首页 > 安全 > 网络安全 >

俄罗斯黑客曾组织利用恶意软件X-Agent追踪乌克兰军队

2018-08-30

俄罗斯黑客曾组织利用恶意软件X-Agent追踪乌克兰军队。 2014年底至2016年,俄罗斯APT组织“Fancy Bear”使用Android设备恶意软件植入程序追踪并攻击乌克兰炮兵部队。这个知名的黑客组织也被称为APT 28、Pawn Storm、Sednit或Sofacy,曾一度占据新闻头条。

2014年底至2016年,俄罗斯APT组织“Fancy Bear”使用Android设备恶意软件植入程序追踪并攻击乌克兰炮兵部队。这个知名的黑客组织也被称为APT 28、Pawn Storm、Sednit或Sofacy,曾一度占据新闻头条。

网络安全公司CrowdStrike的专家报告称,据称2014年底至2016年,俄罗斯国家攻击者使用Android设备的恶意软件植入程序追踪并攻击乌克兰炮兵部队。

间谍将该恶意代码用来监视目标的通信,并获取乌克兰炮兵部队的位置数据,该信息可能被亲俄分裂分子攻击乌克兰东部地区的乌克兰部队。2016年夏季,CrowdStrike的研究人员开始调查一个名为“Попр-Д30.apk”(MD5: 6f7523d3019fa190499f327211e01fcb)的Android 程序包(APT)。该APT包含大量俄语军事工件。黑客使用了合法应用程序的植入程序,但无法再Android应用商店找到该应用。

最新披露的数据取证证据表明,该黑客组织(被指控干扰美国总统大选)可能参与复杂、多维的网络间谍行动,帮助武装亲俄分裂分子追踪乌克兰部队的动向。

如果数据准确,Crowdstrike的发现有力证明了传统战场上出现预期扩展—网络空间成为情报收集行动和破坏的基本领域。美国民主党全国委员会(DNC)今年夏天要求Crowdstrike清理入侵黑客,追踪线索落到俄罗斯黑客头上。

上周四,Crowdstrike发布报告,称俄罗斯军事情报机构GRU与Fancy Bear黑客组织有关联。这个独特的恶意软件被称为“X-Agent”,被GRU和Fancy Bear用来渗透电子设备,允许攻击者潜在窃取个人数据、录音、截图并发送至远程控制与命令服务器。

另一私营网络安全公司TrendMicr在审查Operation Pawn Storm(通过间谍软件针对外国军方、政府、国防工业和舆论界的网络钓鱼电子邮件计划)余波的在线签名后,也认为X-Agent与俄罗斯情报机构有关联。

Crowdstrike发布的报告指出,“2014年底至2016年,Fancy Bear将X-Agent植入程序植入合法Android应用程序(由乌克兰炮兵军官Yaroslav Sherstuk开发)秘密在乌克兰军事论坛散布。”原来的应用程序使乌克兰炮兵部队快速处理D-30榴弹炮的目标数据,将目标锁定时间从若干分钟减少至15秒。Sherstuk接受外媒采访时表示,超过9000名炮兵官兵在乌克兰军队使用该应用程序。这款应用程序通过私有、非商业的下载渠道传播。但随着时间的推移,该应用程序便扩散到了俄罗斯网站VK(类似Facebook的俄罗斯社交网站)。

Crowdstrike表示,APT28开发了该应用的恶意版本,并于2013年后开始在网上扩散。目前尚不清楚有多少乌克兰士兵下载了这款克隆版的恶意Android应用程序。

Crowdstrike在报告中写道,“2014年12月21日,该Android应用的恶意变种首次被发现在乌克兰俄语军事论坛有限公开散布。”

Crowdstrike认为,亲俄分裂分子在该恶意软件的支持下,能获得乌克兰炮兵部队的位置信息,E安全。

2014年7月9日至9月5日,开源调查小组Bellingcat报告称,俄罗斯军队对克里米亚边界的乌克兰部队发起超过120次的火炮攻击。据估计,仅仅5个月的时间,乌克兰军队损失了超过80%的D-30榴弹炮。

Crowdstrike首席技术官兼联合创始人Dimitri Alperovitch向外媒透露,“我们只看到Fancy Bear使用X-Agent。该恶意软件的源代码未在任何公开或地下论坛找到。”

根据报告中援引的开源数据,乌克兰炮兵部队两年冲突内损失一半以上的武器,包括80%以上的苏制D-30榴弹炮。

有趣的部分在于植入程序—看不见的X-Agent变种。利用有特性的恶意软件说明Fancy Bear在移动恶意软件开发能力从iOS植入程序向Android设备扩展。

相关文章
最新文章
热点推荐