虽然SolarWinds在今年早些时候恰好引起了人们的注意,但莫斯科的Fancy Bear组织一直在进行猜测密码的疯狂行动。
俄罗斯极具破坏性的SolarWinds间谍活动的发现,使人们注意到莫斯科的外国情报黑客复杂的供应链劫持技术。但现在很明显,在整个SolarWinds间谍活动及其后果中,另一群克里姆林宫黑客一直保持着他们一贯的日常工作,使用基本但往往有效的技术来撬开他们在美国和全球互联网上能找到的任何脆弱网络。
周四,美国国家安全局、联邦调查局、美国国土安全部的网络安全和基础设施安全局以及英国国家网络安全中心发布了一份联合公告,警告说世界各地有数百起试图用暴力入侵的黑客行为,这些行为都是由俄罗斯GRU军事情报机构的26165部队实施的,也被广泛称为Fancy Bear或APT28。黑客活动的目标是广泛的组织,包括政府和军事机构、国防承包商、政党和咨询机构、物流公司、能源公司、大学、律师事务所和媒体公司。换句话说,活动目标是互联网上的每一个相关部门。
黑客活动对这些目标使用了相对基本的技术,大量猜测用户名和密码以获得初始访问。但是,网络安全机构警告说,”花熊 “活动还是成功地侵入了多个实体,并从它们那里泄露了电子邮件,而且还没有结束。”国家安全局网络安全主任罗布-乔伊斯(Rob Joyce)在一份伴随咨询的声明中写道:”这种收集和泄露数据、访问凭证等长时间野蛮动可能正在全球范围内进行。”
“我们没有办法让莫斯科停止间谍活动”。
JOHN HULTQUIST, MANDIANT
GRU的26165部队,比开展SolarWinds活动的SVR情报机构的间谍更具有高度破坏性黑客攻击的历史。Fancy Bear是黑客和泄密行动的幕后黑手,这些行动的目标包括2016年的民主党全国委员会和克林顿竞选团队,以及国际奥林匹克组织委员会和全球反兴奋剂机构。但是,安全公司Mandiant的副总裁、GRU的长期追踪者约翰-赫尔奎斯特(John Hultquist)说,目前还没有任何理由相信这一最新努力的意图超出了传统的间谍活动。
Hultquist说:”这些入侵行为不一定预示着我们在提到GRU时想到的诡计。”但这并不意味着黑客活动不重要。他认为联合咨询列出了黑客使用的IP地址和恶意软件,试图为成功的入侵行动增加 “摩擦”。”这是一个很好的提醒,GRU仍然在那里,进行这种活动,它似乎集中精力在更经典的间谍活动目标上,如政策制定者、外交官和国防工业。”
该黑客活动中能源部门的目标引起了一个额外的注意,特别是考虑到GRU的另一个黑客团队Sandworm仍然是唯一一个引发实际停电的黑客,在2015年和2016年破坏了乌克兰的电力设施。能源部在2020年初单独警告说,黑客在2019年圣诞节前针对一个美国 “能源实体”。该咨询包括了后来与GRU Unit 26165匹配的IP地址,这是WIRED去年首次报道的。”当我在能源领域看到GRU时,我总是很担心。”Hultquist说,“即便如此,他仍然认为简单的间谍活动是一个可能的动机。重要的是要记住俄罗斯是一个石油国家。他们在能源领域有巨大的利益。这将是他们情报收集要求的一部分。”
安全公司Gigamon的情报主管Joe Slowik认为,GRU的暴力黑客行为可能是 “机会主义的”,而不是有针对性的,他首先发现了能源部警报和GRU之间的联系。他认为,该团队可能只是在获得对其能找到的任何网络的访问权,然后将这些访问权转交给其他有更具体任务的克里姆林宫黑客,如间谍活动或破坏行动。”他们的任务是’去为我们在感兴趣的组织中获得访问点’。”斯洛维克说,”然后他们成为其中的一员,或者根据他们能够找到的任何接入点,将其转交给负责更多入侵行动的各方。”
然而,Slowik说,这一 “零星 “活动的广度表明,GRU可能正在扩大其访问尝试的规模。咨询报告指出,例如,黑客使用了Kubernetes,一种服务器虚拟化和自动化工具。这似乎是一个新的技巧,以更有效地加速虚拟机运转,方便他们企图入侵。Slowik补充说,通过坚持使用国家支持的和网络犯罪的黑客所使用的简单技术,GRU的黑客活动在某种程度上仍然是 “可否认的”。如果不是政府机构的咨询将其与GRU联系起来,网络运营商就没有什么证据来区分这种探测和其他黑客企图。
在美国总统拜登和俄罗斯总统弗拉基米尔-普京在日内瓦的峰会上进行会晤之后,部分是为了化解俄罗斯SolarWinds间谍活动的紧张局势,俄罗斯黑客的最新消息可能看起来是对美国外交努力的一次打脸。毕竟,拜登为普京列出了美国关键基础设施的16个领域,他指定这些领域为任何黑客行动的禁区,包括能源部门。
但目前仍不清楚GRU的大规模暴力行动可能渗透进了哪些特别敏感的基础设施目标,或者是否有任何目标发生在峰会之后而不是之前。Mandiant的John Hultquist认为,无论拜登和普京之间的会面,还是任何其他外交会晤,都无法阻止间谍活动中永恒的猫捉老鼠游戏。
“这是否意味着与俄罗斯的关系已经破裂?不,我们没有办法让莫斯科停止间谍活动。”Hultquist说,”这只是不会发生。我们将永远生活在一个俄罗斯人正在收集情报的世界里,这将永远包括网络性能。”
