信息化觀察網(wǎng)

近日，據(jù)Wired報(bào)道，英國、美國和加拿大情報(bào)機(jī)構(gòu)聲稱俄羅斯國家黑客組織(APT29)針對新冠病毒疫苗項(xiàng)目發(fā)起針對性攻擊。

上述三國情報(bào)官員聲稱，有證據(jù)表明黑客組織APT29成員攻擊了參與疫苗開發(fā)的制藥企業(yè)和學(xué)術(shù)機(jī)構(gòu)。這三個(gè)國家的官員認(rèn)為，這是試圖竊取知識(shí)產(chǎn)權(quán)和有關(guān)潛在疫苗候選者的信息的嘗試。

黑客使用了以前未與俄羅斯關(guān)聯(lián)的“自定義惡意軟件”，以及其他廣泛使用的軟件（例如VPN）中的許多眾所周知的漏洞。這些攻擊采用了魚叉式釣魚攻擊方式，試圖將登錄詳細(xì)信息收集到目標(biāo)組織系統(tǒng)的聯(lián)網(wǎng)存儲(chǔ)器中。

三國情報(bào)機(jī)構(gòu)對俄羅斯發(fā)動(dòng)攻擊的證據(jù)充滿信心，以至于英國的國家網(wǎng)絡(luò)安全中心（NCSC），加拿大通信安全機(jī)構(gòu)和包括美國國家安全局和國土安全部在內(nèi)的各種美國安全機(jī)構(gòu)罕見地決定公開譴責(zé)APT29為幕后黑手，與此同時(shí)，英國政府也認(rèn)定俄羅斯試圖影響2019年大選。

西方情報(bào)機(jī)構(gòu)普遍認(rèn)為APT29與俄羅斯情報(bào)部門有關(guān)，并且近年來參與大量網(wǎng)絡(luò)攻擊，其中包括在2016年美國總統(tǒng)大選之前對民主黨全國委員會(huì)的黑客攻擊。在針對美國的黑客攻擊中，APT29與俄羅斯黑客組織Fancy Bear和APT28協(xié)同工作。

NCSC運(yùn)營總監(jiān)保羅·奇切斯特（Paul Chichester）表示：“我們譴責(zé)對那些為打擊冠狀病毒大流行所做的重要工作的卑鄙攻擊。”NCSC還發(fā)布了一份咨文，詳細(xì)說明了APT29在攻擊疫苗開發(fā)過程中所付出的努力。官員們沒有評論攻擊是否得手，但也沒有排除這種情況。

網(wǎng)絡(luò)安全機(jī)構(gòu)發(fā)布的建議暗示攻擊取得了一定的成功。NCSC在指南指出：

在針對Covid-19疫苗研發(fā)的最新攻擊中，APT29針對目標(biāo)組織擁有的特定外部IP地址進(jìn)行了基本漏洞掃描。然后，該小組針對發(fā)現(xiàn)的脆弱服務(wù)部署了公共漏洞利用。

NCSC還指出，APT29已成功利用公開的漏洞“獲得了它所攻擊的大學(xué)和企業(yè)的最初立足點(diǎn)”。該通報(bào)列出了APT29希望利用的許多眾所周知的漏洞。這些包括Citrix網(wǎng)絡(luò)系統(tǒng)和VPN中的漏洞。據(jù)悉，一旦公開披露了這些漏洞的詳細(xì)信息，由國家支持的黑客組織就會(huì)迅速嘗試?yán)盟鼈?，以試圖在安全專家可以實(shí)施修復(fù)之前進(jìn)行攻擊。

NCSC在其警告通知中說：

在獲得對系統(tǒng)的訪問權(quán)限后，APT29可能會(huì)放棄進(jìn)一步的工具利用或?qū)で螳@得受感染系統(tǒng)的合法賬戶憑證，以隱藏并保持持久的訪問權(quán)限。攻擊者在使用被盜的憑據(jù)時(shí)可能會(huì)使用匿名服務(wù)。

NCSC及美國和加拿大情報(bào)機(jī)構(gòu)公布的資料顯示，APT29已部署了自定義惡意軟件。上述情報(bào)機(jī)構(gòu)認(rèn)為這是WellMess惡意軟件和一個(gè)名為WellMail的新版本。NCSC說，該惡意軟件至少從2018年就已開始使用。“WellMess是一種輕型惡意軟件，旨在執(zhí)行任意的shell命令，上傳和下載文件。該惡意軟件支持HTTP、TLS和DNS通信方法。”