E安全12月23日讯 2014年底至2016年,俄罗斯APT组织“Fancy Bear”使用Android设备恶意软件植入程序追踪并攻击乌克兰炮兵部队。这个知名的黑客组织也被称为APT 28、Pawn Storm、Sednit或Sofacy,曾一度占据新闻头条。
网络安全公司CrowdStrike的专家报告称,据称2014年底至2016年,俄罗斯国家攻击者使用Android设备的恶意软件植入程序追踪并攻击乌克兰炮兵部队。
间谍将该恶意代码用来监视目标的通信,并获取乌克兰炮兵部队的位置数据,该信息可能被亲俄分裂分子攻击乌克兰东部地区的乌克兰部队。2016年夏季,CrowdStrike的研究人员开始调查一个名为“Попр-Д30.apk”(MD5: 6f7523d3019fa190499f327211e01fcb)的Android 程序包(APT)。该APT包含大量俄语军事工件。黑客使用了合法应用程序的植入程序,但无法再Android应用商店找到该应用。
最新披露的数据取证证据表明,该黑客组织(被指控干扰美国总统大选)可能参与复杂、多维的网络间谍行动,帮助武装亲俄分裂分子追踪乌克兰部队的动向。
如果数据准确,Crowdstrike的发现有力证明了传统战场上出现预期扩展—网络空间成为情报收集行动和破坏的基本领域。美国民主党全国委员会(DNC)今年夏天要求Crowdstrike清理入侵黑客,追踪线索落到俄罗斯黑客头上。
上周四,Crowdstrike发布报告,称俄罗斯军事情报机构GRU与Fancy Bear黑客组织有关联。这个独特的恶意软件被称为“X-Agent”,被GRU和Fancy Bear用来渗透电子设备,允许攻击者潜在窃取个人数据、录音、截图并发送至远程控制与命令服务器。
另一私营网络安全公司TrendMicr在审查Operation Pawn Storm(通过间谍软件针对外国军方、政府、国防工业和舆论界的网络钓鱼电子邮件计划)余波的在线签名后,也认为X-Agent与俄罗斯情报机构有关联。
Crowdstrike发布的报告指出,“2014年底至2016年,Fancy Bear将X-Agent植入程序植入合法Android应用程序(由乌克兰炮兵军官Yaroslav Sherstuk开发)秘密在乌克兰军事论坛散布。”原来的应用程序使乌克兰炮兵部队快速处理D-30榴弹炮的目标数据,将目标锁定时间从若干分钟减少至15秒。Sherstuk接受外媒采访时表示,超过9000名炮兵官兵在乌克兰军队使用该应用程序。这款应用程序通过私有、非商业的下载渠道传播。但随着时间的推移,该应用程序便扩散到了俄罗斯网站VK(类似Facebook的俄罗斯社交网站)。
Crowdstrike表示,APT28开发了该应用的恶意版本,并于2013年后开始在网上扩散。目前尚不清楚有多少乌克兰士兵下载了这款克隆版的恶意Android应用程序。
Crowdstrike在报告中写道,“2014年12月21日,该Android应用的恶意变种首次被发现在乌克兰俄语军事论坛有限公开散布。”
Crowdstrike认为,亲俄分裂分子在该恶意软件的支持下,能获得乌克兰炮兵部队的位置信息,E安全。
2014年7月9日至9月5日,开源调查小组Bellingcat报告称,俄罗斯军队对克里米亚边界的乌克兰部队发起超过120次的火炮攻击。据估计,仅仅5个月的时间,乌克兰军队损失了超过80%的D-30榴弹炮。
Crowdstrike首席技术官兼联合创始人Dimitri Alperovitch向外媒透露,“我们只看到Fancy Bear使用X-Agent。该恶意软件的源代码未在任何公开或地下论坛找到。”
根据报告中援引的开源数据,乌克兰炮兵部队两年冲突内损失一半以上的武器,包括80%以上的苏制D-30榴弹炮。
有趣的部分在于植入程序—看不见的X-Agent变种。利用有特性的恶意软件说明Fancy Bear在移动恶意软件开发能力从iOS植入程序向Android设备扩展。
完整报告,请戳这里。
E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
如果此文章侵权,请留言,我们进行删除。0day
文章评论