俄羅斯支援的DNC黑客組織對華盛頓智庫發起攻擊

據國防部官員透露，上週一個由俄羅斯所支援的黑客組織攻擊了位於華盛頓，重點關注俄羅斯的智庫團，該機構還曾是攻擊民主黨計算機網路的成員之一。犯罪者所在小組稱為COZY BEAR，或APT29，根據兩大網路安全公司之一的CrowdStrike創始人Dmitri Alperovitch的發言，DNC黑客組織需要對此次襲擊事件負責。 CrowdStrike發現了來自DNC的攻擊併為智庫提供安全服務。

Alperovitch表示少於五個組織機構和10名研究俄羅斯的工作人員遭受到來自“極具針對性行動”的襲擊。出於客戶利益考慮及避免洩露工具技術或其他資料給黑客，他拒絕透露具體是哪些智庫和研究人員遭襲。

Alperovitch表示稱，公司一但檢測到漏洞及入侵者無法潛帶的任何資訊，立即會向受侵組織發出警告。國防部向幾個參與俄羅斯研究專案的智庫伸以援手，其中之一就是戰略與國際研究中心（CSIS）。

“上週，我們受到攻擊，但我們為數不多的工作人員對此及時作出反應。除此之外，我不打算討論任何細節，因為事件正在積極調查中，” CSIS對外關係高階副總裁H. Andrew Schwartz在電子郵件中寫到。

戰略技術專案高階副總裁兼董事James Andrew Lewis在CSIS表示道：“這就像一個榮譽徽章–任何有聲望的智庫都已經被黑客入侵。俄羅斯人只是還不瞭解獨立機構，所以他們正在尋找奧巴馬的祕-密指示。另一個好處是，他們可以去向他們的老闆炫耀並證明他們作為間諜的價值。”

一位國防部人士接觸了幾個參與俄羅斯專案的智庫團。回覆中大部分直接稱，他們並沒有被專門針對。哈佛大學貝爾弗科學中心和國際事務談道，“我們有政策對中心安全不予評論。”如果我們從別處聽到訊息，會更新這個帖子。

黑客可能已經試圖從擔任華盛頓智庫團的董事會官員那得到資料和資訊，Alperovitch這樣推測到。

“這些人很多都是前政府官員，並仍指導現任政府官員，”Alperovitch說道。我們的目標本來就是“通過觀察他們與政府官員的溝通，來判斷他們是否可能已掌握偷來的資訊並分享這些資訊，或者將它們作為一種針對政府的方式。”

Alperovitch談到，智庫正在使用的是CrowdStrike公司的獵鷹網路安全軟體，這是一個2MB的端點管理工具，可使CrowdStrike監控其客戶的入侵網路，包括對先進的遠端訪問工具的監控，其簽名不會出現在常規網路流量中。

“你可以把它看成是一個正在記錄所發生的一切的攝像機，”他提道，“你開啟Word，開啟Outlook和其他啟動網路連線的程式，它都會被被記錄下來，被傳輸到我們的雲中，在那裡我們對其進行機器學習及行為分析…那就是在這所發生的事。我們識別出spearphish網路釣魚攻擊，並立即發出了警報。我們的人員聯絡 [客戶] 說，好吧，這真的很嚴重，你需要馬上將安全軟體覆蓋到這臺機器中。”

網路安全公司FireEye首次發現COZY BEAR小組，其早在2014年就被稱為APT29。

“APT29是我們所跟蹤的黑客小組中能力最強的，”FireEye在去年發表的部落格中寫道，“當其他APT小組試圖掩蓋他們的蹤跡以阻撓調查時，APT29就從中脫穎而出。他們在減少或消除法庭證據，對待監控的應變能力以及在規避網路維護者的各項補救措施中表現出相當的紀律性和一致性。”

CrowdStrike和其他網路安全研究人員認為COZYBEAR與俄羅斯聯邦安全域性（FSB）有著密切聯絡。已發動過成功襲擊的美國實體名單包括白宮，國務院和非涉-密系統職工的聯席會議。

CrowdStrike和其他網路安全研究人員稱另一躲在DNC黑客小組背後的俄羅斯黑客組織稱為FANCY BEAR，或APT28，很多網路安全界人士認為其和俄羅斯軍方有聯絡。研究人員還懷疑FANCY BEAR是維基解密中洩露DNC檔案的幕後黑手。

重要的是，儘管FANCY BEAR在今年四月脫離了DNC組織，CrowdStrike研究仍顯示自2015年夏天起COZY BEAR就是在網路上成長最快的黑客小組，其可能允許訪問的資訊呈指數級增長。研究人員認為這是目前執行中最具先進持續性威脅的組織之一。

根據Alperovitch的調查，由於那些廣為人知的黑客手段的出現，COZY BEAR已經大幅地提升了其使用工具和技術手段，增強了其躲避檢測的能力及在最初的妥協後進一步擴大網路中快速移動的能力。在這種情況下，攻擊者通過偽造來自知名智庫團和地緣政治顧問組的郵件來誘騙受害者開啟電子郵件。

Alperovitch告訴一位國防部人士CrowdStrike能夠立刻檢測到入侵行為，但它要花費30分鐘將一個受感染的機構從網路上的其他機器中系統隔離，“到那時，好幾個系統已經被感染。”

即使在檢測之後機器之間的快速，橫向移動，也和COZY BEAR的操作方式保持一致。在目標物件開啟一個連結到錯誤域名的電子郵件後，目標公司的機器將下載一個遠端訪問工具或RAT（在這種情況下，通常是Microsoft的Excel和Word檔案）。這使黑客得以進入系統。在感染COZY BEAR病毒的情況下，黑客在進行初步檢測後試圖瞭解網路對映以尋找機會進入其他系統。黑客“開始打字，比如OK;網路是什麼樣子？我可以從這臺機器上跳到其他機器上嗎？我有什麼許可權，”Alperovitch解釋道。

本文轉自d1net（轉載）