E安全1月13日讯 2017年1月6日，美国国家情报总监发布情报机构评估报告：《评估俄干涉美国大选的活动与意图》。关于俄干涉美国大选的话题仍在继续。俄罗斯政府是否下令实施了入侵并泄露了数据？如果果真如此，是否能简单界定为可接受的国家间谍活动，或俄罗斯是否越线？入侵DNC是否是俄罗斯政府干涉美国大选的行动之一？

最重要的问题仍悬而未决：俄罗斯将如何继续通过各种方法（包括入侵和泄露数据）破坏俄罗斯政府认为限制和谴责其追求国家目标的体系、政策和参与者。

美国网络安全厂商火眼(FireEye)近日发布关于俄罗斯黑客网络行动的报告，FireEye认为APT28是俄罗斯政府支持的黑客组织。FireEye表示了解了APT28的一些政府目标、目的及其促成这些目的活动。

FireEye通过多次调查、端点和网络监测以及持续监控追踪并剖析了该组织。FireEye识别了APT28截至2017年的行动，了解到APT28的恶意软件、行动变化和动机。这些情报有助于保护和通知FireEye客户，暴露该组织的威胁，并进一步确信APT28为俄罗斯政府支持的组织。

E安全（微信公众号E安全）独家为各位读者译制了这份报告主要核心内容的中文版，需要原文完整版的读者可在文末下载。

《APT28：风暴中心》

俄罗斯实施战略性网络行动

概述

2016年12月29日，美国国土安全部（DHS）和联邦调查局（FBI）发布联合分析报告，证实APT28是俄罗斯政府支持的组织。至少自2007年以来，APT28参与大量行动支持俄罗斯的战略利益。几乎可以肯定的是，该组织由复杂和多产的开发人员与操作人员组成。APT28已经收集了国防和地缘政治问题方面的情报。APT28间谍活动主要针对美国、欧洲和前苏联国家的实体，包括政府和军事单位、国防机构、媒体实体、持不同政见者和俄罗斯政府的反对者。

过去2年，俄罗斯似乎越来越多地利用APT28实施符合广泛战略军事政策的信息行动（Information Operation）。攻击受害组织机构后，APT28会窃取内部数据，之后泄露给与俄罗斯利益一致的政治论坛和网站。到目前为止，这些活动包括叙利亚冲突、北约-乌克兰关系、欧盟难民和移民危机、2016奥运会和残奥会俄罗斯运动员兴奋剂丑闻、公开指控俄罗斯政府支持黑客行为和俄国干涉2016美国大选。

该报告详细介绍了APT28的目标和入侵行为。我们还会介绍该组织的工具开发和使用，并总结APT28攻击受害者使用的战术。

APT28的目标与入侵活动

2014年10月，FireEye发布《APT28：窥探俄罗斯网络间谍行动的窗口》，并认定APT28的活动符合俄罗斯的战略情报要求。通过追踪，我们注意到APT28对外国政府和军事单位（尤其是欧洲、东欧国家）、以及地区安全组织机构感兴趣，例如北大西洋公约组织（NATO）、欧洲安全与合作组织（OSCE，欧安组织）等。

下表强调了近期APT28的活动：

自2014年以来，APT28网络活动可能支持影响外国国内政治的信息行动。这些行动包括扰乱或篡改网站，使用虚假黑客角色开展伪旗行动，窃取数据，并公开泄露数据。

下表强调，经追踪，FireEye iSight情报、其它当局等遭受的网络攻击事件均是APT28所为。所有这些行动旨在实现类似的目标：确保达成有利于俄罗斯的政治结果。

从奥运会到数据泄露

随着DNC遭遇入侵的新闻传播开来，APT28正在准备另一系列行动。俄罗斯和许多国家一样，一直把奥运会的成功作为国家声誉和世界舞台软实力的来源。兴奋剂指控和禁令进一步排斥俄罗斯，并且可能为俄罗斯企图损害反兴奋剂机构和政策的动机。我们针对APT28攻击WADA网络事件展开调查，并对周围事件进行观察，其结果揭示了俄罗斯如何阻碍对其不利的言论，并非法使这些机构处于被批评的风口浪尖。

俄罗斯运动员大范围使用兴奋剂的指控

2015年11月 — WADA宣布俄罗斯反兴奋剂组织（RUSADA）违反规定。

2016年7月18日 — WADA 委托报告文件证明俄罗斯运动员大规模服用兴奋剂。

2016年8月4日 — 俄罗斯运动员被禁参加奥运会。

APT28攻击WADA

2016年8月初 — APT28 向WADA员工发送鱼叉式网络钓鱼电子邮件。

2016年8月10日 — APT28使用俄罗斯运动员的合法账号登录WADA反兴奋剂行政和管理系统（Anti-Doping Administration and Management System，ADAMS）数据库。

2016年8月25日-9月12日 — 进入专为2016奥运会创建的国际奥林匹克委员会账号，查看并下载运动员数据。

假黑客身份声称攻击WADA，并泄露了运动员数据

8月9日— “Anonymous Poland”（@anpoland）声称篡改了WADA的网站

8月11日 — @anpoland威胁对WADA实施DDoS攻击，并泄露数据，但最终并未坚持实施攻击。

9月12日 — “Fancy Bears的黑客组织”（Fancy Bears’ Hack Team），一个以前未知的黑客组织声称是知名黑客组织“匿名者”旗下的组织。该组织通过Twitter声称攻击了WADA，并将用户引导至托管被盗文件的网站。

