FireEye发布报告《APT28:暴风中心》 剖析俄罗斯网络行动
E安全1月13日讯 2017年1月6日,美国国家情报总监发布情报机构评估报告:《评估俄干涉美国大选的活动与意图》。关于俄干涉美国大选的话题仍在继续。俄罗斯政府是否下令实施了入侵并泄露了数据?如果果真如此,是否能简单界定为可接受的国家间谍活动,或俄罗斯是否越线?入侵DNC是否是俄罗斯政府干涉美国大选的行动之一?
最重要的问题仍悬而未决:俄罗斯将如何继续通过各种方法(包括入侵和泄露数据)破坏俄罗斯政府认为限制和谴责其追求国家目标的体系、政策和参与者。
美国网络安全厂商火眼(FireEye)近日发布关于俄罗斯黑客网络行动的报告,FireEye认为APT28是俄罗斯政府支持的黑客组织。FireEye表示了解了APT28的一些政府目标、目的及其促成这些目的活动。
FireEye通过多次调查、端点和网络监测以及持续监控追踪并剖析了该组织。FireEye识别了APT28截至2017年的行动,了解到APT28的恶意软件、行动变化和动机。这些情报有助于保护和通知FireEye客户,暴露该组织的威胁,并进一步确信APT28为俄罗斯政府支持的组织。
E安全(微信公众号E安全)独家为各位读者译制了这份报告主要核心内容的中文版,需要原文完整版的读者可在文末下载。
《APT28:风暴中心》
俄罗斯实施战略性网络行动
概述
2016年12月29日,美国国土安全部(DHS)和联邦调查局(FBI)发布联合分析报告,证实APT28是俄罗斯政府支持的组织。至少自2007年以来,APT28参与大量行动支持俄罗斯的战略利益。几乎可以肯定的是,该组织由复杂和多产的开发人员与操作人员组成。APT28已经收集了国防和地缘政治问题方面的情报。APT28间谍活动主要针对美国、欧洲和前苏联国家的实体,包括政府和军事单位、国防机构、媒体实体、持不同政见者和俄罗斯政府的反对者。
过去2年,俄罗斯似乎越来越多地利用APT28实施符合广泛战略军事政策的信息行动(Information Operation)。攻击受害组织机构后,APT28会窃取内部数据,之后泄露给与俄罗斯利益一致的政治论坛和网站。到目前为止,这些活动包括叙利亚冲突、北约-乌克兰关系、欧盟难民和移民危机、2016奥运会和残奥会俄罗斯运动员兴奋剂丑闻、公开指控俄罗斯政府支持黑客行为和俄国干涉2016美国大选。
该报告详细介绍了APT28的目标和入侵行为。我们还会介绍该组织的工具开发和使用,并总结APT28攻击受害者使用的战术。
APT28的目标与入侵活动
2014年10月,FireEye发布《APT28:窥探俄罗斯网络间谍行动的窗口》,并认定APT28的活动符合俄罗斯的战略情报要求。通过追踪,我们注意到APT28对外国政府和军事单位(尤其是欧洲、东欧国家)、以及地区安全组织机构感兴趣,例如北大西洋公约组织(NATO)、欧洲安全与合作组织(OSCE,欧安组织)等。
下表强调了近期APT28的活动:
自2014年以来,APT28网络活动可能支持影响外国国内政治的信息行动。这些行动包括扰乱或篡改网站,使用虚假黑客角色开展伪旗行动,窃取数据,并公开泄露数据。
下表强调,经追踪,FireEye iSight情报、其它当局等遭受的网络攻击事件均是APT28所为。所有这些行动旨在实现类似的目标:确保达成有利于俄罗斯的政治结果。
从奥运会到数据泄露
随着DNC遭遇入侵的新闻传播开来,APT28正在准备另一系列行动。俄罗斯和许多国家一样,一直把奥运会的成功作为国家声誉和世界舞台软实力的来源。兴奋剂指控和禁令进一步排斥俄罗斯,并且可能为俄罗斯企图损害反兴奋剂机构和政策的动机。我们针对APT28攻击WADA网络事件展开调查,并对周围事件进行观察,其结果揭示了俄罗斯如何阻碍对其不利的言论,并非法使这些机构处于被批评的风口浪尖。
俄罗斯运动员大范围使用兴奋剂的指控
2015年11月 — WADA宣布俄罗斯反兴奋剂组织(RUSADA)违反规定。
2016年7月18日 — WADA 委托报告文件证明俄罗斯运动员大规模服用兴奋剂。
2016年8月4日 — 俄罗斯运动员被禁参加奥运会。
APT28攻击WADA
2016年8月初 — APT28 向WADA员工发送鱼叉式网络钓鱼电子邮件。
2016年8月10日 — APT28使用俄罗斯运动员的合法账号登录WADA反兴奋剂行政和管理系统(Anti-Doping Administration and Management System,ADAMS)数据库。
2016年8月25日-9月12日 — 进入专为2016奥运会创建的国际奥林匹克委员会账号,查看并下载运动员数据。
假黑客身份声称攻击WADA,并泄露了运动员数据
8月9日— “Anonymous Poland”(@anpoland)声称篡改了WADA的网站
8月11日 — @anpoland威胁对WADA实施DDoS攻击,并泄露数据,但最终并未坚持实施攻击。
9月12日 — “Fancy Bears的黑客组织”(Fancy Bears’ Hack Team),一个以前未知的黑客组织声称是知名黑客组织“匿名者”旗下的组织。该组织通过Twitter声称攻击了WADA,并将用户引导至托管被盗文件的网站。
