如今,APT28 一直被归咎于俄罗斯联邦武装力量总参谋部 (GU/GRU) 总局第 85 特别服务中心 (GTsSS) 的 GRU 26165 部队。这种归咎主要基于美国司法部 (DoJ) 于 2018 年公布的起诉书。美国国土安全部 (DHS) 和联邦调查局 (FBI) 2016 年的一份报告曾高度肯定地将 ATP28 归咎于俄罗斯军事或民事情报部门,但未具体说明具体机构。在其 2018 年的安全环境评估中,爱沙尼亚情报局确认 ATP28 与对 GRU Unit 26165 的观察一致。2018 年下半年,英国国家网络安全中心 (NCSC) 评估“几乎肯定”APT28 是 GRU 的一部分。FireEye 等业内消息人士早在 2014 年就已将 APT28 归因于俄罗斯政府支持的行为者,但并未指明与政府机构或机构有任何具体联系。2016 年,CrowdStrike 首次公开将 GRU 确定为负责的政府机构,这是其对民主党全国委员会 (DNC) 网络入侵事件进行调查的结果。
如今,APT28 一直被归咎于俄罗斯联邦武装力量总参谋部(GU/GRU)第 85 特别服务中心(GTsSS)GRU 26165 部队。这一归咎主要基于美国司法部 (DoJ) 于 2018 年公布的一份起诉书。美国国土安全部 (DHS) 和联邦调查局 (FBI) 2016 年的一份报告曾高度肯定地将 ATP28 归咎于俄罗斯军事或民事情报部门,但未具体指明是哪个机构。在其 2018 年的安全环境评估中,爱沙尼亚情报局确认 ATP28 与 GRU Unit 26165 的观察结果一致。2018 年下半年,英国国家网络安全中心 (NCSC) 评估“几乎肯定”APT28 是 GRU 的一部分。FireEye 等业内消息人士早在 2014 年就已将 APT28 归因于俄罗斯政府支持的行为者,但并未指明与政府机构或机构有任何具体联系。2016 年,CrowdStrike 在对民主党全国委员会 (DNC) 网络入侵事件进行调查后,首次公开将 GRU 确定为负责的政府机构。
使用 SNMP 协议访问路由器 2021 年,APT28 使用基础设施伪装简单网络管理协议 (SNMP) 访问全球的思科路由器。其中包括少数位于欧洲的路由器、美国政府机构和大约 250 名乌克兰受害者。SNMP 旨在允许网络管理员远程监控和配置网络设备,但它也可能被滥用来获取敏感的网络信息,如果存在漏洞,还可以利用设备渗透网络。许多软件工具可以使用 SNMP 扫描整个网络,这意味着不良配置(例如使用默认或易于猜测的社区字符串)可能会使网络容易受到攻击。弱的 SNMP 社区字符串(包括默认的“public”)允许 APT28 获取路由器信息的访问权限。APT28 发送了额外的 SNMP 命令来枚举路由器接口。[T1078.001] 被入侵的路由器配置为接受 SNMP v2 请求。 SNMP v2 不支持加密,因此所有数据(包括社区字符串)都是以未加密形式发送的。利用 CVE-2017-6742 APT28 利用了漏洞 CVE-2017-6742(Cisco Bug ID:CSCve54313)[T1190]。思科于 2017 年 6 月 29 日首次公布了此漏洞,并发布了修补软件。思科发布的公告提供了解决方法,例如仅限制受信任主机对 SNMP 的访问,或禁用多个 SNMP 管理信息库 (MIB)。恶意软件部署
APT 组织适应性极强,这已不是什么秘密。例如,2010 年臭名昭著的 Stuxnet 攻击标志着网络战争复杂程度的转折点,国家支持的 APT 展示了其破坏物理基础设施的能力。后来,与俄罗斯情报部门有关的 APT28(Fancy Bear)展示了 APT 组织如何针对政治实体,例如 2016 年备受瞩目的民主党全国委员会入侵事件。这些实例表明,尽管安全防御不断发展,APT 仍不断改变其方法、利用新的漏洞并保持活跃。此外,我们继续观察到,MITRE 发现的 APT 组织中约有三分之一处于活跃状态。根据 FortiRecon 的情报,我们发现在 143 个已识别的 APT 组织中,有 38 个(27%)在 2023 年下半年处于活跃状态,其中包括 Lazarus Group、Kimusky、APT28、APT29、Andariel 和 OilRig。1
Insikt Group已确定在中亚,东亚和欧洲的一项持续的网络活动活动。此运动是由俄罗斯一致的威胁活动组进行的INSIKT小组曲目作为TAG-110,该小组与UAC-0063重叠,并且乌克兰计算机应急响应团队(CERT-UA)属于俄罗斯网络速度速度集团Bluedelta(APTP28),其信心中等信心。有针对性的组织包括人权团体,私人安全公司和教育机构。tag-11,部署了装载机Hatvibe和后门Cherryspy,以在此运动中进行操作。初始访问被怀疑来自恶意电子邮件附件或对弱势Web服务的剥削,例如Rejetto HTTP文件服务器(HFS)。
