最近,美国情报社区最大的私营承包商 Booz Allen Hamilton 公司发布了一份长达80页的报告,详细地说明了俄罗斯军事黑客在过去15年(2004年至2019年)实施的网络攻击活动。该报告主要关注俄罗斯军队如何通过黑客部门支持其在全球的外国政策的总体情况,这类报告在网络安全社区极其罕见。相比之下,信息安全行业的多数其它报告通常关注对单个事件的调查,避免进行任何政治分析,且很少将攻击活动归因于外国政府部门。Booz Allen 公司发布的这份报告获得过去所有的俄罗斯黑客活动报告,并将其置于更广阔的政治上下文中,以期了解为何(而非如何)会发生这些攻击活动、使用了哪款恶意软件和谁使用了恶意软件、以及何时使用的。更确切地讲,报告专注于研究俄罗斯军队下属情报机构所执行的网络活动。该情报机构即“武装部队总参谋长总局”,它的前身“格鲁乌 (GlávnoyeRazvedyvatel'noje Upravléniye, 即“总情报局”GRU)”在俄罗斯国内外更负盛名。当前,该机构被称作“Glávnoye Upravléniye(即“总局” GU)”,但该名称很少使用,它仍被广泛称为“格鲁乌 (GRU)”。格鲁乌不同于俄罗斯政府的内部情报机构、臭名昭著的克格勃 (KGB) 的后继者 FSB。和 FSB 不同,格鲁乌仅支持俄罗斯的军事行动和克里姆林宫即俄罗斯政府的外交政策。在过去的15年间,格鲁乌被指和两个非常独特的黑客组织有关,一个是 APT 28(也被称为 “Fancy Bear”),另一个是Sandworm。它们被认为是俄罗斯情报服务机构内部的两个不同的军事部门:APT28被认为执行多种复杂程度不一的网络活动,而Sandworm 被认为是格鲁乌的精英组织。报告指出,不可孤立看待这两个黑客组织发动的网络活动,它们几乎都是专门在更为宽广的政治上下文中开展的。作为由军队运营的机构,格鲁乌的所有动作都遵循一套模式。报告分析了200多起被公开归咎于格鲁乌的唯一网络事件,并找到了这一套模式。报告指出,这套模式完美符合俄罗斯政府文档《俄罗斯联邦的军事准则》中所描述的原则。俄罗斯军队定期发布该准则。该文档的最后一个版本发布于2014年并列出了俄罗斯联邦所面临的且俄罗斯军队必须统一响应的23种安全风险。Booz Allen 公司的分析师将这200多起网络活动分为23个类别,展示了每起网络攻击活动如何成为俄罗斯应对不断变幻的周边政治环境而选择的自然防御机制。报告的最终结论是,格鲁乌的攻击性网络活动是可预测的。如果企业或政府部门认为其活动和俄罗斯政府活动出现交叉情况,且这种交叉可能会被俄罗斯政府解读为其军事响应准则中所列的23种风险之一,那么这些企业或政府部门可能会遭到俄罗斯黑客攻击。报告指出,“防御格鲁乌类的网络攻击活动要求不仅了解这些攻击活动是如何发生的,而且更重要的是了解为何会发生。通过了解对手实施攻击的原因能够更好地预测出这些活动在何时、何地以及以何种方式发生,有助于采取相应的缓解措施。”本文将不会列出所有的200多起攻击活动,而是如下列出了一些俄罗斯通过格鲁乌黑客组织进行响应的国际事件。之后我们将具体的网络攻击活动和俄罗斯军事准则中所描述的23种原则进行了关联。我们主要覆盖关注较少而非重大的网络安全事件。在黑山想要加入北约组织之后,俄罗斯干涉黑山事务。俄罗斯在其军事准则中将北约扩展视作最大的安全风险。格鲁乌的网络攻击活动在俄罗斯政府试图选举亲俄政府并阻止黑山加入北约组织中发挥了至关重要的作用。距离大选还剩3天时,格鲁乌发动 DDoS 攻击,破坏媒体站点黑山最大的电信公司、监控大选的非政府组织以及政府站点,目的是破坏即将到来的选举活动并播下混乱的种子。
报告指出,格鲁乌的网络攻击活动还得到了非军事力量的协助,俄罗斯向反对派政治组织提供资金支持并“寻求和政客、神职人员、非政府组织以及媒体机构的协作”。
格鲁乌阻止黑山选举亲西方政党的努力还包括实地行动。当时,黑山执法部门逮捕了格鲁乌军官和特工,他们被指策划攻击议会、暗杀总理以及通过针对平民的伪旗攻击活动煽动内乱。
黑山加入北约组织后,格鲁乌继续实施网络钓鱼攻击。
格鲁乌支持俄罗斯对战叙利亚,俄罗斯政府试图维护亲俄领导人。这一行为符合俄罗斯在军事准则中所提出的和周边国家保持稳定的政治关系并阻止外国势力扰乱其盟友和邻国的原则,它位列23种安全风险的第2位。报告指出,“格鲁乌可能通过一个 ISIL (即 ISIS)黑客主义分子的身份来响应美国对叙利亚的干涉活动,在2014年12月至2015年2月期间对美国军队和执法社区实施骚扰和恐吓。”