该组织向国际记者推文,并通过Twitter账户散布黑客和信息安全新闻,“Fancy Bears的黑客组织”声称掌握有美国运动员服用兴奋剂的证据。
9月13日 — WADA发布声明证实遭遇入侵,并认为是APT28攻击并窃取了运动员的医疗数据。
9月15日-30日 — “Fancy Bears的黑客组织”公布了另5批的医疗记录(属于多名国家知名运动员),包括美国。美国已申请并收到治疗用药豁免申请(Therapeutic Use Exemptions,TUEs)批准。
“Fancy Bears的黑客组织”声称支持“公平竞赛”,并将TUEs称之为服用兴奋剂的许可证。
基于泄露和威胁活动的时间,再加上@anpoland和“Fancy
Bears黑客组织”在特点和散布方式上存在惊人的相似之处,很可能是同一组织在分饰两角。WADA官员援引执法部门提供的证据指出,威胁活动源于俄罗斯,可能是为了报复WADA,因为WADA暴露了俄罗斯大规模服用兴奋剂的行为。俄罗斯政府及时予以否认。俄罗斯体育部长Vitaly
Mutko质问到,“你们怎么证明这些黑客就是俄罗斯人?你们对俄罗斯的一切胡乱指责一通,现在已经见怪不怪了。”
总结:
自2014年发布报告之后,我们继续评估APT28是俄罗斯政府支持的黑客组织。通过进一步评估,我们认为,WADA、DNC和2016年美国大选相关实体遭遇的黑客事件是APT28所为。这些黑客行动包括窃取内部数据(大多数为电子邮件),之后战略性地通过多个论坛,并以可计算的方式传播,几乎可以肯定其目的是为了推进俄罗斯政府的特定目标。2017年1月7日发布的一份报告中,美国国家情报局(Directorate
of National Intelligence,DNI)将这项活动描述“影响活动”(Influence
Campaign)。这种影响活动(将网络攻击和后续数据泄露相结合)与俄罗斯军方公开表达的意图和能力密切相关。影响行动,还常被称为“信息行动”(Information
Operations),长期以来都是俄罗斯战略政策的一部分,并随着互联网的出现有意发展、部署并将行动现代化。美国的最近一起活动只是俄罗斯政府实施的影响行动之一,以支持其战略政治目标。随着2017年欧洲选举临近,尤其德国、法国和荷兰,俄罗斯此前曾在欧洲等地使用过类似的手段。
APT28的工具、战术和行动变化
2014年发布的报告中,我们怀疑APT28是俄罗斯政府支持的间谍组织。我们得出这个结论是基于APT28自2007年以来使用的恶意软件取证细节。
APT28的工具集的主要特点包括:
灵活的、模块化框架让APT28自2007年以来一直在不断改进工具集。
使用正规的编码环境开发工具,允许APT28在后门内创建并部署自定义模块。
结合反分析能力,包括运行时检查识别分析环境,运行时的混淆解包字符串,并包括未使用的设备指令,从而影响分析。
在莫斯科时区的正常工作日,并在俄语构建环境中编译。
超过97%的APT28恶意软件样本在工作周编译。
88%的样本于本地时区(包括俄罗斯大城市,例如莫斯科和圣彼得堡)早上8:00到下午6:00编译。
此外,APT28的开发人员2013年以前在俄罗斯语言设置中持续创建恶意软件。
自2014年以来,APT28网络行动的变化
几乎可以肯定的是,APT28继续改进工具,并完善战术,是为了努力保护面对公众暴露的操作有效性和审查。除了继续改进第一阶段的工具,我们还注意到APT28:
利用Adobe Flash Player、Java和Windows中的零日漏洞,包括CVE-2015-1701、CVE-2015-2424、CVE-2015-2590、 CVE-2015-3043、CVE-2015-5119和 CVE-2015-7645。
使用剖析(Profiling)脚本更具选择性地部署零日和其它工具,降低研究人员和其它人获得工具的几率。
日益依赖公共代码库,例如Carberp、 PowerShell Empire、P.A.S. webshell, Metasploit模块等,以加速开发周期,并提供似是而非的否认。
通过伪造的Google应用程序授权和Oauth访问要求获取凭证,绕过双因素认证和其它安全措施。
仅通过受害者系统中已经存在的合法工具在网络中横向活动,有时会放弃传统的工具延续攻击时间。
这些变化不仅说明APT28具备的技能,还表明该组织足智多谋,并希望保持行动有效性,同时也突出了该组织的任务长期性,以及在可预见的将来继续活动的意图。
APT28的关键战术
我们已经观察到APT28在设法攻击预定目标时,主要依赖四个关键战术。这些战术包括:发送鱼叉式网络钓鱼电子邮件,以此传送漏洞利用文件,将恶意软件部署在用户的系统上,或在电子邮件中包含恶意URL,用来获取收件人的电子邮件凭证,并访问他们的账户。APT28还感染,并将恶意软件放在合法网站上,意图感染网络访客,并通过感染组织机构面向Web的服务器,以此访问组织机构的网络。
E安全为大家提供了原文报告,可点击“阅读原文”下载
E安全注:本文系E安全独家报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。