美国联邦调查局 (FBI)、美国国家安全局 (NSA)、美国网络司令部和国际合作伙伴发布了此联合网络安全咨询 (CSA),警告俄罗斯国家支持的网络行为者使用受损的 Ubiquiti EdgeRouters (EdgeRouters) 在全球范围内开展恶意网络行动。美国联邦调查局、美国国家安全局、美国网络司令部和国际合作伙伴(包括比利时、巴西、法国、德国、拉脱维亚、立陶宛、挪威、波兰、韩国和英国的当局)评估了俄罗斯总参谋部情报总局 (GRU)、第 85 主特别服务中心 (GTsSS)(也称为 APT28、Fancy Bear 和 Forest Blizzard (Strontium))是否在全球范围内使用受损的 EdgeRouters 来获取凭据、收集 NTLMv2 摘要、代理网络流量以及托管鱼叉式网络钓鱼登陆页面和自定义工具。
美国联邦调查局 (FBI)、美国国家安全局 (NSA)、美国网络司令部和国际合作伙伴发布了此联合网络安全咨询 (CSA),警告俄罗斯国家支持的网络行为者使用受损的 Ubiquiti EdgeRouters (EdgeRouters) 在全球范围内开展恶意网络行动。美国联邦调查局、美国国家安全局、美国网络司令部和国际合作伙伴(包括比利时、巴西、法国、德国、拉脱维亚、立陶宛、挪威、波兰、韩国和英国的当局)评估了俄罗斯总参谋部情报总局 (GRU)、第 85 主特别服务中心 (GTsSS)(也称为 APT28、Fancy Bear 和 Forest Blizzard (Strontium))是否在全球范围内使用受损的 EdgeRouters 来获取凭据、收集 NTLMv2 摘要、代理网络流量以及托管鱼叉式网络钓鱼登陆页面和自定义工具。
美国和英国政府将 ATP29 归咎于俄罗斯对外情报局 (SVR),该局的“政治情报”和“经济情报”职责甚至比国内和军事情报机构 FSB 和 GRU 的职责更重要。荷兰情报和安全总局 (AIVD) 也将 ATP29 归咎于 SVR,这是基于 2014 年入侵 ATP29 假定总部 (HQ) 的安全摄像头后获得的录像。AIVD 可以识别出几个已知的 SVR 成员进出总部的“黑客室”。 IT 安全行业的消息来源(其中包括 CrowdStrike 在其关于该组织的初步报道中)仅确认了 APT29 是俄罗斯情报机构的一部分,而没有具体说明与特定机构的联系。然而,在随后的几年中,CrowdStrike 和 Mandiant 一直支持将 APT29 确定为 SVR 运营实体的判断。与 Turla 被怀疑与 FSB 有一般联系类似,没有任何特定的 SVR 单位公开与行业名称相关联。这与其他与俄罗斯有联系的行为者建立的更细致入微的组织联系形成了鲜明对比,包括 APT28(GRU 部队 26165)、Sandworm(GRU 部队 74455)和 Gamaredon(FSB 第 16 和第 18 中心)。关于该组织在俄罗斯情报机构中的组织地位的公开信息较少,这可能反映了其相对较高的运营安全级别,这也可能会影响分析储备,从而披露可能危及对该组织行动洞察的细节。来源 [4] , [5] , [6] , [7] , [31] , [32] , [33]
2023 年 1 月 4 日 美国因国家安全担忧对中国芯片制造商和其他公司实施限制 Kevin Breuninger ǀ CNBC ǀ 2022 年 12 月 15 日 拜登政府周四表示,正在“严格”限制数十家主要来自中国的组织,其中包括至少一家芯片制造商,原因是他们试图利用先进技术帮助中国军队现代化。美国商务部工业和安全局在一份新闻稿中表示,这 36 家实体将面临“严格的许可要求”,这将阻碍他们获得某些美国生产的商品、软件和技术——包括人工智能和先进计算。该局的最新行动是在拜登政府对中国获取先进半导体实施新的限制两个多月后采取的。该机构表示,新的指定还针对支持该国军事入侵乌克兰的与俄罗斯有关的实体。美国商务部工业和安全部副部长艾伦·埃斯特维兹 (Alan Estevez) 在新闻稿中表示,这些行动将通过压制北京“利用人工智能、先进计算和其他强大的商用技术进行军事现代化和侵犯人权”的能力来保护美国国家安全。在此处阅读全文。CISA 研究人员:俄罗斯的花式熊渗透了美国卫星网络 Christian Vasquez ǀ CyberScoop ǀ 2022 年 12 月 16 日 网络安全和基础设施安全局的研究人员最近发现疑似俄罗斯黑客潜伏在美国卫星网络内,这引发了人们对莫斯科渗透和破坏迅速扩张的太空经济意图的新担忧。虽然有关此次攻击的细节很少,但研究人员将此次事件归咎于俄罗斯军事组织 Fancy Bear 或 APT28。此次攻击涉及一家卫星通信提供商,其客户遍布美国关键基础设施领域。今年早些时候,CISA 研究人员在收到有关可疑网络行为的提示后,发现卫星网络内存在黑客。上个月在 CYBERWARCON 网络安全会议上讨论该事件的 CISA 事件响应分析师 MJ Emanuel 表示,Fancy Bear 似乎已在受害者网络中存在数月之久。太空安全是一个日益严重的全球问题,尤其是随着全球主要行业和军队越来越依赖卫星进行重要通信、GPS 和互联网访问。在此处阅读全文。2 月俄罗斯入侵前夕,针对美国电信公司 Viasat(该公司在欧洲提供互联网服务)的网络攻击导致乌克兰的互联网服务中断。
