当地时间29日,美国网络司令部分享了俄罗斯黑客组织在针对外交部,国民议会和使馆多个部门的攻击中使用的恶意软件信息。
该恶意软件样本由美国网络司令部的网络国家任务部队(CNMF)以及网络安全和基础设施安全局(CISA)识别,并于昨日上传至Virus Total在线病毒扫描平台。
CISA还与FBI和CNMF合作发布了两项公告,详细介绍了ComRAT和Zebrocy恶意软件的有关信息。这些容易软件被俄罗斯APT组织(包括APT28和Turla)利用。
Turla APT组织又名Snake,Uroburos,Waterbug,Venomous Bear和KRYPTON),自2007年以来,该组织一直活跃。其目标客户是中东,亚洲,欧洲,北美和南美以及前苏联集团的外交和政府组织以及私营企业。
瑞士国防公司RUAG,美国国务院,NASA和美国中央司令部等都是曾被该组织攻击过。
“联邦调查局相信,俄罗斯APT组织Turla是活跃了至少十年的间谍组织,它正在用ComRAT恶意软件来利用受害者网络。该组织以其自定义工具和针对性的操作而闻名。”公告中提到。
俄罗斯网络间谍组织也利用Zebrocy后门来执行针对东欧和中亚外交使馆和外交部的攻击。
据悉,有两个Windows可执行文件是Zebrocy后门的新变体,已提交进行分析。 该文件可以允许远程操作员在受感染的系统上执行各种功能。
值得一提的是,Zebrocy是被称为APT28军火库的恶意软件,而APT28是与俄罗斯的APT组织。该组织是俄罗斯总参情报总局(GRU)26165和74455分队的成员,后者主要负责协调针对世界各国政府的网络间谍活动。此前,APT 28参与了2015年德国联邦议会的黑客攻击活动,并于2016年针对民主党全国委员会(DNC)和民主党国会竞选委员会(DCCC)发起攻击。
美国对于俄罗斯黑客的指控此起彼伏。19日,美国司法部指控6名俄罗斯公民为追求俄方利益参与了一系列针对他国基础设施和选举的网络入侵和散播恶意软件的行动。美国检方称,这六人隶属俄军总参情报总局74455部队,他们使用的Killdisk、Industroyer、NotPetya等恶意软件对起诉书中提到的3个受害方造成了近10亿美元的损失。
不过,俄罗斯也不断驳斥有关俄方试图影响他国民主过程的指控。俄罗斯总统新闻秘书和外长都表示,此类指控毫无依据。
不久前,针对美国司法部的指控,俄罗斯驻美国大使馆回应表示:“显而易见,这类信息完全与事实不符,目的只是为激起美国社会的反俄情绪,排除异己和传播间谍狂热。多年来,所有这些一直是华盛顿政治生活的鲜明特征。美国当局不断摧毁着原有的俄美务实关系,人为地将对俄罗斯的有毒看法强加于本国人民。”
参考来源:
https://www.bleepingcomputer.com/news/security/us-shares-info-on-russian-malware-used-to-target-parliaments-embassies/
http://cn.dailyeconomic.com/finance/2020/10/21/12766.html