7年来一直被俄罗斯政府撑腰的APT组织 (Dukes APT 组织) - APT防御产品

7年来一直被俄罗斯政府撑腰的APT组织 (Dukes APT 组织)

F-Secure的安全研究员发布了一个特别有意思的报告,报告中详细阐明了名为Dukes的俄罗斯APT组织的网络间谍活动;另外,安全研究员们还推测该组织的后台是俄罗斯政府。

Dukes是一支老练的间谍组织

Dukes APT组织从2008年活跃至今,它的攻击目标主要是政府机构、政治智囊团、其他组织等,当然还包括独联体成员国、亚洲国家政府、非洲国家政府、中东国家政府、和Chechen 恐怖主义相关的组织、俄罗斯从事限制物品和药品的非法贸易人员。

该组织的成员都非常的老练,能力非常强,他们行动中利用的0day exp都是团队成员自己开发的。

“Dukes一个资源充足、非常专业化、组织化的网络间谍组织,我们坚信该组织从2008年起就为俄罗斯政府工作,搜集相关情报以支持外交和安全政策的制定。”

在Dukes众多的攻击目标中,第一个被人知道的目标是和Chechen独立运动有关,黑客使用PinchDuke恶意程序感染受害者系统。而在2009年的时候安全专家才在针对西方国家政府和机构的网络间谍活动中发现Dukes。

Dukes的兵工厂“众星云集”

Dukes组织发动很多复杂的间谍活动,安全专家在他们的兵工厂中发现很多令人印象深刻的恶意工具,包括MiniDuke、CosmicDuke、OnionDuke、CozyDuke、CloudDuke、SeaDuke、HammerDuke、PinchDuke、GeminiDuke

Dukes组织有俄罗斯政府撑腰

F-Secure研究员们搜集了众多证据,均暗示着Dukes组织来源于俄罗斯,并且从其恶意程序的复杂性和攻击目标的属性来看,该组织都和俄罗斯政府有关,因为Duke的攻击目标组织中均含有俄罗斯政府感兴趣的信息。2014年4月,研究员们分析了很多有关政治问题的文件,比如乌克兰危急等以诱惑受害者点开。比如F-Secure就发现有一个虚假的文档的签名竟然是乌克兰外交部第一副部长Ruslan Demchenko。

分析其源码发现有部分俄语,GeminiDuke上的时间戳设置的还是莫斯科标准时间。

完整报告点我查看


转载请注明出处 APT防御产品 » 7年来一直被俄罗斯政府撑腰的APT组织 (Dukes APT 组织)

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

网友评论(1)

  1. 沙发#

    天寒地冻的地方天天研究这了

    silent 2016-07-02 01:35 回复