络,要么直接对其进行了攻击。

据报告称,“秘密风暴”使用第三方的立足点——无论是偷偷窃取还是购买访问权限——作为具体且有目的的方法来建立具有情报价值的立足点。

Amadey僵尸网络就是其中之一。

一名黑客的目标之一是躲避检测。

微软威胁情报策略总监舍罗德·德格里波在接受TechCrunch采访时说,“使用现成工具可以让威胁行为者隐藏其起源并使归因更加困难。

Amadey僵尸网络通常被网络罪犯用来安装加密货币挖矿软件。

微软表示,德格里波认为Amadey背后的黑客与“秘密风暴”背后的黑客是不同的。

德格里波告诉TechCrunch,“秘密风暴”此次针对了与乌克兰陆军和乌克兰边境警卫队相关的计算机。

微软表示,这些最近的网络攻击至少是自2022年以来“秘密风暴”第二次使用网络犯罪活动为自己的恶意软件在乌克兰建立立足点。

根据微软的报告,“秘密风暴”已知会将目标锁定在全球范围内的“外交部、大使馆、政府机构、国防部门和相关公司”,重点是长期的情报收集和间谍活动。

在这次行动中,微软分析的“秘密风暴”恶意软件样本旨在收集受害者的系统信息——例如设备名称以及是否安装了任何防病毒软件——作为部署其他恶意软件和工具的第一步。

根据微软的研究人员的说法,“秘密风暴”部署这种恶意软件是为了确定目标是否进一步引起关注。

例如,“秘密风暴”针对了使用SpaceX卫星服务Starlink的设备,而乌克兰军队已将其用于对抗入侵俄罗斯军队的作战行动。

德格里波表示,该公司相信这是“秘密风暴”发起此次攻击的一部分原因在于黑客使用了名为Tavdig和KazuarV2的定制后门工具,“从未被其他组织使用过”。

上周,微软和安全公司Black Lotus Lab发布了报告,显示自2022年以来,“秘密风暴”利用另一个国家黑客组织的工具和基础设施进行间谍活动。

根据两家公司的研究,在这种情况下,“秘密风暴”利用了一个巴基斯坦基于的黑客组织对阿富汗和印度军事及情报目标进行了攻击。

当时,微软指出,“秘密风暴”自2017年以来一直在利用这种技术——即利用其他黑客工具和基础设施——在涉及伊朗政府黑客和其他哈萨克斯坦黑客组织的情况下也是如此。

美国华盛顿特区俄罗斯大使馆及FSB未对此事发表评论。

更正:本文于12月11日更新以纠正CISA报告链接。

评论