據(jù)國防部官員透露,上周一個由俄羅斯所支持的黑客組織攻擊了位于華盛頓,重點關(guān)注俄羅斯的智庫團,該機構(gòu)還曾是攻擊民主黨計算機網(wǎng)絡(luò)的成員之一。犯罪者所在小組稱為COZY BEAR,或APT29,根據(jù)兩大網(wǎng)絡(luò)安全公司之一的CrowdStrike創(chuàng)始人Dmitri Alperovitch的發(fā)言,DNC黑客組織需要對此次襲擊事件負責。 CrowdStrike發(fā)現(xiàn)了來自DNC的攻擊并為智庫提供安全服務(wù)。
Alperovitch表示少于五個組織機構(gòu)和10名研究俄羅斯的工作人員遭受到來自“極具針對性行動”的襲擊。出于客戶利益考慮及避免泄露工具技術(shù)或其他數(shù)據(jù)給黑客,他拒絕透露具體是哪些智庫和研究人員遭襲。
Alperovitch表示稱,公司一但檢測到漏洞及入侵者無法潛帶的任何信息,立即會向受侵組織發(fā)出警告。國防部向幾個參與俄羅斯研究項目的智庫伸以援手,其中之一就是戰(zhàn)略與國際研究中心(CSIS)。
“上周,我們受到攻擊,但我們?yōu)閿?shù)不多的工作人員對此及時作出反應(yīng)。除此之外,我不打算討論任何細節(jié),因為事件正在積極調(diào)查中,” CSIS對外關(guān)系高級副總裁H. Andrew Schwartz在電子郵件中寫到。
戰(zhàn)略技術(shù)項目高級副總裁兼董事James Andrew Lewis在CSIS表示道:“這就像一個榮譽徽章--任何有聲望的智庫都已經(jīng)被黑客入侵。俄羅斯人只是還不了解獨立機構(gòu),所以他們正在尋找奧巴馬的秘-密指示。另一個好處是,他們可以去向他們的老板炫耀并證明他們作為間諜的價值。”
一位國防部人士接觸了幾個參與俄羅斯項目的智庫團。回復(fù)中大部分直接稱,他們并沒有被專門針對。哈佛大學貝爾弗科學中心和國際事務(wù)談道,“我們有政策對中心安全不予評論。”如果我們從別處聽到消息,會更新這個帖子。
黑客可能已經(jīng)試圖從擔任華盛頓智庫團的董事會官員那得到數(shù)據(jù)和信息,Alperovitch這樣推測到。
“這些人很多都是前政府官員,并仍指導現(xiàn)任政府官員,”Alperovitch說道。我們的目標本來就是“通過觀察他們與政府官員的溝通,來判斷他們是否可能已掌握偷來的信息并分享這些信息,或者將它們作為一種針對政府的方式。”
Alperovitch談到,智庫正在使用的是CrowdStrike公司的獵鷹網(wǎng)絡(luò)安全軟件,這是一個2MB的端點管理工具,可使CrowdStrike監(jiān)控其客戶的入侵網(wǎng)絡(luò),包括對先進的遠程訪問工具的監(jiān)控,其簽名不會出現(xiàn)在常規(guī)網(wǎng)絡(luò)流量中。
“你可以把它看成是一個正在記錄所發(fā)生的一切的攝像機,”他提道,“你打開Word,打開Outlook和其他啟動網(wǎng)絡(luò)連接的進程,它都會被被記錄下來,被傳輸?shù)轿覀兊脑浦校谀抢镂覀儗ζ溥M行機器學習及行為分析...那就是在這所發(fā)生的事。我們識別出spearphish網(wǎng)絡(luò)釣魚攻擊,并立即發(fā)出了警報。我們的人員聯(lián)系 [客戶] 說,好吧,這真的很嚴重,你需要馬上將安全軟件覆蓋到這臺機器中。”
網(wǎng)絡(luò)安全公司FireEye首次發(fā)現(xiàn)COZY BEAR小組,其早在2014年就被稱為APT29。
“APT29是我們所跟蹤的黑客小組中能力最強的,”FireEye在去年發(fā)表的博客中寫道,“當其他APT小組試圖掩蓋他們的蹤跡以阻撓調(diào)查時,APT29就從中脫穎而出。他們在減少或消除法庭證據(jù),對待監(jiān)控的應(yīng)變能力以及在規(guī)避網(wǎng)絡(luò)維護者的各項補救措施中表現(xiàn)出相當?shù)募o律性和一致性。”
CrowdStrike和其他網(wǎng)絡(luò)安全研究人員認為COZYBEAR與俄羅斯聯(lián)邦安全局(FSB)有著密切聯(lián)系。已發(fā)動過成功襲擊的美國實體名單包括白宮,國務(wù)院和非涉-密系統(tǒng)職工的聯(lián)席會議。
CrowdStrike和其他網(wǎng)絡(luò)安全研究人員稱另一躲在DNC黑客小組背后的俄羅斯黑客組織稱為FANCY BEAR,或APT28,很多網(wǎng)絡(luò)安全界人士認為其和俄羅斯軍方有聯(lián)系。研究人員還懷疑FANCY BEAR是維基解密中泄露DNC文件的幕后黑手。
重要的是,盡管FANCY BEAR在今年四月脫離了DNC組織,CrowdStrike研究仍顯示自2015年夏天起COZY BEAR就是在網(wǎng)絡(luò)上成長最快的黑客小組,其可能允許訪問的信息呈指數(shù)級增長。研究人員認為這是目前運行中最具先進持續(xù)性威脅的組織之一。
根據(jù)Alperovitch的調(diào)查,由于那些廣為人知的黑客手段的出現(xiàn),COZY BEAR已經(jīng)大幅地提升了其使用工具和技術(shù)手段,增強了其躲避檢測的能力及在最初的妥協(xié)后進一步擴大網(wǎng)絡(luò)中快速移動的能力。在這種情況下,攻擊者通過偽造來自知名智庫團和地緣政治顧問組的郵件來誘騙受害者打開電子郵件。
Alperovitch告訴一位國防部人士CrowdStrike能夠立刻檢測到入侵行為,但它要花費30分鐘將一個受感染的機構(gòu)從網(wǎng)絡(luò)上的其他機器中系統(tǒng)隔離,“到那時,好幾個系統(tǒng)已經(jīng)被感染。”
即使在檢測之后機器之間的快速,橫向移動,也和COZY BEAR的操作方式保持一致。在目標對象打開一個鏈接到錯誤域名的電子郵件后,目標公司的機器將下載一個遠程訪問工具或RAT(在這種情況下,通常是Microsoft的Excel和Word文件)。這使黑客得以進入系統(tǒng)。在感染COZY BEAR病毒的情況下,黑客在進行初步檢測后試圖了解網(wǎng)絡(luò)映射以尋找機會進入其他系統(tǒng)。黑客“開始打字,比如OK;網(wǎng)絡(luò)是什么樣子?我可以從這臺機器上跳到其他機器上嗎?我有什么權(quán)限,”Alperovitch解釋道。