查看原文
其他

俄罗斯黑客组织利用恶意软件X-Agent追踪乌克兰军队

2016-12-23 E安全 E安全

E安全12月23日讯 2014年底至2016年,俄罗斯APT组织“Fancy Bear”使用Android设备恶意软件植入程序追踪并攻击乌克兰炮兵部队。这个知名的黑客组织也被称为APT 28、Pawn Storm、Sednit或Sofacy,曾一度占据新闻头条。

网络安全公司CrowdStrike的专家报告称,据称2014年底至2016年,俄罗斯国家攻击者使用Android设备的恶意软件植入程序追踪并攻击乌克兰炮兵部队。

网络间谍将该恶意代码用来监视目标的通信,并获取乌克兰炮兵部队的位置数据,该信息可能被亲俄分裂分子攻击乌克兰东部地区的乌克兰部队。2016年夏季,CrowdStrike的研究人员开始调查一个名为“Попр-Д30.apk”(MD5: 6f7523d3019fa190499f327211e01fcb)的Android 程序包(APT)。该APT包含大量俄语军事工件。黑客使用了合法应用程序的植入程序,但无法再Android应用商店找到该应用。

最新披露的数据取证证据表明,该黑客组织(被指控干扰美国总统大选)可能参与复杂、多维的网络间谍行动,帮助武装亲俄分裂分子追踪乌克兰部队的动向。

如果数据准确,Crowdstrike的发现有力证明了传统战场上出现预期扩展——网络空间成为情报收集行动和破坏的基本领域。美国民主党全国委员会(DNC)今年夏天要求Crowdstrike清理入侵黑客,追踪线索落到俄罗斯黑客头上。

上周四,Crowdstrike发布报告,称俄罗斯军事情报机构GRU与Fancy Bear黑客组织有关联。这个独特的恶意软件被称为“X-Agent”,与GRU和Fancy Bear渗透电子设备,潜在窃取个人数据、录音、截图并发送至远程控制与命令服务器的恶意软件类似。

另一私营网络安全公司TrendMicr在审查Operation Pawn Storm(通过间谍软件针对外国军方、政府、国防工业和舆论界的网络钓鱼电子邮件计划)余波的在线签名后,也认为X-Agent与俄罗斯情报机构有关联。

Crowdstrike发布的报告指出,“2014年底至2016年,Fancy Bear将X-Agent植入程序植入合法Android应用程序(由乌克兰炮兵军官Yaroslav Sherstuk开发)秘密在乌克兰军事论坛散布。”原来的应用程序使乌克兰炮兵部队快速处理D-30榴弹炮的目标数据,将目标锁定时间从若干分钟减少至15秒。Sherstuk接受外媒采访时表示,超过9000名炮兵官兵在乌克兰军队使用该应用程序。这款应用程序通过私有、非商业的下载渠道传播。但随着时间的推移,该应用程序便扩散到了俄罗斯网站VK(类似Facebook的俄罗斯社交网站)。

Crowdstrike表示,APT28开发了该应用的恶意版本,并于2013年后开始在网上扩散。目前尚不清楚有多少乌克兰士兵下载了这款克隆版的恶意Android应用程序。

Crowdstrike在报告中写道,“2014年12月21日,该Android应用的恶意变种首次被发现在乌克兰俄语军事论坛有限制的公开散布。”

Crowdstrike认为,亲俄分裂分子在该恶意软件的支持下,能获得乌克兰炮兵部队的位置信息。

2014年7月9日至9月5日,开源调查小组Bellingcat报告称,俄罗斯军队对克里米亚边界的乌克兰部队发起超过120次的火炮攻击。据估计,仅仅5个月的时间,乌克兰军队损失了超过80%的D-30榴弹炮。

Crowdstrike首席技术官兼联合创始人Dimitri Alperovitch向外媒透露,“我们只看到Fancy Bear使用X-Agent。该恶意软件的源代码未在任何公开或地下论坛找到。”

根据报告中援引的开源数据,乌克兰炮兵部队两年冲突内损失一半以上的武器,包括80%以上的苏制D-30榴弹炮。

有趣的部分在于植入程序——看不见的X-Agent变种,利用有特性的恶意软件说明Fancy Bear在移动恶意软件开发能力从iOS植入程序向Android设备扩展。

完整报告,请戳。(可前往E安全门户网站查看)

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存