前情回顾·俄乌网络战动态
安全内参2月29日消息,研究人员表示,过去一年来,来自世界各地的至少14个国家支持的黑客组织瞄准了俄罗斯以及部分原苏联成员国,如阿塞拜疆、白俄罗斯、吉尔吉斯斯坦和哈萨克斯坦,并进行了破坏或间谍活动。
俄罗斯网络安全公司F.A.C.C.T.的报告指出,其中一些APT组织可能与乌克兰有联系,后者正在与俄罗斯交战;另一些则代表自己的国家利益行事,包括朝鲜等国。F.A.C.C.T.此前是知名网络安全公司Group-IB的子公司,于去年4月独立,Group-IB在去年退出了俄罗斯市场。
F.A.C.C.T.称,这份报告为关于俄罗斯等部分原苏联国家,面临的“网络威胁战略和战术提供了最全面的数据来源”。由于俄乌战争爆发,西方安全公司选择退出俄罗斯市场,这导致它们对这些地区的了解程度有限。
研究发现,在间谍活动方面,那些表面上是伙伴或盟友的国家正在利用网络空间相互监视。
F.A.C.C.T.的报告是用俄语编写的,只有在预定义的国家列表中的用户才能下载,这些国家包括亚美尼亚、格鲁吉亚和乌克兰。
国家级网络威胁
报告显示,2023年俄罗斯面临的出于政治动机的攻击,较前一年增加了116%。研究人员发现,至少有28次针对俄罗斯机构的重大攻击活动,是由外国国家控制的黑客组织发动。
对于这些黑客组织来说,最有利可图的目标是俄罗斯政府和军事机构、工业企业、能源公司和电信提供商。F.A.C.C.T.表示,这些攻击通常是为了完成间谍活动。
一些国家支持的黑客组织,比如跟踪代号XDSpy、Cloud Atlas等组织,过去经常攻击俄罗斯。还有一些组织,比如跟踪代号Tomiris的俄语组织,刚刚开始扩展其在该地区的攻击能力。
过去一年里,针对俄罗斯的主要网络攻击有三角测量行动,俄罗斯将其归咎于美国情报机构;与朝鲜相关的APT37组织对俄罗斯国防企业发起的攻击,导致数据泄露;以及跟踪代号为Hellhounds的新组织发起的间谍活动,针对的是俄罗斯航天、物流、能源和国有企业。
该地区的其他俄语国家也成为了国家级黑客的受害者。例如,与亚洲某国有关的SugarGh0st组织瞄准了乌兹别克斯坦外交部,而Cloud Atlas和Sticky Werewolf组织则针对白俄罗斯政府机构发动了攻击。
要弄清楚国家控制的黑客组织究竟听命于哪个国家并非易事。例如,最活跃的威胁行为者之一XDSpy至少从2011年以来一直在运作,主要针对俄罗斯的关键基础设施,然而世界各地的研究人员都无法确定其代表哪个国家的利益。
激进黑客攻击
对俄罗斯企业的另一种有政治动机的威胁,是志愿者发起的网络攻击,此类攻击者更为人熟知的称呼是激进黑客。
F.A.C.C.T.研究人员表示,从发动DDoS攻击的数量来看,乌克兰IT部队仍然是该地区最活跃激进的黑客组织。过去一年中,该组织引入了新工具,并可能与其他当地激进黑客组织合流。
去年早些时候,与乌克兰IT部队有关的分支团队启动了一项名为Activeness的在线服务,旨在在社交网络上推广某些叙事。研究人员表示,此前乌克兰网络部队已经发动过类似行动,但“可能收效甚微”。
另一个名为“白俄罗斯网络游击队”的激进黑客组织,去年针对白俄罗斯和俄罗斯发动了至少六次攻击。其中至少有两次使用了未知的加密病毒,其他几次则是破坏活动,旨在篡改网站界面或泄露机密数据。
研究人员还发现了追求金融和政治利益的组织。其中一个是犯罪集团Comet Twelve。Comet团队要求受害者支付赎金,否则将拒绝解密并分发被盗数据。而Twelve团队不提出赎金要求,直接破坏受害者的网络。这两个团队使用相同的基础设施、战术和攻击工具。
F.A.C.C.T.将Twelve与Muppets和BlackJack等黑客组织联系在一起。今年1月初,BlackJack声称对莫斯科互联网供应商的攻击负责,据信此次攻击系该组织与乌克兰安全部门SBU合作进行。
研究人员说:“在严峻的地缘政治冲突中,激进黑客活动和亲政府黑客组织的活动在近几年不会减少。他们的优先目标将是间谍活动、窃取知识产权、获取公司数据库的访问权限。”
总体而言,去年黑客和激进黑客在暗网上新发布了246个俄罗斯公司数据库。根据报告,网络犯罪分子不会立即发布泄露的数据,而是利用数据对商业和公共领域的主要参与者发动新的攻击。
根据F.A.C.C.T.的预测,今年俄罗斯会受到来自世界各地“敌对”国家和“中立”国家的持续攻击。研究人员表示,攻击还会由内部人员发动,比如已经离开俄罗斯的公司前员工。
参考资料:https://therecord.media/russia-belarus-cyberthreat-research-facct
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
