国外媒体 MotherBoard 网站分享了一份谷歌此前从未公开过的关于俄罗斯网络间谍组织 APT 28 的活动报告。该报告于 2014 年 9 月 5 日编写完成,内容主要为 Google 团队收集的俄罗斯间谍组织的活动情报。目前 Google 已经公开了这份报告。
报告的标题相当明确:“窥视水族馆”,而俄罗斯军事情报机构 GRU 的总部俗称就是“水族馆”。
2014 年 10 月 FireEye 曾发布了一份报告,将一些东欧国家的网络攻击与俄罗斯网络间谍联系在一起,并命名该组织为 ATP28 。该组织着重于收集对俄罗斯政府有用的情报,目标为美国国防承包商、欧洲安全组织和东欧政府机构。在 FireEye 发布报告之前,也有其他安全公司在调查该组织。显然,Google 也在其中并先于 FireEye 整理出报告,只是出于某种原因一直没有对外发布。此后 APT 28 也被称为 Pawn Storm、Sednit、Sofacy、Fancy Bear 、Tsar Team 。
Google 安全团队的这份 42 页关于 APT 28 活动的报告,可以说是相当的“罕见”:一方面虽然它很早的被整理好,但此前从未发表过,公众没想到谷歌竟然早已做出了有深度的威胁情报分析。另一方面谷歌很少出这种类型的分析报告,这种报告常见于威胁情报公司。
报告的数据来源于病毒分析数据共享平台 VirusTotal ,其中明确提到了恶意软件 Sofacy 和 X-Agent 被俄罗斯支持的黑客所使用,并针对前苏联国家,北约成员国和其他西欧国家。这意味着 Google 早在多年前就意识到该威胁,并在 FireEye、ESET 安全公司之前就将黑客组织与俄罗斯政府联系起来。
根据报告显示,恶意软件 X-Agent 多针对格鲁吉亚,罗马尼亚,俄罗斯和丹麦。碰巧前不久有报道称恶意软件 Xagent 已经有了新变种,除了攻击 Windows、iOS、Android 和 Linux 设备,现在还可以攻击 Mac 用户。
谷歌在报告中表示, 复杂的恶意软件 X-Agent 只被 APT 28 使用针对高优先级目标。常规情况下, APT 28 一般使用恶意软件 Sofacy 进行间谍活动。据 VirusTotal 显示,恶意软件 Sofacy 的数量是 X-Agent 的三倍且有超过 600 个不同的样本。
该报告中还包括有关 APT 28 使用的相关技术细节。总的来说,这份报告最让人印象深刻的一点就是:Google 的安全团队能够在其他威胁情报公司之前就早早识别出威胁源,并加以合理分析推测。
本文由 HackerNews.cc 翻译整理,封面来源于网络。
from hackernews.cc.thanks for it.