美国情报界最大的私人承包商布兹·艾伦·汉密尔顿(Booz Allen Hamilton)本周发表了一份全面报告,详细介绍了俄罗斯军事黑客进行的15年(2004年至2019年)的网络攻击行为,Booz Allen 分析了200多个俄罗斯黑客行动。
该报告在网络安全界非常罕见,因为它着眼于俄罗斯军方如何利用其黑客部门在全球范围内支持其外交政策的更广阔的前景。
这与信息安全行业的大多数其他报告形成对比,这些报告通常将调查重点放在孤立事件上,避免进行任何政治分析,并且很少将攻击归因于外国政府。
取而代之的是,Booz Allen报告将以前的所有有关俄罗斯黑客的先前报告作为报告,并将它们置于更广泛的政治背景下,以便了解它们发生的原因,而不是如何发生,使用哪种恶意软件以及谁按下了什么按钮以及何时按下。
GRU
更具体地说,布兹·艾伦(Booz Allen)的报告重点关注由俄罗斯军队附属的情报部门进行的网络操作。
该情报机构被称为武装部队总参谋长总局,在俄罗斯国内外享有盛名,其前身是GRU,其前身是GlávnoyeRazvedyvatel’nojeUpravléniye(总情报局)的历史名称。。该机构的当前名称是GlávnoyeUpravléniye(总局)或GU,但是这个术语很少使用,并且该服务仍被广泛称为GRU。
就上下文而言,GRU与俄罗斯政府的内部情报服务(FSB)不同,后者是臭名昭著的克格勃的继任者。与FSB不同,GRU仅支持俄罗斯的军事行动和克里姆林宫的外交政
在过去的15年中,GRU与两个截然不同的黑客组织有联系。第一个是APT28(又名Fancy Bear),第二个是Sandworm。
据信,每个黑客组织都是俄罗斯情报部门内部的一个不同的军事部门,专门负责执行各种程度的网络操作,而桑德罗姆则是GRU的精锐部门。
俄罗斯的军事学说可以预见GRU袭击
根据布兹·艾伦(Booz Allen)的报告,这两个组织的网络运营不能孤立地看待。它们几乎完全是在更广泛的政治环境中进行的。
GRU是军事行动,所有行动都遵循一系列模式。Booz Allen表示,它分析了200多个公开归因于GRU的独特网络事件,并发现了这种模式。
据美国情报承包商称,这种模式完全符合俄罗斯政府定期发布的名为“俄罗斯联邦军事学说”的俄罗斯政府文件中所述的原则。
该文档的最新版本于2014年发布,其中列出了俄罗斯联邦面临的23种安全风险,俄罗斯军队必须以一种形式或方式对这些安全风险做出答复。
在此份长达80页的大篇幅报告中,Booz Allen的分析师将过去200多个GRU网络攻击归为23类,并显示了每一次网络攻击是俄罗斯应对周围不断变化的政治环境的自然防御机制。
该报告的最终结论是可以预测GRU进攻性网络运营。
发现其议程与俄罗斯政府相冲突的公司或政府可能会将克里姆林宫解释为其军方反应原则中列出的23种风险之一,应该预料到俄罗斯著名黑客组织的袭击。
Booz Allen分析师本周表示:“捍卫像GRU这样的网络运营所需要的不仅是理解这些运营是如何发生的,而且更重要的是,为什么要理解。” “通过了解对手为何行动,防御者可以更好地预测这些行动的时间,地点和形式,并根据这种见识采取有计划的行动来减轻风险。”
我们不会在这篇文章中列出Booz Allen报告中所有200多个已知的GRU网络攻击,因为我们最终会花费同样长的篇幅。
但是,在下面,我们列出了一些国际事件,俄罗斯通过这些事件释放了GRU黑客部门。然后,我们将特定的网络攻击与军事理论中描述的23条原则中的一项或多项相关联。
我们将重点关注鲜为人知的事件,而不涵盖主要事件。
黑山共和国
在俄罗斯想加入北约之后,俄罗斯介入了黑山的事务。根据其军事理论,俄罗斯认为北约的扩张在其安全风险清单中排名第一。
GRU的行动对于克里姆林宫选举亲俄政府和阻止该国加入北约的努力至关重要。
选举前三天,GRU运营商进行了DDoS攻击,破坏了媒体站点,该国最大的电信,一个监测选举的非政府组织以及政府站点,以破坏即将到来的选举并造成混乱。
布兹·艾伦(Booz Allen)指出,格鲁吉亚行动还获得了非军事力量的帮助,俄罗斯将资金汇入了反对派政治团体,并“寻求与政治人物,神职人员,非政府组织和媒体进行协调”。
GRU阻止黑山选举亲西方友好政客的行动还包括实地行动。当时,黑山的执法部门逮捕了据称计划袭击议会,暗杀总理,煽动内乱,对平民进行假旗袭击的GRU军官和特工。
黑山加入北约后,GRU的业务转移回其黑客部门,后者继续进行鱼叉式网络钓鱼活动。
叙利亚
当克里姆林宫试图保留普京友好的领导人时,格鲁集团支持俄罗斯在叙利亚的战争努力。这项努力符合俄罗斯的军事学说,即在俄罗斯周围保持稳定的政治气氛,并防止外国大国破坏其盟国和邻国的稳定(在其军事学说中排名第二)。
Per Booz Allen表示:“格鲁吉亚很可能在2014年12月至2015年2月间使用ISIL的黑客主义者的身份骚扰和恐吓美国军事和执法团体,以应对这些情况(美国对叙利亚的军事干预)。”
