随着俄罗斯与乌克兰战局的继续,黑客团队正在选边站队,对对方的支持者发出禁令和威胁。本周,数据库共享和市场Raidforums的管理员宣布将关闭从俄罗斯连接的用户,明确表达了他们反对克里姆林宫行动的立场。25日早些时候,Conti勒索软件组织表示“全力支持俄罗斯政府”,并威胁要对任何反对俄罗斯的人发起网络攻击。早先也有报道称,全球知名的匿名者黑客组织对俄罗斯宣战。
黑客反应
黑客,无论是否有国家支持,已经发起了网络攻击,其中大多数针对乌克兰目标,俄罗斯的一些目标也受到攻击。随着俄罗斯军事行动的继续,黑客社区开始更多地参与并表达他们在冲突中的立场。
遵循美国和欧盟的政治模式,Raidforums24日发布通知称,它将通过禁止任何从俄罗斯连接的用户来实施自己的制裁。
Raidforums社区的一名成员发布了一条更加粗暴的消息,作为对“俄罗斯人”的警告。该用户为俄罗斯主要安全机构联邦安全局(FSB)的FSB.ru域发布了一个包含电子邮件和散列口令的数据库。
在论坛上共享的作为出处证明的样本数据中,有FSB各地区办事处(董事)的电子邮件地址。
同一用户之前曾在美国发布过类似的.mil域名的美军数据库。
而有白俄罗斯背景的UNC1151黑客组织已经向乌克兰士兵发起了钓鱼攻击。乌克兰官员25日警告说,白俄罗斯黑客正在发送一波针对乌克兰士兵和平民的网络钓鱼电子邮件。“最近观察到针对乌克兰军事人员和相关个人的私人‘i.ua’和‘meta.ua’账户的大量网络钓鱼电子邮件,”乌克兰计算机应急响应小组25日在Facebook帖子中写道。这两个URL 都属于乌克兰的电子邮件服务。CERT表示,一旦帐户遭到入侵,黑客就可以访问目标的消息及其联系方式,从而允许他们向其联系人发送额外的网络钓鱼电子邮件。
勒索软件团伙也不甘示弱
25日,Conti勒索软件团伙发出警告,称他们将利用所有资源“反击敌人的关键基础设施”来应对针对俄罗斯的网络活动。
大约一个小时后,该团伙改变了他们的信息,称他们“不与任何政府结盟,我们谴责正在进行的战争”,但将回应西方对俄罗斯关键基础设施的网络攻击。
Conti是工业领域最活跃的勒索软件参与者之一,去年负责破坏63家运营工业控制系统(ICS) 的公司,其中大部分在制造业。Conti还控制BazarBackdoor,这是由TrickBot团伙开发的隐秘恶意软件,用于破坏高价值目标。
2021年5月FBI曾警告说,Conti在去年参与了至少16次针对美国医疗保健和急救网络的勒索软件攻击。联邦调查局警告是在Conti勒索软件被用来攻击爱尔兰的卫生服务执行机构之后发出的,这导致一些医疗程序被取消,一个COVID-19疫苗门户网站关闭——最终可能使该系统损失超过1.12亿美元。
另一个鲜为人知的勒索软件组织CoomingProjec 也宣布,如果网络攻击是针对俄罗斯的,他们将支持俄罗斯政府。
乌克兰向黑客社区寻求帮助
乌克兰方面似乎也在试图与其黑客力量接触,以保护关键基础设施免受协同网络攻击,并对俄罗斯的活动进行网络间谍活动。
路透社详细介绍了应国防部要求发布的乌克兰地下黑客社区的消息,呼吁网络社区参与保卫国家的任务。行动呼吁是通过Cyber Unit Technologies 的创始人Yegor Aushev发布的,他昨天分享了一份申请表,供志愿黑客注册,以宣布他们的技能,以便更好地组织任务。
在一篇帖子中,Aushev声称,即使是世界各地的黑客,包括来自俄罗斯的黑客,也响应了他的号召,他们将分组进行进攻和防御行动。
很明显,现代战争已经进入了一个新时代,因为现在公开支持实体武装部队的网络活动不仅由受过正规训练的网络战士进行,而且由法律双方的自学成才的黑客进行。
网络安全社区反应
网络安全公司Mandiant的金融犯罪分析主管Kimberly Goody表示:Mandiant此前曾评估,至少有一部分参与CONTI勒索软件的行为者位于俄罗斯,一些从那里活动的犯罪分子已经与俄罗斯情报机构有联系。最近,公开报道的聊天记录表明,CONTI运营的关键参与者可能打算为政府项目提供支持。
Goody补充说,俄罗斯的犯罪市场“是它在这场冲突中可能已经依赖的资源”。俄罗斯政府可以直接与这些组织合作,也可以购买一个组织的服务或能力“为情报服务创造简单的可否认机会”。
前CISA局长Chris Krebs在推特上表示,Conti勒索软件团伙是否与俄罗斯政府结盟的问题可能已经回答了。Krebs现在是Krebs Stamos Group咨询公司的合伙人,他写道,该组织的信息“并不出人意料”。
另一位分析师对此事提出了更为怀疑的看法。网络安全公司Emsisoft的威胁分析师Brett Callow告诉CyberScoop,“我不认为这种威胁特别严重,”。“Conti有大肆宣扬的历史,在这种情况下,我怀疑他们缺乏专门针对关键基础设施的能力。”话虽如此,“不应忽视威胁,”他补充说,并敦促组织在本月早些时候遵循CISA的建议,以“保护”并为潜在的网络攻击做好准备。
Callow指出,另一个自称为“CoomingProject”的勒索软件组织也承诺“在网络攻击和针对俄罗斯的行为时帮助俄罗斯政府”。
CISA的“屏蔽”通知称,尽管“目前对美国本土没有具体或可信的威胁”,但俄罗斯对乌克兰的攻击提高了网络警惕的必要性。
Conti承诺从外部参与俄罗斯 - 乌克兰战争,这与其他人的承诺相呼应——其中一些也可能是虚张声势——从俄罗斯义务警员到乌克兰地下黑客,再到黑客活动组织Anonymous。
参考资源
1、https://www.cyberscoop.com/conti-ransomware-russia-ukraine-critical-infrastructure/
2、https://www.bleepingcomputer.com/news/security/ransomware-gangs-hackers-pick-sides-over-russia-invading-ukraine/
声明:本文来自网空闲话,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。