乌克兰政府正在遭受新一轮的网络间谍活动
自2019年年初开始,乌克兰政府实体就开始沦为鱼叉式网络钓鱼活动的目标,而研究表明,这些攻击活动幕后的黑客组织似乎正是所谓的 “卢甘斯克人民共和国(LPR)”。
卢甘斯克(LPR)诞生记 卢甘斯克(Луганська,Lugansk),位于乌克兰东部,原名伏罗希洛夫格勒,为苏联建国十大元帅之一伏罗希洛夫的家乡,是乌克兰最东部一个州卢甘斯克州的首府。紧邻俄罗斯,和其他许多乌克兰东部州一样,该地区主要讲俄语。 2014年2月22日,乌克兰发生政权更迭。乌克兰议会解除亚努科维奇的总统职务,修改宪法,委托议长图尔奇诺夫代行总统职责,并将总统大选定于5月25日。 但是,乌克兰东部和南部一系列地区以及克里米亚不承认乌克兰议会决定的合法性,称解除亚努科亚采纽克维奇总统职务是非法的,决定就各自地区的进一步命运举行全民公投。 实行联邦制的支持者从3月开始在乌克兰东部顿涅茨克、哈尔科夫和卢甘斯克举行集会,抗议活动后扩展到顿涅茨克州的几个城市。 为化解乌克兰危机,俄罗斯、美国、欧盟和乌克兰于2014年4月17日在日内瓦举行四方会谈。俄罗斯、美国、欧盟呼吁冲突各方解除非法组织的武装、将所有非法控制的大楼还给合法所有者,撤离广场和街道,特赦所有示威者,犯有重罪者除外。 4月21日,数千名抗议者聚集在卢甘斯克市区域国家行政管理局(RSA)大楼外,呼吁建立“人民政府”,并要求乌克兰联邦化或将卢甘斯克纳入俄罗斯联邦。 2014年4月28日,乌克兰卢甘斯克的集会者宣布成立 “卢甘斯克人民共和国”,集会期间宣读了相关文件。 2014年5月11日,卢甘斯克举行全民公投,96.2%的选民赞成卢甘斯克成立主权国家。 2014年5月19日,“卢甘斯克人民共和国” 正式致函联合国秘书长潘基文,要求联合国承认其独立主权国家的地位。 FireEye最新研究 近日,网络安全厂商FireEye发现了一项新的鱼叉式钓鱼攻击活动,并认为其可能是2014年针对乌克兰政府的鱼叉式网络钓鱼的延续,而幕后黑手很可能就是来自 “卢甘斯克人民共和国”。FireEye认为,这种针对乌克兰政府实体的攻击活动至少可以追溯到2014年。 2018年1月,Palo Alto Networks研究人员发现Quasar RAT 和 VERMIN恶意软件被用于针对乌克兰政府实体发动一定规模的攻击活动,而这些活动可以追溯到2015年底。虽然Palo Alto Networks没有明确指出攻击背后的参与者,也没有提及LPR,但是几乎可以肯定这次攻击活动就是FireEye所描述的 “针对乌克兰的持续性攻击活动”。 2018年3月,ESET发布了一份分析Quasar和Vermin恶意软件及其攻击活动的研究报告。不过,FireEye表示,攻击者可以通过利用自定义和开源恶意软件以及使用恶意LNK文件来提高这些恶意软件的复杂程度。 据了解,QUASAR是GitHub上免费提供的一个开源远程访问工具(RAT)。在早前就已经被用于一些攻击活动中,包括网络犯罪和网络间谍活动。 而VERMIN则是一个定制的全功能后门,是2016年最新出现的且未被任何威胁行为者使用过的恶意软件家族。它能够收集受害者信息并提取系统信息,并通过键盘记录器 “收集所有按键和剪贴板数据并在存储数据前进行加密”。和其它后门一样,VERMIN还允许攻击者在受感染的系统上运行多种命令,比如捕获音频和视频,窃取密码和USB文件,删除、上传和下载文件以及重命名文件和文件夹以及等等。 FireEye公司曾经发现一封发送日期为2019年1月22日的鱼叉式网络钓鱼电子邮件样本,其主题为“SPEC-20T-MK2-000-ISS-4.10-09-2018-STANDARD”,邮件显示发件人为英国国防制造商Armtrac。