俄罗斯“兵风暴(Pawn Storm)”网络间谍行动仍在继续 - APT防御产品

俄罗斯“兵风暴(Pawn Storm)”网络间谍行动仍在继续

“兵风暴(Pawn Storm)”行动是一场被指由俄罗斯政府支持的黑客组织所进行的网络间谍活动,趋势科技的最新研究报告显示,他们现在仍在大肆进行攻击。

俄罗斯政府支持的黑客组织

趋势科技揭秘称,这个组织引入了新的方法,攻击包括NATO(北大西洋公约组织)成员在内的目标。Pawn Storm背后的组织据称与俄罗斯政府有关,这个组织从2007年开始运作。其主要目标包括国防工业、军队、政府组织和媒体。

研究人员Feike Hacquebord在博客中写道:

“这个组织在2015年第一季度有大量活动。最令人瞩目的是他们建立了大量exploit URL和新的C&C服务器,用来攻击NATO成员国和欧洲、亚洲、中东的政府。”

攻击手段

这个组织使用三种方法攻击目标。一种是鱼叉式钓鱼,他们发送恶意office文档,其中包含Sofacy/SEDNIT恶意软件。

另一种方法是发送钓鱼邮件,重定向用户至伪造的OWA(Microsoft Outlook Web Access)登录页面。第三种方法是感染波兰政府的官方网站,然后让受害者感染前面提到的那些恶意软件。

Feike Hacquebord中说,“与往常的惯用伎俩稍稍不同,我们注意到Pawn Storm攻击者们发送经过伪造的email,欺骗用户点击恶意链接。”

“在某个案例中,诈骗邮件的主题是‘南部天然气走廊’,这是欧盟开始的一个项目,目的是减少对俄罗斯天然气的依赖。其他的邮件中也有类似的地缘政治主题,比如乌克兰危机和欧安组织的开放天空协商委员会”。


“当某些条件满足时,伪造的新闻网站就会显示信息称,想要查看网站内容需安装HTML5插件,”他写道,“如果你是Linux用户,这个可疑插件会变成X-Agent或者Fysbis间谍软件,如果你是Windows用户则会变成Sednit。”

有些报告甚至称,美国白宫也被该组织攻击了。1月26日,攻击者通过Gmail的钓鱼甚至攻击了三个非常受欢迎的YouTube播客。

Feike Hacquebord还在博客中写道:

这是经典的“越岛作战”技巧,攻击者没有把精力放在实际目标上而是放在了可能与目标有交流的人或者公司上面,这些目标的安全意识更低。通过类似的方法,一家美国大型报业的知名军事通讯员在2014年12月被攻击者攻破了个人邮箱,他的密码可能被泄露了。当月晚些时候,这家报业的55位员工也遭到了Pawn Storm的攻击。

这个组织还会用过他们的恶意软件攻击iOS用户,这是最近才发生的事。

安全建议

安全研究人员表示,组织机构们必须对这种攻击保持高度警惕,因为Pawn Storm行动的黑客们现在竭尽全力让他们的邮件看起来更真实。


转载请注明出处 APT防御产品 » 俄罗斯“兵风暴(Pawn Storm)”网络间谍行动仍在继续

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址