E安全3月20日讯美国国土安全部(DHS)与联邦调查局于年3月15日发出警告称,目前针对西方能源企业及其它重要基础设施的网络攻击活动代表着俄罗斯政府的行为与立场。美媒认为,这项安全警告再次印证了年初由美国国家情报总署主任公布的结论——美国财政部认定“俄罗斯网络攻击者”干涉年美国总统大选的行为。
US-CERT发布“蜻蜓黑客”警告
此份警报由美国国土安全部(DHS)下辖US-CERT发布,其中提到:
“这是由俄罗斯政府网络攻击者组织的多段式入侵活动,他们首先入侵小型商业设施网络,而后借此散布恶意软件、执行鱼叉式钓鱼攻击并获取远程接入能源部门网络的能力。”
这轮指向欧洲与北美各目标的攻击活动至少自年3月以来一直在持续,赛门铁克公司于年9月确认了这波攻击的存在。而其背后的操纵黑手被确定为代号“蜻蜓”的黑客集团。
本文源自E安全
赛门铁克方面当时指出,恶意软件代码当中的部分文本以俄语编写,但其并没有作出此次攻击源自俄罗斯境内个人或普京总统领导下的俄罗斯政府的结论,因为其中也包含部分法语文本,这代表着其中一种语言很可能被作为“假旗”策略使用,误导安全研究人员对其归因。
有多少个“蜻蜓”神秘黑客组织?
这一次,美国国土安全部(DHS)与联邦调查局并没有回避他们对于攻击归因的判断。正如于年年末发布的报告一样,他们在研究结果中提到“俄罗斯政府针对美国政府实体及其能源、核能、商业设施、水务、航空以及各关键性制造部门发动网络攻击。”
这份年的安全报告直接指向GRIZZLYSTEPPE,一波针对美国政府基础设施的攻击活动。通过研究,安全人员发现了两个参与集团:
APT28(奇幻熊FancyBear),与俄罗斯军事情报部门格鲁乌(简称GRU)有关;APT29(安逸熊CozyBear),与俄罗斯内部安全机构联邦安全局(简称FSB)有关。
报告还将蜻蜓列为俄罗斯各军事与民间情报机构的十余个备选组织之一,目前尚不清楚这些组织之间是否存在重叠。
俄罗斯黑客组织列表E安全
蜻蜓的攻击套路
美国国土安全部(DHS)与联邦调查局在本份技术警报中解释称,蜻蜓集团首先进行侦察工作,而后通过针对性鱼叉式网络钓鱼攻击获取重要信息。
主要工作:侦查
警报显示,蜻蜓有时会从人力资源页面中下载照片,以便查看存在于图像背景中的设备型号与状态信息。他们尝试渗透各目标机构内的网络电子邮件与虚拟专用网络(简称VPN)连接。此外,他们还利用合同、简历、邀请以及政策文件等常规行业文件诱导网络钓鱼目标打开其中包含的附件。
除此之外,攻击者还曾经利用微软Office当中的安全漏洞通过服务器消息块(简称SMB)协议从远程服务器处获取文档。这项漏洞使得攻击者能够通过点击钓鱼链接的方式获取受害者的个人凭证,并从中提取明文密码以访问受害者帐户。
蜻蜓集团还公开了与“流程控制、工业控制系统或关键基础设施”相关的多个贸易出版物与信息网站,并在其中安置恶意JavaScript或PHP文件以实施恶意入侵。例如攻击者可对合法PHP文件header.php进行修改,利用SMB从其控制的IP地址处提取像素文件。此外,他们还对高人气JavaScript库modernizr.js进行修改,旨在加载不可见的图像信息。
攻击者们也利用恶意.docx文件捕捉用户凭证,而后安装各种工具以隐藏自身入侵活动,包括VPN工具与密码破解工具等等。他们还依靠Windows文件快捷方式或LNK文件来存储自己收集到的用户凭证。
一旦获得访问权限,攻击者就会进行网络侦察,进而入侵接入系统。例如,他们会使用Windows的计划任务与批处理脚本来运行屏幕截图工具scr.exe,借此获取所接入系统的屏幕截图。一旦他们得到了所追踪的信息,攻击者就会尝试清除恶意文件、日志文件以及其它入侵证据的方式,清理自己的入侵痕迹。
美国国土安全部/联邦调查局发布的这份警报当中包含多种签名,可协同YARA模式匹配工具共同识别与蜻蜓集团入侵活动相关的恶意软件。
警告中提供的应对措施:
本次警报还提供了一系列关于可以考量的应对性安全建议以及应当采取的安全最佳实践,例如建议用户首先禁用TCP端口、;禁用UDP端口;阻断SMB及其相关协议。
目前美国国土安全部(DHS)方面尚未提供与此轮攻击活动所造成损害的细节信息,包括是否正在考虑或已经制定了相关应对举措。
原文
转载请注明:http://www.qingtinga.com/mgdl/11513.html
当前位置: 蜻蜓 > 蜻蜓的形状 > 俄罗斯10余个蜻蜓黑客组织曝光
