赛门铁克安全响应团队在上周发表的一篇博文中指出,因涉嫌参与干预2016年美国总统大选而名声大噪的黑客组织APT28似乎已经将其攻击活动重心重新转移到了网络间谍活动。

根据美国国土安全部(DHS)和联邦调查局(FBI)的说法,APT28组织与俄罗斯政府存在关联。该组织在2017年至2018年期间重新回到了他们的情报收集行动,目标是欧洲和南美的军事、政府组织。

APT28的历史罪行

APT28,也被称为Fancy Bear、Pawn Storm、Sofacy Group、Sednit和STRONTIUM,至少自2007年起就已经开始专注于从全球多个国家的政府、军队和安全机构窃取有利于俄罗斯政府的内幕消息。如上所述,APT28也被怀疑是一个得到国家政府支持的黑客组织,据说是俄罗斯军事情报机构GRU(General Staff Main Intelligence Directorate)的一个下属部门。

该组织曾被指从2016年春天开始向包括美国民主党全国委员会(DNC)成员在内的政治目标发送了鱼叉式网络钓鱼电子邮件,旨在诱使收件人通过一个虚假页面更改他们的电子邮箱登录密码。很显然,APT28的目的是窃取这些目标人物的密码,然后安装恶意软件以及窃取信息。

在同一年,该组织还公开承认入侵了世界反兴奋剂机构(WADA),并在一个名为“Fancy Bears”网站上公布了众多国际运动员的私人医疗记录。类似的攻击事件发生在2017年4月,国际田联协会( IAAF )表示,APT28入侵了其服务器并窃取了大量运动员私人医疗记录。

同样是在2017年,APT28还被指试图干预法国总统大选——针对法国大选首轮胜出者马克龙发动攻击。钓鱼电子邮件的附件文档中包含了两个0day漏洞的利用代码:一个是Word远程代码执行漏洞(CVE-2017-0262),另外一个是Windows中的本地权限升级漏洞 (CVE-2017-0263),该组织的目的是试图利用这两个漏洞来下载其常用的侦察工具Seduploader。

重回情报收集行动

在2016年获得了前所未有的关注之后,APT28在2017年和2018年仍在继续其网络攻击活动。不过,自2017年初以来,该组织的活动开始变得十分隐秘,这似乎主要因为他们重新回到了情报收集行动的原因。

根据赛门铁克的说法,APT28在2017年至2018年期间的目标组织包括:

  • 一个知名的国际组织
  • 欧洲的军事组织
  • 欧洲的政府组织
  • 南美国家的政府组织
  • 位于东欧国家的大使馆

正在开发的工具

APT28使用了许多工具来攻击其目标,其中最常用的恶意软件是Sofacy,它包含两个主要的组件:Trojan.Sofacy(也被称为Seduploader),用于在受感染计算机上执行最基本的侦察任务,且可以下载其他的恶意软件;Backdoor.SofacyX(也被称为X-Agent),是第二阶段的恶意软件,能够从受感染计算机上窃取信息。此外,这里还有一个Mac版本的木马(OSX.Sofacy)。

在过去两年里,APT28一直在持续开发新的工具。例如,Trojan.Shunnael(又名X-Tunnel),它能够通过加密的隧道来保持对受感染网络的访问。

除此之外,正如世界知名电脑安全软件公司ESET所报道的那样,APT28还开始了对一种名为“Lojax”的UEFI(统一可扩展固件接口)rootkit的使用,目标是巴尔干以及欧洲中东部的多个政府组织。由于这个rootkit驻留在计算机的SPI闪存中,因此即使重装系统、更换硬盘也无法清除它。

持续存在的威胁

很明显,APT28不仅没有因为被指参与干预2016年美国总统大选所引起的公众关注而吓倒,而且仍在开发新的工具以及使用旧的工具发动更多的袭击。

在2016年之后,该组织似乎再次重新回到了他们的“老本行”,对一系列目标展开了情报收集行动。这些正在进行的活动以及不断完善的黑客工具都表明,该组织可能会继续对国家目标构成重大威胁。

声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。