諜影重現 | APT28對美網路釣魚攻擊的線索分析
在即將到來的美國中期選舉前夕,諜影重現。9月中旬,微軟方面採取行動阻止了一項由俄羅斯APT組織Fancy Bear(APT28)發起的網路釣魚攻擊,攻擊者的疑似目標為美國國際共和研究所(International Republican Institute,IRI)和哈德遜研究所(Hudson Institute)兩家智庫,這兩個機構都與美國共和黨有關,且對俄羅斯和普京持反對批評態度。微軟數字犯罪部門通過法院命令形式,用sinkhole技術及時控制遮蔽了由APT28建立的6個用於網路釣魚攻擊的域名。本篇文章中,安全公司RiskIQ針對此次釣魚攻擊涉及的域名和對應網站進行了關聯分析,揭露了一些幕後線索和意圖,以下為RiskIQ的分析報告。
涉及域名
這6個域名為:
my-iri[.]org senate[.]group office365-onedrive[.]com adfs-senate[.]email adfs-senate[.]services hudsonorg-my-sharepoint[.]com
以及其對應子域名:
adfs.senate[.]group sharepoint.my-iri[.]org mail.hudsonorg-my-sharepoint[.]com mail.office365-onedrive.com
最終,這些域名都被遮蔽引流(sinkhole)到了隸屬微軟的控制IP地址157.56.161.162。
關於微軟發現這些域名的手段、攻擊者對這些域名的操控程度,以及這些域名是否在攻擊開始前就被遮蔽…..,公眾所知甚少。此前,我們已經看到針對美國民主黨人的各路網路釣魚攻擊,最近一次是針對密蘇里州參議員 Claire McCaskill 的。你可以 ofollow,noindex" target="_blank">點此閱讀 我們對該事件的技術分析。
現在,有了各種蛛絲馬跡和證據,可以清楚地體會到,俄羅斯政府意圖且一直在通過網路釣魚攻擊、惡意軟體和社交媒體網路虛假新聞來破壞西方民主體制,這一次,攻擊者利用的6個網路釣魚域名被披露,本文中,我們就來深入分析這次網路釣魚攻擊活動。
攻擊架構
我們通過RiskIQ資料庫,發現了與此次攻擊相關的一些攻擊架構線索,這些線索包括pDNS可查詢記錄和開放埠等。攻擊者通過Namecheap、Bacloud、Swiftway、Info-Tel、Frantech、GloboTech Communications、Public Domain Registry和MonoVM等不同主機商進行域名註冊使用,這些主機提供商都有一個共同點:接收比特幣作為域名註冊服務支付款。以下為我們發現攻擊者在不同主機提供商處註冊的域名情況:
Namecheap hosted:
Bacloud hosted:
Swiftway hosted:
Info-Tel hosted:
Frantech hosted:
GlobeTech hosted:
Public Domain Registry hosted:
MonoVM hosted:
以下為6個域名的解析資料情況:
我們注意到,有幾個域名和子域在某網路架構中僅只出現了一天或更短的時間,這有點奇怪,可能是APT28組織發起攻擊後,為了避免其釣魚頁面被追蹤溯源而迅速禁用和轉移的跡象。然而,也有一些域名在同一網路架構中長期出現,像 Namecheap 上的 ‘adfs-senate.services’ 和 Domain Registry 的 ‘adfs-senate.email’就將近活躍了一年,而且Namecheap還彙集了攻擊者的部署頁面,並把它們設定成吸引流量的自動跳轉頁面。
在當前微軟沒公佈更多此次攻擊相關的細節之前,我們根據時間段對各個域名的的推測分析多少還是有一定推測性的,但是,由於這些主機提供商可以用比特幣支付方式來完成服務費結算,因此,在攻擊者部署釣魚網站的時候,這又為其行為增添了一些隱匿性。
根據美國特別顧問調查辦公室7月13日公開對幾名涉及 對美大選干預的俄羅斯個人起訴書 中可以看到,利用主機提供商接受比特幣支付的手段類似於之前俄羅斯的黑客行為,其中提到,“……在購買伺服器、註冊域名和其它黑客活動動作時主要使用比特幣”,這些活動包括註冊域名、架設網站以及在特定網站公佈洩露資料,如早前大選干預事件中的dcleaks[.]com。另外,這些域名的託管架構中也託管有VPN服務,這種行為特徵與上述起訴書中概述的基本一致:
“在2016年3月14日前後和2016年4月28日,相關同謀者使用同一個比特幣池資金購買了一個VPN賬戶,並租賃了一臺位於馬來西亞的伺服器。在2016年6月左右,相關同謀者使用租賃的馬來西亞伺服器架設開通了dcleaks.com網站,用來公佈洩露其竊取的資料”
Swiftway 提供商IP地址 154.16.138.57,在託管域名主機 vpn647639221.softether[.]net 的同時,也在6月26日託管過 ‘mail.office365-onedrive.com’。域名 vpn647639221.softether[.]net 中涉及的SoftEther,是由日本筑波大學研究生Daiyuu Nobori因碩士論文而開發的開源、跨平臺、多重協議的虛擬專用網方案,此方案讓一些虛擬專用網協議像是SSL VPN 、L2TP、IPsec、OpenVPN以及微軟SSTP都由同一個單一VPN伺服器提供。SoftEther的VPN方案可以穿過防火牆,支援NAT穿透建立VPN通道。自2017年9月12日以來,vpn647639221.softether[.]net 這個特殊的SoftEther VPN域名一直託管在IP地址 154.16.138.57上。
埠線索
仔細檢視上述域名對應伺服器在執行時期的埠開放情況,可以發現攻擊者的一些管理和應用端倪,其中的一些伺服器開放了3389埠的遠端桌面協議,一些開放了SSH服務的22埠。而且,除了37.72.175.151之外,大部分對應伺服器都開啟了HTTP服務,也有少數開啟了HTTPS服務。
IP地址 23.227.207.167 和 173.209.43.29 有一些幾乎相同的開放埠,有意思的是,它們開放的埠通常用於NetBIOS和DCOM服務,由於這些服務可以識別主機伺服器可被漏洞利用的服務,因此這些埠不應曝露在網際網路上。IP地址 185.25.51.64開放了SMTP的25埠,這可能是攻擊者用於傳送網路釣魚相關的電子郵件。
與資訊戰(Information Campaign )相關的線索分析
在本次調查事件中,我們注意到與上述惡意域名託管在同一網路架構上的另外一個域名:americafirstpolitics.com,該域名自4月13日就託管在了Namecheap的IP地址162.255.119.70上,而剛好,俄羅斯黑客組織利用的6個域名之一的office365-onedrive[.]com,也在4月25日託管在了該IP地址上。這種巧合激發了我們深入調查的興趣,我們決定全面關聯分析americafirstpolitics.com這個域名和其相關網站,看看能否發現更多線索。
最早,我們首先於2016年3月28日發現了americafirstpolitics.com託管於 Rackspace 的IP地址104.239.150.30上,這是3月23日共和黨總統初選開始後不久。2017年4月,該網站轉到了GoDaddy服務商的IP地址50.63.202.75上,並運行了21天。後來,其又轉到了Namecheap網路架構中。但不幸的是,在我們的資料庫中找不到和該域名對應的網站頁面,但藉助開源分析工具,我們發現了該域名部署過的網站內容。
在 Wayback Machine 的網路存檔中,我們檢索到了americafirstpolitics[.]com 域名架設網站的快照,網站文章的標題就是 – 羅恩·保羅:不管你如何投票,反正已經內定了(Ron Paul: No Matter How You Vote, The Insiders Decide),羅恩·保羅為前美國眾議院議員,其中還有一段文字表達了對美國選舉程式的不信任,下面還附帶了羅恩·保羅與此意思表述的一個採訪視訊。在最新的發文中,我們看到了以下內容:
#GrabGate Debunked 2.5 – More Lies, Deception, Possible Conspiracy & Deja vu. Japan Goes Neocon – Dumps Antiwar Constitution BREAKING NEWS: Ted Cruz is being charged with child abuse after video goes viral Donald Trump: Why Do Bikers Like Me?’ Supporter: ‘Because You Don’t Take Any S**t!’ Amanda Carpenter Denies Sexual Allegations from National Enquirer