GRU运营商毁损了美国的新闻媒体网站,给人的印象是,伊黎伊斯兰国控制了可观的网络资源。
GRU运营商泄露了美国服务会员的个人数据。一些数据甚至通过被黑客入侵的美国军事中央司令部(CENTCOM)社交媒体帐户泄露。
GRU运营商入侵了马里兰电视台的短信警报系统,向用户发送了威胁性消息。加上俄罗斯在叙利亚境内的军事努力,格鲁吉亚(GRU)的在线努力似乎取得了成功,因为美国公众对叙利亚战争的支持减少了,而美国最终撤出了军队。
波兰
GRU网络间谍活动在俄罗斯政府对在波兰建立北约主要基地的反应中发挥了作用。这既符合俄罗斯对北约在该地区不断增加的存在的强制性回应(在军事学说上排名第一),也有外国势力在俄罗斯边界附近部署部队的危险(在军事学说上排名第三)。
从2014年夏季开始,GRU大量参与了“对波兰政府和国防部门的监督”。
这是通过“水坑”攻击来完成的。与GRU关联的黑客入侵了波兰政府公共记录网站和波兰国防公司的网站,他们在这些网站上使用自动漏洞利用程序在访问者的系统上安装了后门程序。
Per Booz Allen认为,使用水坑,而不是更有针对性的鱼叉状装饰,表明无奈之下要在许多波兰人(例如,决策者,供应商)周围获得最大的知名度。
俄罗斯在2018年提议在白俄罗斯建立类似的基地以对抗北约的波兰基地时,白俄罗斯拒绝了。同月,GRU黑客开始以鱼叉网络钓鱼为目标攻击白俄罗斯政府。
罗马尼亚
在该国增加军事支出和军事行动之后,GRU黑客开始将罗马尼亚作为攻击目标。就像波兰的情况一样,俄罗斯对外国的回应是增加了其在感兴趣地区的军事存在-在这种情况下,黑海(也是军事学说中的第三名)。
在罗马尼亚提议与邻国摩尔多瓦建立联合军事部队的同一个月,格鲁吉亚行动者对罗马尼亚驻俄罗斯大使馆发动了鱼叉式网络钓鱼袭击,以密切监视进一步的事态发展。
俄罗斯在2014年吞并克里米亚之后,罗马尼亚下令订购三艘潜艇和四艘水面舰艇,以使其海军在黑海的存在现代化。一个月后,一些鱼叉网络钓鱼行动针对罗马尼亚实体,与GRU相关的恶意软件样本通常从罗马尼亚上传到VirusTotal病毒扫描门户。
丹麦
在该国宣布加入北约导弹防御系统之后,GRU的黑客行动针对了丹麦数年。
在此,俄罗斯对美军采取了应对措施,在其边界附近部署了反导系统(这在其军事理论上排名第四),破坏了美国的军事威慑能力。
3月15日,俄罗斯驻丹麦大使在一次报纸采访中警告说,丹麦加入了“美国控制的导弹防御系统,使丹麦军舰……成为俄罗斯核导弹的目标”。
十天后,GRU展开了为期两年的努力,为丹麦外交部和国防部的雇员破解电子邮件帐户。
英国
在俄罗斯考虑在叙利亚部署部队之后,俄罗斯向英国部署了军事黑客,这一明显举动使其与俄罗斯背道而驰(其军事学说排名第二和第八)。
GRU黑客于2015年7月在英国政府考虑向叙利亚派遣部队的同一个月,在英国一家电视台建立了抢滩头。
该电视频道名为“伊斯兰频道”,据信GRU将通过宣传将其用于定位英国伊斯兰社区。
在法国和美国(英国的合作伙伴)身上也看到了类似的电视台袭击事件,这些袭击都是以伊黎伊斯兰国为依托的黑客主义者组织CyberCaliphate的幌子。
美国
美国在其军事学说上打破了安全隐患#14以后,俄罗斯部署了APT28参加了2016年美国总统大选。在2012年俄罗斯总统大选期间。
随后发生的是DNC骇客,伪装为Guccifer 2.0骇客主义者的APT28,DCLeaks,以及针对美国公众的在线巨魔和虚假新闻网站网络。
国际体育组织
在俄罗斯运动员被禁止参加几项体育赛事之后,俄罗斯还部署了GRU黑客,以抹黑全球的国际体育组织。
当时,俄罗斯国家黑客追随体育组织似乎很奇怪,因为这不是国家资助的黑客组织的通常目标。但是根据布兹·艾伦(Booz Allen)的说法,WADA禁止俄罗斯运动员参加奥运会相当于俄罗斯国家的公开尴尬,并有效地打破了俄罗斯军事理论中的原则#17-将WADA禁令视为对俄罗斯历史,精神和爱国主义的攻击价值观和传统。
忠于其军事理论,俄罗斯释放了其GRU黑客,这导致了本十年中出现的一些非标准国家支持的黑客攻击活动,仅次于2014年的索尼黑客攻击。
GRU在2016年入侵了世界反兴奋剂机构(WADA),并通过伪造的代理黑客行为者身份泄露-外国运动员的治疗使用豁免(TUE)。
目的是在俄罗斯运动员和出于医疗原因而使用掺杂物质的其他国家的运动员之间建立一种错误的道德对等感。一旦GRU泄露了TUE文件,这种说法就被俄罗斯官方媒体大力推动。
两年后,GRU黑客还试图破坏和破坏2018年冬季奥运会的开幕式,以应对仍被禁止参加奥运会的俄罗斯运动员。
原文来源:远望蘑菇云
声明:本文来自关键基础设施安全应急响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
