APT28新动向：针对多个国家的军事、政府进行情报收集

赛门铁克安全响应团队在上周发表的一篇博文中指出，因涉嫌参与干预2016年美国总统大选而名声大噪的黑客组织APT28似乎已经将其攻击活动重心重新转移到了网络间谍活动。

根据美国国土安全部（DHS）和联邦调查局（FBI）的说法，APT28组织与俄罗斯政府存在关联。该组织在2017年至2018年期间重新回到了他们的情报收集行动，目标是欧洲和南美的军事、政府组织。

APT28的历史罪行

APT28，也被称为Fancy Bear、Pawn Storm、Sofacy Group、Sednit和STRONTIUM，至少自2007年起就已经开始专注于从全球多个国家的政府、军队和安全机构窃取有利于俄罗斯政府的内幕消息。如上所述，APT28也被怀疑是一个得到国家政府支持的黑客组织，据说是俄罗斯军事情报机构GRU（General Staff Main Intelligence Directorate）的一个下属部门。

该组织曾被指从2016年春天开始向包括美国民主党全国委员会（DNC）成员在内的政治目标发送了鱼叉式网络钓鱼电子邮件，旨在诱使收件人通过一个虚假页面更改他们的电子邮箱登录密码。很显然，APT28的目的是窃取这些目标人物的密码，然后安装恶意软件以及窃取信息。

在同一年，该组织还公开承认入侵了世界反兴奋剂机构（WADA），并在一个名为“Fancy Bears”网站上公布了众多国际运动员的私人医疗记录。类似的攻击事件发生在2017年4月，国际田联协会（ IAAF ）表示，APT28入侵了其服务器并窃取了大量运动员私人医疗记录。

同样是在2017年，APT28还被指试图干预法国总统大选——针对法国大选首轮胜出者马克龙发动攻击。钓鱼电子邮件的附件文档中包含了两个0day漏洞的利用代码：一个是Word远程代码执行漏洞（CVE-2017-0262），另外一个是Windows中的本地权限升级漏洞 （CVE-2017-0263），该组织的目的是试图利用这两个漏洞来下载其常用的侦察工具Seduploader。

重回情报收集行动

在2016年获得了前所未有的关注之后，APT28在2017年和2018年仍在继续其网络攻击活动。不过，自2017年初以来，该组织的活动开始变得十分隐秘，这似乎主要因为他们重新回到了情报收集行动的原因。

根据赛门铁克的说法，APT28在2017年至2018年期间的目标组织包括：

• 一个知名的国际组织
• 欧洲的军事组织
• 欧洲的政府组织
• 南美国家的政府组织
• 位于东欧国家的大使馆

正在开发的工具

APT28使用了许多工具来攻击其目标，其中最常用的恶意软件是Sofacy，它包含两个主要的组件：Trojan.Sofacy（也被称为Seduploader），用于在受感染计算机上执行最基本的侦察任务，且可以下载其他的恶意软件；Backdoor.SofacyX（也被称为X-Agent），是第二阶段的恶意软件，能够从受感染计算机上窃取信息。此外，这里还有一个Mac版本的木马（OSX.Sofacy）。

在过去两年里，APT28一直在持续开发新的工具。例如，Trojan.Shunnael（又名X-Tunnel），它能够通过加密的隧道来保持对受感染网络的访问。

除此之外，正如世界知名电脑安全软件公司ESET所报道的那样，APT28还开始了对一种名为“Lojax”的UEFI（统一可扩展固件接口）rootkit的使用，目标是巴尔干以及欧洲中东部的多个政府组织。由于这个rootkit驻留在计算机的SPI闪存中，因此即使重装系统、更换硬盘也无法清除它。

持续存在的威胁

很明显，APT28不仅没有因为被指参与干预2016年美国总统大选所引起的公众关注而吓倒，而且仍在开发新的工具以及使用旧的工具发动更多的袭击。

在2016年之后，该组织似乎再次重新回到了他们的“老本行”，对一系列目标展开了情报收集行动。这些正在进行的活动以及不断完善的黑客工具都表明，该组织可能会继续对国家目标构成重大威胁。

声明：本文来自黑客视界，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。