美国情报界Booz Allen Hamilton本周发布了一份综合报告,详细介绍了俄罗斯黑客近15年的网络攻击活动。与业界其他安全报告不同,本报告没有把调查重点放在单独某个事件上,而是将俄罗斯黑客活动与政治事件关联分析,详细说明了这些攻击事件为什么发生,而不是如何发生。
俄罗斯GRU组织
报告中重点关注了俄罗斯军队情报部门的网络活动,该情报部门被称为“Main Directorate of the General Staff of the Armed Forces”,其前身是GRU(Glávnoye Razvedyvatel’noje Upravléniye )总情报局。该机构的当前名称是Glávnoye Upravléniye (总局)或GU,但该机构仍被大众称为GRU。
GRU与俄罗斯政府情报部(FSB)不同,后者的前身是克格勃。与FSB不同,GRU为俄罗斯军事行动和克里姆林宫外交政策提供情报服务。过去的15年中,GRU与两个黑客组织有密切联系,第一个是APT28(又名Fancy Bear),第二个是Sandworm。据报告每个黑客组织都是俄罗斯情报部门内部不同的军事部门,专门负责执行网络攻击活动,Sandworm是GRU的精锐部门。
GRU攻击预测
根据Booz Allen报告,这两个组织的网络活动都是为了完成当时的政治任务,有着明显的政治目的,GRU军事行动都遵循统一的模式。 Booz Allen分析了200多个与GRU相关的公开网络事件,并发现了这种模式。这种模式完全符合俄罗斯政府发布“The Military Doctrine of the Russian Federation”中所述的原则。
该文2014年发布的最新版,其中列出了俄罗斯面临的23种安全风险。
80页的报告中将200多个GRU网络攻击归为23类,该报告的最终结论是可以预测GRU网络攻击行为。当公司或政府议程与俄罗斯政府意愿相违背,克里姆林宫可能将其解释为23种风险之一时,有极大可能会发生网络攻击。Booz Allen表示了解对手为何行动,可以更好地预测行动时间,地点和形式,并采取有计划的防御策略。
报告列出了一些国际事件,以及俄罗斯GRU在其中扮演的角色,并将网络攻击与23条原则中的一项或多项进行关联。
事件分析
黑山共和国
在俄罗斯想加入北约之后就介入了黑山国家事务工作。根据其军事理论,俄罗斯认为北约的扩张行为在其安全风险清单中排名第一。GRU的行动对于推选亲俄政府和阻止该国加入北约至关重要。
选举前三天,GRU对该国电信部门进行了DDoS攻击,破坏了媒体站点、监测选举的非政府组织以及政府站点,从而破坏选举并造成混乱。Booz Allen指出,GRU行动还获得了非军事力量的帮助,俄罗斯将资金汇入了反对派政治团体,并与政客,神职人员,非政府组织和媒体进行协谈。当时,黑山执法部门逮捕了计划袭击议会,暗杀总理,煽动内乱的GRU军官和特工。
黑山加入北约后,GRU继续进行鱼叉式网络钓鱼活动。
叙利亚
2014年9月美国对叙利亚发动空袭,俄罗斯对此感到愤怒,因为它从根本上破坏了世界秩序。 从俄罗斯角度来看,允许美国推翻叙利亚**很有可能对俄罗斯及其邻国政治、经济、文化造成深远的影响。此外,未经联合国投票美国就进行军事行动,未来俄罗斯通过联合国否决权限制美国的机会就会越来越少。因此,俄罗斯称美国的行为对俄罗斯维持全球稳定构成了重大威胁,这与《军事学说》中俄罗斯面临的军事风险相符。
报告指出GRU利用ISIL黑客身份骚扰恐吓美国军事和执法团体来反对美国对叙利亚的军事干预。GRU攻击破坏了美国的新闻媒体网站;泄露为美国提供服务的个人信息,一些数据甚至是通过美国***交媒体帐户泄露的;入侵Maryland电视台的短信警报系统,向用户发送恐吓消息;与此同时俄罗斯为叙利亚提供军事支持,导致美国公众对叙利亚战争的支持率降低,美国最终撤出了军队。
波兰
GRU在俄罗斯反对在波兰建立北约主要军事基地中发挥了重要作用。2014年夏季开始,GRU利用水坑攻击对波兰政府和国防部门进行监控。GRU入侵了波兰政府网站和国防企业网站,利用漏洞在访客电脑中安装后门。俄罗斯在2018年向白俄罗斯提议建立基地对抗波兰,但最终被白俄罗斯拒绝,同月GRU开始攻击白俄罗斯政府。
罗马尼亚
罗马尼亚增加军事预算和军事行动后,GRU开始将罗马尼亚作为攻击目标。在罗马尼亚提议与邻国Moldova建立联合部队的同月,GRU对罗马尼亚驻俄罗斯大使馆发动了鱼叉式网络钓鱼攻击,密切监视该国下一步行动计划。
俄罗斯在2014年吞并克里米亚之后,罗马尼亚订购了三艘潜艇和四艘水面舰艇,促使其海军现代化。 一个月后,GRU开始对罗马尼亚发起网络攻击,当时许多GRU使用的恶意软件样本会从罗马尼亚上传到VirusTotal。
丹麦
丹麦宣布加入北约**防御系统后,GRU开始针对丹麦进行网络攻击。在这期间俄罗斯对美军采取了应对措施,在俄罗斯边界附近部署了反导系统,破坏美国的军事威慑能力。3月15日,俄罗斯驻丹麦大使在报纸采访中警告,丹麦加入美国**防御系统,丹麦军舰将成为俄罗斯核**的目标。十天后,GRU启动了一项为期两年的工作,旨在破解丹麦外交部和国防部的员工邮件帐户。
UK
UK在叙利亚部署部队之后,俄罗斯对英国开始网络攻击。2015年7月GRU攻击了英国电视台建立了“***频道”,利用该频道针对英国***社区进行宣传。在法国和美国也发现了类似的电视台攻击事件。
国际体育组织
在俄罗斯运动员被禁赛后,俄罗斯通过GRU抹黑全球的国际体育组织。WADA禁止俄罗斯运动员参加奥运会是对俄罗斯历史,精神和爱国主义的攻击。GRU在2016年入侵了世界反兴奋剂机构(WADA),泄露了外国运动员的药物豁免权。两年后,GRU试图破坏2018年冬季奥运会开幕式,这也是对俄罗斯运动员被禁止参赛的回应。
更多网络攻击事件分析可见原文报告。
*参考来源:zdnet,由Kriston编译,转载请注明来自FreeBuf.COM
来源:freebuf.com 2020-04-22 13:00:59 by: Kriston
请登录后发表评论
注册