近日,据Wired报道,英国、美国和加拿大情报机构声称俄罗斯国家黑客组织(APT29)针对新冠病毒疫苗项目发起针对性攻击。
上述三国情报官员声称,有证据表明黑客组织APT29成员攻击了参与疫苗开发的制药企业和学术机构。这三个国家的官员认为,这是试图窃取知识产权和有关潜在疫苗候选者的信息的尝试。
黑客使用了以前未与俄罗斯关联的“自定义恶意软件”,以及其他广泛使用的软件中的许多众所周知的漏洞。这些攻击采用了鱼叉式钓鱼攻击方式,试图将登录详细信息收集到目标组织系统的联网存储器中。
三国情报机构对俄罗斯发动攻击的证据充满信心,以至于英国的国家网络安全中心(NCSC),加拿大通信安全机构和包括美国国家安全局和国土安全部在内的各种美国安全机构罕见地决定公开谴责APT29为幕后黑手,与此同时,英国政府也认定俄罗斯试图影响2019年大选。
西方情报机构普遍认为APT29与俄罗斯情报部门有关,并且近年来参与大量网络攻击,其中包括在2016年美国总统大选之前对民主党全国委员会的黑客攻击。在针对美国的黑客攻击中,APT29与俄罗斯黑客组织Fancy Bear和APT28协同工作。
NCSC运营总监保罗·奇切斯特(Paul Chichester)表示:“我们谴责对那些为打击冠状病毒大流行所做的重要工作的卑鄙攻击。” NCSC还发布了一份咨文,详细说明了APT29在攻击疫苗开发过程中所付出的努力。官员们没有评论攻击是否得手,但也没有排除这种情况。
网络安全机构发布的建议暗示攻击取得了一定的成功。NCSC在指南指出:
| 在针对Covid-19疫苗研发的最新攻击中,APT29针对目标组织拥有的特定外部IP地址进行了基本漏洞扫描。然后,该小组针对发现的脆弱服务部署了公共漏洞利用。 |
NCSC还指出,APT29已成功利用公开的漏洞“获得了它所攻击的大学和企业的最初立足点”。该通报列出了APT29希望利用的许多众所周知的漏洞。这些包括Citrix网络系统中的漏洞。据悉,一旦公开披露了这些漏洞的详细信息,由国家支持的黑客组织就会迅速尝试利用它们,以试图在安全专家可以实施修复之前进行攻击。
NCSC在其警告通知中说:
| 在获得对系统的访问权限后,APT29可能会放弃进一步的工具利用或寻求获得受感染系统的合法账户凭证,以隐藏并保持持久的访问权限。攻击者在使用被盗的凭据时可能会使用匿名服务。 |
NCSC及美国和加拿大情报机构公布的资料显示,APT29已部署了自定义恶意软件。上述情报机构认为这是WellMess恶意软件和一个名为WellMail的新版本。NCSC说,该恶意软件至少从2018年就已开始使用。“WellMess是一种轻型恶意软件,旨在执行任意的shell命令,上传和下载文件。该恶意软件支持HTTP、TLS和DNS通信方法。”
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
