E安全3月20日讯 美国国土安全部（DHS）与联邦调查局于2018年3月15日发出警告称，目前针对西方能源企业及其它重要基础设施的网络攻击活动代表着俄罗斯政府的行为与立场。美媒认为，这项安全警告再次印证了2017年初由美国国家情报总署主任公布的结论——美国财政部认定“俄罗斯网络攻击者”干涉2016年美国总统大选的行为。

US-CERT 发布“蜻蜓黑客”警告

此份警报由美国国土安全部（DHS）下辖 US-CERT 发布，其中提到：

“这是由俄罗斯政府网络攻击者组织的多段式入侵活动，他们首先入侵小型商业设施网络，而后借此散布恶意软件、执行鱼叉式钓鱼攻击并获取远程接入能源部门网络的能力。”

这轮指向欧洲与北美各目标的攻击活动至少自2016年3月以来一直在持续，赛门铁克公司于2017年9月确认了这波攻击的存在。而其背后的操纵黑手被确定为代号“蜻蜓”的黑客集团。

赛门铁克方面当时指出，恶意软件代码当中的部分文本以俄语编写，但其并没有作出此次攻击源自俄罗斯境内个人或普京总统领导下的俄罗斯政府的结论，因为其中也包含部分法语文本，这代表着其中一种语言很可能被作为“假旗”策略使用，误导安全研究人员对其归因。

有多少个“蜻蜓”神秘黑客组织？

这一次，美国国土安全部（DHS）与联邦调查局并没有回避他们对于攻击归因的判断。正如于2016年年末发布的报告一样，他们在研究结果中提到“俄罗斯政府针对美国政府实体及其能源、核能、商业设施、水务、航空以及各关键性制造部门发动网络攻击。”

这份2016年的安全报告直接指向 GRIZZLY STEPPE，一波针对美国政府基础设施的攻击活动。通过研究，安全人员发现了两个参与集团：

• APT28（奇幻熊 Fancy Bear），与俄罗斯军事情报部门格鲁乌（简称GRU）有关;
  

• APT29（安逸熊 Cozy Bear），与俄罗斯内部安全机构联邦安全局（简称FSB）有关。

报告还将蜻蜓列为俄罗斯各军事与民间情报机构的十余个备选组织之一，目前尚不清楚这些组织之间是否存在重叠。

俄罗斯黑客组织列表

蜻蜓的攻击套路

美国国土安全部（DHS）与联邦调查局在本份技术警报中解释称，蜻蜓集团首先进行侦察工作，而后通过针对性鱼叉式网络钓鱼攻击获取重要信息。

主要工作：侦查

警报显示，蜻蜓有时会从人力资源页面中下载照片，以便查看存在于图像背景中的设备型号与状态信息。他们尝试渗透各目标机构内的网络电子邮件与虚拟专用网络（简称 VPN）连接。此外，他们还利用合同、简历、邀请以及政策文件等常规行业文件诱导网络钓鱼目标打开其中包含的附件。

美国土安全部重构蜻蜓攻击者所使用的界面

除此之外，攻击者还曾经利用微软 Office 当中的2015安全漏洞通过服务器消息块（简称SMB）协议从远程服务器处获取文档。这项漏洞使得攻击者能够通过点击钓鱼链接的方式获取受害者的个人凭证，并从中提取明文密码以访问受害者帐户。

蜻蜓集团还公开了与“流程控制、工业控制系统或关键基础设施”相关的多个贸易出版物与信息网站，并在其中安置恶意 JavaScript 或 PHP 文件以实施恶意入侵。例如攻击者可对合法 PHP 文件 header.php 进行修改，利用 SMB 从其控制的 IP 地址处提取像素文件。此外，他们还对高人气 JavaScript 库 modernizr.js 进行修改，旨在加载不可见的图像信息。

攻击者们也利用恶意 .docx 文件捕捉用户凭证，而后安装各种工具以隐藏自身入侵活动，包括 VPN 工具与密码破解工具等等。他们还依靠 Windows 文件快捷方式或 LNK 文件来存储自己收集到的用户凭证。

一旦获得访问权限，攻击者就会进行网络侦察，进而入侵接入系统。例如，他们会使用 Windows 的计划任务与批处理脚本来运行屏幕截图工具 scr.exe，借此获取所接入系统的屏幕截图。一旦他们得到了所追踪的信息，攻击者就会尝试清除恶意文件、日志文件以及其它入侵证据的方式，清理自己的入侵痕迹。

美国国土安全部/联邦调查局发布的这份警报当中包含多种签名，可协同 YARA 模式匹配工具共同识别与蜻蜓集团入侵活动相关的恶意软件。

警告中提供的应对措施：

本次警报还提供了一系列关于可以考量的应对性安全建议以及应当采取的安全最佳实践，例如建议用户首先禁用 TCP 端口 139 、445 ；禁用 UDP 端口 137 ；阻断 SMB 及其相关协议。

目前美国国土安全部（DHS）方面尚未提供与此轮攻击活动所造成损害的细节信息，以及是否正在考虑或已经制定了相关应对举措。

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/1262402532.shtml

▼点击“阅读原文” 查看更多精彩内容