網路間諜組織APT28瞄準軍事和政府機構
因參與對美國總統大選機構進行網路攻擊,APT28(又被稱為“Swallowtail”或“奇幻熊”)在2016年登上媒體頭條。賽門鐵克發現,該組織在 2017 年和 2018 年再次發起攻擊。
美國國土安全部 (DHS) 和聯邦調查局 (FBI) 稱,該網路間諜組織與俄羅斯政府關係密切,並於 2017 年和 2018 年重新開始在歐洲和南美洲收集祕密情報,將目標瞄準歐洲和南美洲的眾多軍事和政府機構。
-
破壞性攻擊的歷史
APT28組織自2007年1月開始活躍,但未受到關注,直至在2016年美國總統大選前參與了一系列的網路攻擊後,才得到大眾及行業的重視。
從2016年春季起,APT28組織開始大量傳送魚叉式網路釣魚電子郵件,針對包括民主黨全國委員會(DNC)成員在內的政治目標。這些電子郵件的目的為誘騙收件人在虛假的網路郵件域中更改電子郵件密碼。當獲得密碼後,該攻擊組織會使用盜取的認證資訊來訪問民主黨全國委員會網路,並在網路中安裝惡意軟體,跨網路移動並竊取包括大量電子郵件在內的各種資料。隨後,APT28組織還將盜用資訊公佈於網路上。這些攻擊標誌著, APT28組織的戰術發生變化 —— 從之前的低調收集情報轉為公開的攻擊活動,意圖動搖和破壞受攻擊的機構和國家。
不僅如此,該組織還公開承認對2016 年世界反興奮劑機構 (WADA) 攻擊事件和機密藥檢資訊洩漏負責,並將相關資訊公佈到一個名為“奇幻熊”(Fancy Bears) 的網站上。奇幻熊是該組織廣為使用的代號。
-
遁入陰影
在2016年獲得巨大的關注後,APT28組織在最近兩年繼續發起攻擊。但自2017年初,該組織的活動變得更為隱蔽,主要以收集情報為目的。APT28 在最近兩年所攻擊的目標機構包括:
一家知名的國際機構
歐洲的軍事目標
歐洲政府
一個南美國家政府
一家屬於東歐國家的大使館
-
不斷開發的攻擊工具
APT28組織通過多個攻擊工具對目標進行破壞,其中主要使用的惡意軟體是 Sofacy,該軟體有兩個主要元件:Trojan.Sofacy(也被稱為Seduploader)可在受感染計算機上執行基本偵察,並可下載更多惡意軟體;Backdoor.SofacyX(也被稱為 X-Agent)是第二階段的惡意軟體,可竊取受感染計算機的資訊。該木馬程式還有Mac版本 (OSX.Sofacy)。
APT28組織在過去兩年中一直不斷開發新的攻擊工具,例如Trojan.Shunnael惡意軟體(又名“X-Tunnel”)可使用加密通道訪問受感染網路,對 .NET 進行重寫。
除此之外,該組織還開始使用名為“Lojax”的UEFI rootkit。由於rootkit位於計算機的快閃記憶體中,因此,即便更換硬碟驅動器或重新安裝作業系統,攻擊者也能長期訪問受感染的計算機。賽門鐵克的產品可通過檢測名稱Trojan.Lojax阻止對Lojax的安裝。
-
可能與其他網路間諜活動有關聯
另一家網路攻擊組織Earworm(又被稱為“Zebrocy”)自2016年5月以來一直保持活躍,並參與了針對歐洲、中亞和東亞軍事目標的情報蒐集行動。該組織使用魚叉式網路釣魚電子郵件來入侵目標並使用惡意軟體進行感染。
Earworm組織使用兩種惡意軟體工具:Trojan.Zekapab下載器元件,能夠執行基本的偵察功能並將其他惡意軟體下載到受感染的計算機上;Backdoor.Zekapab能夠擷取螢幕截圖,執行檔案和命令,上傳和下載檔案,執行登錄檔和檔案系統操作,以及執行系統資訊任務。為了記錄鍵盤和捕獲密碼,Earworm組織還會在受感染的計算機上安裝其他工具。
2016 年,賽門鐵克觀察到 ,Earworm 組織使用的命令和控制(C&C) 基礎設施與Grizzly Steppe組織所使用的 C&C 基礎設施之間存在重疊,這意味著Earworm組織與APT28組織之間存在潛在聯絡。然而,這兩個組織卻是分開行動,因此,我們將兩者作為不同的團伙進行跟蹤。
-
持續的威脅
目前賽門鐵克瞭解到,在 2016 年底參與美國總統大選攻擊後,APT28組織並沒有因為遭受公開而受到影響,並且還在使用工具繼續進行攻擊,展開針對大量目標的情報收集行動。這樣持續的活動以及該組織不斷更新攻擊工具的事實都意味著他們將繼續對目標國家構成重大的潛在威脅。
-
保護
為了保護使用者免受到 APT28 的攻擊,賽門鐵克採取了以下保護:
Trojan.Sofacy
Backdoor.SofacyX
Infostealer.Sofacy
OSX.Sofacy
Trojan.Shunnael
Trojan.Lojax
-
威脅情報
DeepSight Intelligence管理對手和威脅情報(MATI) 服務的客戶已收到關於“Swallowtail”(也被稱為“APT28”)的報告。該報告詳細介紹檢測和阻止該網路攻擊組織的措施。