俄罗斯黑客曾组织利用恶意软件X-Agent追踪乌克兰…

2014年底至2016年，俄罗斯APT组织“Fancy Bear”使用Android设备恶意软件植入程序追踪并攻击乌克兰炮兵部队。这个知名的黑客组织也被称为APT 28、Pawn Storm、Sednit或Sofacy，曾一度占据新闻头条。

网络安全公司CrowdStrike的专家报告称，据称2014年底至2016年，俄罗斯国家攻击者使用Android设备的恶意软件植入程序追踪并攻击乌克兰炮兵部队。

间谍将该恶意代码用来监视目标的通信，并获取乌克兰炮兵部队的位置数据，该信息可能被亲俄分裂分子攻击乌克兰东部地区的乌克兰部队。2016年夏季，CrowdStrike的研究人员开始调查一个名为“Попр-Д30.apk”(MD5: 6f7523d3019fa190499f327211e01fcb)的Android 程序包(APT)。该APT包含大量俄语军事工件。黑客使用了合法应用程序的植入程序，但无法再Android应用商店找到该应用。

最新披露的数据取证证据表明，该黑客组织(被指控干扰美国总统大选)可能参与复杂、多维的网络间谍行动，帮助武装亲俄分裂分子追踪乌克兰部队的动向。

如果数据准确，Crowdstrike的发现有力证明了传统战场上出现预期扩展—网络空间成为情报收集行动和破坏的基本领域。美国民主党全国委员会(DNC)今年夏天要求Crowdstrike清理入侵黑客，追踪线索落到俄罗斯黑客头上。

上周四，Crowdstrike发布报告，称俄罗斯军事情报机构GRU与Fancy Bear黑客组织有关联。这个独特的恶意软件被称为“X-Agent”，被GRU和Fancy Bear用来渗透电子设备，允许攻击者潜在窃取个人数据、录音、截图并发送至远程控制与命令服务器。

另一私营网络安全公司TrendMicr在审查Operation Pawn Storm(通过间谍软件针对外国军方、政府、国防工业和舆论界的网络钓鱼电子邮件计划)余波的在线签名后，也认为X-Agent与俄罗斯情报机构有关联。

Crowdstrike发布的报告指出，“2014年底至2016年，Fancy Bear将X-Agent植入程序植入合法Android应用程序(由乌克兰炮兵军官Yaroslav Sherstuk开发)秘密在乌克兰军事论坛散布。”原来的应用程序使乌克兰炮兵部队快速处理D-30榴弹炮的目标数据，将目标锁定时间从若干分钟减少至15秒。Sherstuk接受外媒采访时表示，超过9000名炮兵官兵在乌克兰军队使用该应用程序。这款应用程序通过私有、非商业的下载渠道传播。但随着时间的推移，该应用程序便扩散到了俄罗斯网站VK(类似Facebook的俄罗斯社交网站)。

Crowdstrike表示，APT28开发了该应用的恶意版本，并于2013年后开始在网上扩散。目前尚不清楚有多少乌克兰士兵下载了这款克隆版的恶意Android应用程序。

Crowdstrike在报告中写道，“2014年12月21日，该Android应用的恶意变种首次被发现在乌克兰俄语军事论坛有限公开散布。”

Crowdstrike认为，亲俄分裂分子在该恶意软件的支持下，能获得乌克兰炮兵部队的位置信息,E安全。

2014年7月9日至9月5日，开源调查小组Bellingcat报告称，俄罗斯军队对克里米亚边界的乌克兰部队发起超过120次的火炮攻击。据估计，仅仅5个月的时间，乌克兰军队损失了超过80%的D-30榴弹炮。

Crowdstrike首席技术官兼联合创始人Dimitri Alperovitch向外媒透露，“我们只看到Fancy Bear使用X-Agent。该恶意软件的源代码未在任何公开或地下论坛找到。”

根据报告中援引的开源数据，乌克兰炮兵部队两年冲突内损失一半以上的武器，包括80%以上的苏制D-30榴弹炮。

有趣的部分在于植入程序—看不见的X-Agent变种。利用有特性的恶意软件说明Fancy Bear在移动恶意软件开发能力从iOS植入程序向Android设备扩展。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有