俄羅斯10餘個「蜻蜓」黑客組織曝光

E安全3月20日訊 美國國土安全部（DHS）與聯邦調查局於2018年3月15日發出警告稱，目前針對西方能源企業及其它重要基礎設施的網路攻擊活動代表著俄羅斯政府的行為與立場。美媒認為，這項安全警告再次印證了2017年初由美國國家情報總署主任公布的結論——美國財政部認定「俄羅斯網路攻擊者」干涉2016年美國總統大選的行為。

US-CERT 發布「蜻蜓黑客」警告

此份警報由美國國土安全部（DHS）下轄 US-CERT 發布，其中提到：

「這是由俄羅斯政府網路攻擊者組織的多段式入侵活動，他們首先入侵小型商業設施網路，而後藉此散布惡意軟體、執行魚叉式釣魚攻擊並獲取遠程接入能源部門網路的能力。」

這輪指向歐洲與北美各目標的攻擊活動至少自2016年3月以來一直在持續，賽門鐵克公司於2017年9月確認了這波攻擊的存在。而其背後的操縱黑手被確定為代號「蜻蜓」的黑客集團。

賽門鐵克方面當時指出，惡意軟體代碼當中的部分文本以俄語編寫，但其並沒有作出此次攻擊源自俄羅斯境內個人或普京總統領導下的俄羅斯政府的結論，因為其中也包含部分法語文本，這代表著其中一種語言很可能被作為「假旗」策略使用，誤導安全研究人員對其歸因。

有多少個「蜻蜓」神秘黑客組織？

這一次，美國國土安全部（DHS）與聯邦調查局並沒有迴避他們對於攻擊歸因的判斷。正如於2016年年末發布的報告一樣，他們在研究結果中提到「俄羅斯政府針對美國政府實體及其能源、核能、商業設施、水務、航空以及各關鍵性製造部門發動網路攻擊。」

這份2016年的安全報告直接指向 GRIZZLY STEPPE，一波針對美國政府基礎設施的攻擊活動。通過研究，安全人員發現了兩個參與集團：

APT28（奇幻熊 Fancy Bear），與俄羅斯軍事情報部門格魯烏（簡稱GRU）有關;APT29（安逸熊 Cozy Bear），與俄羅斯內部安全機構聯邦安全局（簡稱FSB）有關。

報告還將蜻蜓列為俄羅斯各軍事與民間情報機構的十餘個備選組織之一，目前尚不清楚這些組織之間是否存在重疊。

俄羅斯黑客組織列表

蜻蜓的攻擊套路

美國國土安全部（DHS）與聯邦調查局在本份技術警報中解釋稱，蜻蜓集團首先進行偵察工作，而後通過針對性魚叉式網路釣魚攻擊獲取重要信息。

主要工作：偵查

警報顯示，蜻蜓有時會從人力資源頁面中下載照片，以便查看存在於圖像背景中的設備型號與狀態信息。他們嘗試滲透各目標機構內的網路電子郵件與虛擬專用網路（簡稱 VPN）連接。此外，他們還利用合同、簡歷、邀請以及政策文件等常規行業文件誘導網路釣魚目標打開其中包含的附件。

美國土安全部重構蜻蜓攻擊者所使用的界面

除此之外，攻擊者還曾經利用微軟 Office 當中的2015安全漏洞通過伺服器消息塊（簡稱SMB）協議從遠程伺服器處獲取文檔。這項漏洞使得攻擊者能夠通過點擊釣魚鏈接的方式獲取受害者的個人憑證，並從中提取明文密碼以訪問受害者帳戶。

蜻蜓集團還公開了與「流程式控制制、工業控制系統或關鍵基礎設施」相關的多個貿易出版物與信息網站，並在其中安置惡意 JavaScript 或 PHP 文件以實施惡意入侵。例如攻擊者可對合法 PHP 文件 header.php 進行修改，利用 SMB 從其控制的 IP 地址處提取像素文件。此外，他們還對高人氣 JavaScript 庫 modernizr.js 進行修改，旨在載入不可見的圖像信息。

攻擊者們也利用惡意 .docx 文件捕捉用戶憑證，而後安裝各種工具以隱藏自身入侵活動，包括 VPN 工具與密碼破解工具等等。他們還依靠 Windows 文件快捷方式或 LNK 文件來存儲自己收集到的用戶憑證。

一旦獲得訪問許可權，攻擊者就會進行網路偵察，進而入侵接入系統。例如，他們會使用 Windows 的計劃任務與批處理腳本來運行屏幕截圖工具 scr.exe，藉此獲取所接入系統的屏幕截圖。一旦他們得到了所追蹤的信息，攻擊者就會嘗試清除惡意文件、日誌文件以及其它入侵證據的方式，清理自己的入侵痕迹。

美國國土安全部/聯邦調查局發布的這份警報當中包含多種簽名，可協同 YARA 模式匹配工具共同識別與蜻蜓集團入侵活動相關的惡意軟體。

警告中

提供

的

應對措施

：

本次警報還提供了一系列關於可以考量的應對性安全建議以及應當採取的安全最佳實踐，例如建議用戶首先禁用 TCP 埠 139 、445 ；禁用 UDP 埠 137 ；阻斷 SMB 及其相關協議。

目前美國國土安全部（DHS）方面尚未提供與此輪攻擊活動所造成損害的細節信息，包括是否正在考慮或已經制定了相關應對舉措。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！