該網站貌似是用來攻擊那些貶低特朗普的故事題材,同時傳播其競爭對手的外交和國家安全相關的虛假新聞和陰謀論。
同時,我們的搜尋查詢還在白人民族主義者網站stormfront[.]org論壇中發現了一個americafirstpolitics[.]com的內容連結,連結標題為“The Official anti-American CuckList”。根據特別檢察官 Robert Mueller 2月16日針對俄羅斯特工和俄羅斯網際網路研究機構(Internet Research Agency,IRA)提交的調查起訴檔案反映,俄羅斯情報機構被指示通過支援激進團體,利用社會矛盾、經濟形勢和反社會活動來製造網路熱點,進行擴大炒作宣揚。
深入分析後,我們還在Reddit論壇中找到了americafirstpolitics.com網站的文章轉發快取,其中一個名為 Trump20162020 的賬號引起了我們的注意,該賬號創建於2016年3月25日。根據特別檢察官 Robert Mueller 2月16日針對俄羅斯IRA機構的起訴書中可看出,俄羅斯特工還活躍於社交媒體中,這個Trump20162020賬號會在同一天轉發幾篇文章,且一直活躍到了2016年7月4日,共101天,而且該賬號的大部份發文都轉發到了Reddit子論壇 “The_Donald”(特朗普吧)中,該論壇帖子大部分都是表達對特朗普的支援,Trump20162020在賬號建立的當天就在 “The_Donald”論壇中發文17次,內容大多是共和黨參議員總統候選人特德·克魯茲(Ted Cruz)毫無根據的性醜聞。
這些性醜聞帖子都是基於美國八卦雜誌National Enquirer的報道,而該雜誌有特朗普私人關係背景,此前對特朗普競爭對手有過攻擊立場。而此時,共和黨參議員特德·克魯茲(Ted Cruz)可以算是唯一一個能與特朗普抗衡的競爭對手。且恰巧,俄羅斯衛星通訊社(Sputnik)也曾對特德·克魯茲(Ted Cruz)醜聞有過大篇幅報道。
另外,在Reddit中,賬號Trump20162020 還敦促特朗普追隨者,利用Twitter通過#話題方式來傳播特德·克魯茲(Ted Cruz)醜聞,以幫助特朗普贏得提名。Twitter加#的話題傳播方式是俄羅斯在2016年選舉中傳播虛假新聞的一種策略手段,特別檢察官 Robert Mueller 2月份的 對俄起訴中 也提及了這點。
在建立賬號後三天,Trump20162020 開始轉發與網站americafirstpolitics[.]com內容相關的連結,一小時之後,Trump20162020還聲稱是網站americafirstpolitics[.]com管理員:
在另一篇與今日俄羅斯(RT)視訊相關的帖子中,有一個被刪除使用者表達了對今日俄羅斯(RT)的讚賞,Trump20162020 也發表了支援看法:“今日俄羅斯很厲害,我雖不贊成他們所有的報道,但總之,這才是一個新聞媒體該有的樣子”。在2017年美國國家情報總監的報告中,今日俄羅斯(RT)儼然成為了具備俄羅斯國家背景的宣傳機器。
americafirstpolitics[.]com網站還報道過一篇希拉里·克林頓有“幾次墮胎”的虛假新聞,另外,還從National Enquirer轉載過反對特德·克魯茲(Ted Cruz)的報道,其中聲稱特德·克魯茲父親刺殺肯尼迪的計劃,等等….。在Twitter上有大量傳播americafirstpolitics[.]com網站報道的賬戶,其中的每一條推文都是在americafirstpolitics[.]com網站發文後兩天發出的。
總結
RiskIQ分析了在微軟採取措施手段之前,俄羅斯情報機構針對美國智庫的網路釣魚攻擊活動,從中發現了與其利用域名相關的網路行為,並關聯分析了攻擊者網路架構中某個IP對應的虛假新聞傳播網站americafirstpolitics[.]com,從網站americafirstpolitics[.]com在2016年前後的發文內容和相關賬戶分析,側面映證了俄羅斯對美開展資訊戰的影子。綜合特別檢察官羅伯特·米勒(Robert Mueller)的調查,可以看出,此次在美國中期選舉前的網路釣魚攻擊,其網路行為、域名託管註冊和付費方式都與之前的俄羅斯黑客組織極為相似。
*參考來源: riskiq ,clouds編譯,轉載請註明來自FreeBuf.COM