其表示有兴趣谈论 “排雷活动……弹药回收以及通过进一步技术转让参与招标……的联合机会”,且电子邮件中显示的Armtrac地址、网站和电子邮件联系人等信息都是正确的。 据了解,该电子邮件中包含了一个名为 “Armtrac-Commercial.7z” (MD5: 982565e80981ce13c48e0147fb271fe5) 的附件。该7z包中有一个压缩文件“Armtrac-Commercial.zip”(MD5: e92d01d9b1a783a23477e182914b2454),其中包含两个从Armtrac网站上获取的真实和良性的PDF文档,旨在获取潜在受害者的信任;以及一个执行PowerShell脚本的恶意LNK文件。该脚本尝试连接到 'http://sinoptik[.]website/EuczSc' ,其IP解析地址为185.125.46.158。不幸的是,在FireEye的分析过程中发现,该服务器并不可用。 然而,值得注意的是,之前与RAT VERMIN和QUASAR RAT有关的域名,其IP解析地址同样为185.125.46.158。FireEye表示,并未发现过除LPR以外的任何其他威胁行为者使用过这种恶意软件。 除此之外,FireEye的基础设施分析结果也将攻击源头指向LPR,且认为LPR和 “re2a1er1” 有关联。因为前面提到的LNK文件(sinoptik[.]website)用作C&C的域名是用电子邮件 “re2a1er1@yandex.ru” 注册的。该电子邮件地址还注册了以下域名: 其中一个域名显示为 “xn - 90adzbis.xn - c1avg”正是所谓的LPR国家安全部的官方网站。 上述所有这些指标——恶意软件类型、目标以及基础设施分析结果——都致使FireEye得出这样一个结论——这是未知名的LPR威胁行为者针对乌克兰政府正在进行的新一轮网络间谍活动。虽然仍然需要更多的证据来明确攻击归属,但是这项最新活动已经展示了该组织具备强大的网络间谍能力,甚至不亚于国家支持的网络间谍组织。 这些威胁行为者自身被描述为 “具备高度的积极性和主动性”,其能够在接收到新受害者的几小时内做出回应,证明其具备快速响应的能力。ESET指出,这些恶意软件在极大程度上以乌克兰为主要攻击目标。它会检索俄语或乌克兰语的 keyboard layouts,如果没有发现便终止进程。此外,它还会检索受害者的IP地址,如果这些地址不在俄罗斯或乌克兰境内也会自动终止进程。总之,它不会在自动分析系统类型的账户下运行。 FireEye还举了一个例子。当RAT VERMIN操作者意识到有目标受害者以外的用户感染恶意软件时,他们就会立即在系统中释放并执行开源的HiddenTear勒索软件。该勒索软件进程在成功执行之前就会被分析人员杀死。当实时分析恢复时,攻击背后的恶意软件运营者便会开始删除设备上的所有分析工具。 当分析人员重置设备后并再次执行Hidden Tear恶意软件时,桌面上就会出现一份明文文件,询问攻击者为什么发送勒索软件,而攻击者则会通过RATVERMIN的C&C域名发送一份以“Mad?”为结尾的消息作为回应。 虽然这个特定组织目前的攻击目标仍然集中在乌克兰地区,但FireEye警告称,对乌克兰的新生威胁早已成为全球关注的问题并受到监控。 FireEye调查报告链接: https://www.FireEye.com/blog/threat-research/2019/04/spear-phishing-campaign-targets-ukraine-government.html