格鲁乌操纵者涂鸦了美国新闻媒体网站,造成 ISIL 控制大量网络资源的印象。
格鲁乌操纵者泄露美国公务员的个人信息,甚至通过美国中央司令部被黑的社交媒体账户泄露其中某些信息。
格鲁乌操纵者入侵美国马里兰电视台的短信警报系统,向用户发送了威胁信息。加上若思在叙利亚境内的军事活动,格鲁乌的在线攻击活动似乎获得了成功,这一点从美国公众对叙利亚开战的支持意愿下降以及美国最终从叙利亚撤军的结果可得到印证。
俄罗斯政府响应北约在波兰建立重要基地的行动中展示了格鲁乌间谍行动所发挥的作用。它不仅符合俄罗斯军事准则中所列的第一种安全风险即北约扩展,而且也符合外国势力在俄罗斯边境部署军队的风险(位列23种风险第3位)。从2014年夏开始,格鲁乌大量牵涉“监控波兰政府及其国防部门的活动”。
通过“水坑”攻击实施监控。和格鲁乌存在关联的黑客攻陷属于波兰政府公共记录网站的网站,以及通过自动化exploit在一家波兰国防企业的访客系统上安装后门。
报告指出,使用水坑攻击而非更具针对性的鱼叉式钓鱼攻击表明俄罗斯急切想要获得关于很多波兰元素(如政策制定者、供应商)的最大可见度。
2018年,俄罗斯欲通过在布鲁塞尔创建类似基地的方式应对北约组织创建的波兰基地,但遭到白俄罗斯的拒绝。就在同一个月,格鲁乌黑客开始通过鱼叉式钓鱼活动攻击白俄罗斯尔政府。
罗马尼亚增加军队支出和军事行动后,格鲁乌黑客开始实施攻击。和波兰案例一样,俄罗斯对在相关利益方面增强军事能力的外国做出响应,这次的焦点是黑海。它也属于23种风险中的第3种风险。丹麦宣布加入北约导弹防御系统之后,多年来一直遭受格鲁乌发动的攻击活动。俄罗斯军事准则第4种风险是响应美国在其边境附近部署反导弹系统从而削弱俄罗斯军事震慑的行为。英国考虑在叙利亚部署军队后,俄罗斯军队黑客攻击英国。英国的这一行为显然和23种风险中的第2种和第8种风险吻合。在英国政府考虑向叙利亚派遣部队的当月即2015年7月,格鲁乌黑客在英国的一家电视台上建立了“登陆场”。
该电视频道为“伊斯兰频道”,据称格鲁乌将借该频道针对英国伊斯兰社区进行鼓动宣传。
同样的攻击活动还现身于位于英国的合作伙伴法国和美国,它们均打着ISIL 黑客主义组织 CyberCaliphate 的幌子。
美国运行受国家赞助的外国影响力活动,在2012年俄罗斯总统大选中支持俄罗斯总统普京的对手,而这被视作23种安全风险中的第14种。之后,格鲁乌部署 APT28 活动干扰2016年的美国总统大选活动。之后,APT28 伪装成 Guccifer 2.0 黑客主义者、DCLeaks以及通过面向美国公众的虚假新闻站点网络的水军攻击美国民主党全国委员会 (DNC)。俄罗斯运动员被禁参赛后,俄罗斯还部署格鲁乌黑客抹黑国际体育组织机构。当时,俄罗斯国家黑客攻击体育组织机构的做法让人奇怪,毕竟这类组织并非国家黑客组织的寻常目标。但报告指出,运动员遭禁赛让俄罗斯国家脸面无光,而这是俄罗斯军事准则中所提到的第17种安全风险:禁赛被视作针对俄罗斯历史、精神和爱国价值传统的攻击。按照军事准则文档来看,2014年继索尼黑客事件后的这个十年间,俄罗斯格鲁乌黑客活动牵涉一些非标准的国家黑客活动是合理存在的。2016年,格鲁乌黑客入侵世界反兴奋剂组织 (WADA) 并通过虚假的代理黑客主义者身份泄露了外国运动员的治疗用途豁免 (TUE) 情况。
这样做的目标是为复用兴奋剂和他国运动员出于医疗原因服用兴奋剂药品之间建立一种虚假的道德平等感。格鲁乌泄露 TUE 文件后,这种陈述方式被俄罗斯国家媒体机构大力宣传。
两年之后,格鲁乌黑客再次试图蓄意破坏并试图使2018年冬季奥运会的开幕式崩溃,而这也是俄罗斯对其运动员遭禁赛的响应行为。
https://www.boozallen.com/c/insight/publication/the-logic-behind-russian-military-cyber-operations.html。
https://www.zdnet.com/article/booz-allen-analyzed-200-russian-hacking-operations-to-better-understand-their-tactics/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。