导航菜单
首页 >  沐鸣开户测速 >  » 正文

俄罗斯的GRU黑客攻击了美国政府和能源目标

沐鸣开户测速

俄罗斯军事情报机构GRU已经实施了许多历史上最激进的黑客行为:破坏性的蠕虫、停电,以及最接近美国本土的入侵和泄露行动,目的是影响2016年美国总统大选的结果。现在看来,GRU再次袭击了美国的网络,这是一系列之前没有报道过的入侵,目标包括从政府机构到关键基础设施的组织。
 
《连线》(WIRED)获得了一份美国联邦调查局(FBI)发给5月份黑客攻击受害者的通知,该通知显示,从2018年12月到至少今年5月,GRU黑客组织“APT28”(或“Fancy Bear”)对美国目标实施了广泛的黑客攻击。根据美国联邦调查局的说法,GRU黑客主要试图侵入受害者的邮件服务器、微软Office 365和电子邮件账户,以及VPN服务器。FBI在通知中称,这些目标包括“一系列总部位于美国的组织、州和联邦政府机构以及教育机构”。该通知中包含的技术信息显示,APT28黑客也将目标对准了美国能源行业,显然也是出于同样的努力。
 
鉴于GRU过去的行动,一场可能正在进行的、以美国为目标的大规模黑客攻击的曝光尤其令人不安。GRU过去的行动往往不仅仅是间谍活动,还包括令人尴尬的电子邮件泄露,甚至是破坏性的网络攻击。4月28日黑客尤其成为了美国指控的对象,指控称黑客和泄露行动的目标包括2016年美国大选和全球反兴奋剂机构。后者显然是对国际奥委会因俄罗斯使用兴奋剂而禁止其参加2018年奥运会的报复。
 
美国联邦调查局发言人在一份声明中写道:“虽然不是所有的动机都清楚,但我们可以根据过去起诉书中看到的目标的性质做出判断。”《连线》要求FBI就向APT28黑客事件受害者发送的通知发表进一步评论。美国联邦调查局还表示,对格鲁的黑客攻击可能已经持续了近几个月。“高级持续威胁就是这样,”这位发言人补充说,“APT28”是APT28的首字母缩写。“市场预计活动将持续下去。”
 
根据美国联邦调查局的受害者通知,APT28黑客通过发送给个人和工作邮箱的鱼叉式钓鱼邮件进入网络。他们还使用了“喷洒密码”攻击,沐鸣开户测速即黑客尝试在多个账户上使用通用密码,以及对一个或少数账户猜测一长串密码的暴力攻击。
 
5月初,在联邦调查局向受害者发出通知后的几天内,美国国家安全局就发布了一份公开声明,称与GRU有密切联系的独立黑客组织Sandworm正在利用Exim邮件服务器的一个漏洞攻击受害者。联邦调查局告诉《连线》杂志,他们不知道开发Exim和APT28的活动之间有任何联系。
 
“他们偷走了整个邮箱”
 
受影响组织的一名员工告诉《连线》杂志,IT人员没有看到任何钓鱼攻击成功的迹象,但仍然发现黑客已经访问了他们的电子邮件服务器。“一旦他们进入服务器,他们就偷走了整个邮箱,”这名员工说,他要求电报不要泄露他们的身份或为他们工作的组织。
 
FBI最终通知该组织,他们实际上是在4月28日被攻破的。“人们自然会担心,沐鸣开户测速我是不是下一个约翰•波德斯塔(John Podesta) ?”这位工作人员指的是希拉里•克林顿(Hillary Clinton)竞选团队的负责人,他的电子邮件在2016年大选前的4月28日被窃取和泄露。“阅读受害者通知,并意识到有多少不同的组织可能成为目标,这就强调了我们在2016年担心的事情,实际上就在我们说话的时候,俄罗斯还在做。”
 
FBI拒绝透露APT28行动可能锁定了多少受害者,也不愿透露有多少次行动成功。但安全公司FireEye表示,他们已经了解到“少数”受害者组织被黑客入侵,使用的IP地址与FBI受害者通知中APT28所使用的相同。FireEye的网络间谍分析师本•里德(Ben Read)表示,在这些案例中,黑客似乎并没有用恶意软件感染系统,而是像员工那样,使用窃取的凭证在公司网络中四处移动。里德说:“这是一次相当轻松的接触。”
尽管FireEye和FBI都不愿透露APT28受害者的身份,但该组织的目标中至少有一个似乎来自美国能源行业。美国能源部(Department of Energy)今年1月发布的一份报告警告称,在去年圣诞前夜,有人用APT28此前使用的IP地址,调查了一家“美国能源实体”的登录页面。FBI还列出了APT28的黑客在5月份使用的IP地址,这证实了APT28很可能是那次事件的幕后黑手。
 
"这是一个相关的数据点"
 
工业控制系统安全公司Dragos的安全研究员Joe Slowik说,能源部门的入侵将代表APT28的目标转变,他发现了能源部的咨询和联邦调查局受害者通知之间的联系。他表示:“考虑到我们对APT28运作方式的理解,以及它典型的受害者心理,认定该集团与美国能源行业互动的行为,将与该集团以往的行为大相径庭。”
 
虽然这显然是APT28的一个新冒险,但GRU作为一个整体确实有过入侵关键基础设施的历史。2014年,沐鸣开户测速GRU黑客组织Sandworm在美国电力公司的网络中植入了恶意软件,然后在2015年和2016年在乌克兰实施了首次由网络攻击引发的停电。Slowik认为,APT28现在可能也盯上了美国能源行业的目标——或者说,鉴于两家集团过去曾经合作过,“沙虫”也盯上了美国的目标——这种想法令人不安。“这是一个令人担忧的数据点,”Slowik说。“这是一段时间以来该组织首次将美国关键基础设施作为目标。”
 
考虑到GRU在2016年臭名昭著的选举干预活动,2020年针对美国组织的新的黑客攻击活动也引发了对另一轮选举干预的担忧。美国情报官员自今年初以来一直警告称,俄罗斯试图再次干预美国的选举政治,以帮助特朗普总统连任。但FBI和FireEye都表示,他们没有发现APT28发生的这一系列入侵事件与即将到来的总统选举有关的迹象。
 
相反,FireEye的里德说,这次行动表明,GRU对美国目标的普遍兴趣并没有结束,即使它的结局仍不明朗。“在他们看来,美国仍然是俄罗斯的主要对手。这是一个重要的提醒,这仍在继续,”里德说。“很难说这是不是一种重大的升级。但这显然不是好事。”