该组织向国际记者推文，并通过Twitter账户散布黑客和信息安全新闻，“Fancy Bears的黑客组织”声称掌握有美国运动员服用兴奋剂的证据。

9月13日 — WADA发布声明证实遭遇入侵，并认为是APT28攻击并窃取了运动员的医疗数据。

9月15日-30日 — “Fancy Bears的黑客组织”公布了另5批的医疗记录（属于多名国家知名运动员），包括美国。美国已申请并收到治疗用药豁免申请（Therapeutic Use Exemptions，TUEs）批准。

“Fancy Bears的黑客组织”声称支持“公平竞赛”，并将TUEs称之为服用兴奋剂的许可证。

基于泄露和威胁活动的时间，再加上@anpoland和“Fancy Bears黑客组织”在特点和散布方式上存在惊人的相似之处，很可能是同一组织在分饰两角。WADA官员援引执法部门提供的证据指出，威胁活动源于俄罗斯，可能是为了报复WADA，因为WADA暴露了俄罗斯大规模服用兴奋剂的行为。俄罗斯政府及时予以否认。俄罗斯体育部长Vitaly Mutko质问到，“你们怎么证明这些黑客就是俄罗斯人？你们对俄罗斯的一切胡乱指责一通，现在已经见怪不怪了。”

总结：

自2014年发布报告之后，我们继续评估APT28是俄罗斯政府支持的黑客组织。通过进一步评估，我们认为，WADA、DNC和2016年美国大选相关实体遭遇的黑客事件是APT28所为。这些黑客行动包括窃取内部数据（大多数为电子邮件），之后战略性地通过多个论坛，并以可计算的方式传播，几乎可以肯定其目的是为了推进俄罗斯政府的特定目标。2017年1月7日发布的一份报告中，美国国家情报局（Directorate of National Intelligence，DNI）将这项活动描述“影响活动”（Influence Campaign）。这种影响活动（将网络攻击和后续数据泄露相结合）与俄罗斯军方公开表达的意图和能力密切相关。影响行动，还常被称为“信息行动”（Information Operations），长期以来都是俄罗斯战略政策的一部分，并随着互联网的出现有意发展、部署并将行动现代化。美国的最近一起活动只是俄罗斯政府实施的影响行动之一，以支持其战略政治目标。随着2017年欧洲选举临近，尤其德国、法国和荷兰，俄罗斯此前曾在欧洲等地使用过类似的手段。

APT28的工具、战术和行动变化

2014年发布的报告中，我们怀疑APT28是俄罗斯政府支持的间谍组织。我们得出这个结论是基于APT28自2007年以来使用的恶意软件取证细节。

APT28的工具集的主要特点包括：

• 灵活的、模块化框架让APT28自2007年以来一直在不断改进工具集。

• 使用正规的编码环境开发工具，允许APT28在后门内创建并部署自定义模块。

• 结合反分析能力，包括运行时检查识别分析环境，运行时的混淆解包字符串，并包括未使用的设备指令，从而影响分析。

• 在莫斯科时区的正常工作日，并在俄语构建环境中编译。

超过97%的APT28恶意软件样本在工作周编译。

88%的样本于本地时区（包括俄罗斯大城市，例如莫斯科和圣彼得堡）早上8:00到下午6:00编译。

此外，APT28的开发人员2013年以前在俄罗斯语言设置中持续创建恶意软件。

自2014年以来，APT28网络行动的变化

几乎可以肯定的是，APT28继续改进工具，并完善战术，是为了努力保护面对公众暴露的操作有效性和审查。除了继续改进第一阶段的工具，我们还注意到APT28：

• 利用Adobe Flash Player、Java和Windows中的零日漏洞，包括CVE-2015-1701、CVE-2015-2424、CVE-2015-2590、 CVE-2015-3043、CVE-2015-5119和 CVE-2015-7645。

• 使用剖析（Profiling）脚本更具选择性地部署零日和其它工具，降低研究人员和其它人获得工具的几率。

• 日益依赖公共代码库，例如Carberp、 PowerShell Empire、P.A.S. webshell, Metasploit模块等，以加速开发周期，并提供似是而非的否认。

• 通过伪造的Google应用程序授权和Oauth访问要求获取凭证，绕过双因素认证和其它安全措施。

• 仅通过受害者系统中已经存在的合法工具在网络中横向活动，有时会放弃传统的工具延续攻击时间。

这些变化不仅说明APT28具备的技能，还表明该组织足智多谋，并希望保持行动有效性，同时也突出了该组织的任务长期性，以及在可预见的将来继续活动的意图。

APT28的关键战术

我们已经观察到APT28在设法攻击预定目标时，主要依赖四个关键战术。这些战术包括：发送鱼叉式网络钓鱼电子邮件，以此传送漏洞利用文件，将恶意软件部署在用户的系统上，或在电子邮件中包含恶意URL，用来获取收件人的电子邮件凭证，并访问他们的账户。APT28还感染，并将恶意软件放在合法网站上，意图感染网络访客，并通过感染组织机构面向Web的服务器，以此访问组织机构的网络。

E安全为大家提供了原文报告，可点击“阅读原文”下载

E安全注：本文系E安全独家报道，转载请联系授权，并保留出处与链接，不得删减内容。联系方式：① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全，最专业的前沿网络安全媒体和产业服务平台，每日提供优质全球网络安全资讯与深度思考，欢迎关注微信公众号「E安全」（EAQapp），或登E安全门户网站www.easyaq.com , 查看更多精彩内容。