俄罗斯的“ Sandworm”黑客也瞄准了Android手机

098.jpg

由俄罗斯政府赞助的称为Sandworm的黑客发起了一些历史上最具侵略性和破坏性的网络攻击:2014年,入侵在美国电力公司内部植入了恶意软件;在乌克兰引发的停电事件不是一次,而是两次,最终是NotPetya,有史以来最昂贵的网络攻击。但是根据Google的说法,近年来,Sandworm的一些安静的操作并未引起注意。

在今天在弗吉尼亚州阿灵顿举行的CyberwarCon会议上,谷歌安全研究人员Neel Mehta和Billy Leonard描述了有关Sandworm自2017年以来活动的一系列新细节,从其针对法国大选的作用到其企图破坏上届冬季奥运会的努力到也许是Sandworm策略最不可能的新示例-试图通过流氓应用程序感染大量Android手机。他们甚至试图危害Android开发人员,以使其恶意软件污染合法应用。

谷歌研究人员说,他们希望引起人们注意,Sandworm的运作被忽视了。尽管他们对Sandworm造成了巨大的破坏,但他们仍未像被称为APT28或Fancy Bear的俄罗斯黑客组织那样受到主流关注。诸如NotPetya的攻击以及在乌克兰的早期行动。(人们普遍认为APT28和Sandworm都是俄罗斯军事情报机构GRU的一部分。)“ Sandworm长期以来同样有效,并且对CNA造成了重大破坏,” Leonard在接受采访之前对WIRED表示。他的CyberwarCon演讲。CNA是指计算机网络攻击,是一种不同于单纯的间谍活动或网络犯罪的破坏性黑客攻击。“但是他们仍然进行了长期的竞选活动,这些活动已经被人们所忽视。”

谷歌对Sandworm的Android定位调查始于2017年底,大约在同一时间,据威胁情报公司FireEye称,黑客组织似乎已开始开展活动,以扰乱韩国平昌2018年冬季奥运会。Leonard和Mehta现在说,在2017年12月,他们发现Sandworm的黑客还创建了朝鲜语Android应用程序的恶意版本(例如运输时间表,媒体和财务软件),在这些合法应用程序周围添加了自己的恶意“包装器”,将它们的版本上传到Google Play商店。

Google迅速从Play中删除了这些恶意应用程序,但很快发现两个月前,同一恶意代码已被添加到乌克兰邮件应用程序Ukr.net的一个版本中,该版本也已上传到Google的应用程序商店中。伦纳德说:“这是他们首次涉足Android恶意软件。” “和过去一样,Sandworm一直将乌克兰用作试验场,这是开展新活动的试验场。”

伦纳德(Leonard)和梅塔(Mehta)说,即使包括乌克兰早期的努力,沙虫的恶意应用程序总共感染了不到1000部手机。他们也不确定恶意软件打算做什么。他们看到的恶意代码只是一个下载器,能够充当其他未知功能的恶意软件组件的“ beachhead”。最终目标的范围可能从间谍活动(即GRU 针对其他与奥运会相关的目标,例如全球反兴奋剂机构进行的黑客入侵和泄漏信息)到破坏平昌(Pingchang)的破坏奥林匹克的数据之类的奥林匹克破坏者恶意软件。

谷歌表示,在2018年10月和11月,Sandworm尝试了另一种更复杂的尝试来破坏Android设备。这次,黑客攻击了主要在乌克兰的Android开发人员,使用网络钓鱼电子邮件和带有恶意软件的附件,这些恶意软件旨在利用已知的Microsoft Office漏洞并建立一个称为Powershell Empire的通用黑客框架。在一个案例中,Sandworm成功地破坏了乌克兰历史应用程序的开发人员,并利用该访问权限推出了类似于Google一年前看到的Android恶意软件的恶意更新。谷歌表示,这次没有手机被感染,因为它在到达Google Play之前就捕获了这一变化。

Mehta指出,除了对Android及其开发人员的新关注之外,软件供应链攻击还提供了相对新鲜的证据,表明Sandworm仍然专注于乌克兰。梅塔说:“它一次又一次地回到乌克兰,这是一个始终如一的主题。”

谷歌的研究人员还注意到,Sandworm的Android恶意软件的某些元素与黑客雇佣公司Hacking Team所使用的特征具有某些共同之处。但是他们怀疑那些黑客团队的功能可能是Sandworm的虚假标志,以甩开调查人员,因为GRU大约在同一时间部署的Olympic Destroyer恶意软件包括指向朝鲜和中国的前所未有的误导性。伦纳德补充说:“这很可能是一种混淆归因的尝试,就像我们在《奥林匹克破坏者》恶意软件中看到的代码重叠一样。”

除了Android外,Google研究人员还指出了Sandworm活动的其他新细节,其中一些已被其他安全公司近年来部分描述。他们证实了例如FireEye的发现,即Sandworm瞄准了2017年的法国大选,该行动从当时的总统候选人伊曼纽尔·马克龙(Emmanuel Macron)的竞选活动中泄漏了9 GB的电子邮件。一些安全公司先前声称,另一个 GRU黑客团队APT28负责该操作,而FireEye指出了泄露的Macron电子邮件中的钓鱼邮件,该电子邮件链接到已知的Sandworm域


03.jpg

Google现在说这两种说法都是正确的:APT28和Sandworm都针对Macron。根据对电子邮件基础架构的可见性,Google表示,APT28在2017年春季针对Macron广告系列进行了数周的攻击,然后Sandworm于4月14日接管了该活动,发送了自己的网络钓鱼电子邮件以及恶意附件,其中一些据Google称,成功地破坏了竞选活动的电子邮件,这些电子邮件在2017年5月大选之前泄露。(参与法国大选黑客活动的Google帐户后来帮助该公司将Sandworm识别为其Android恶意软件的罪魁祸首,尽管Google拒绝更详细地说明它是如何建立该连接的。)

谷歌表示,它还追踪了Sandworm历史上最神秘的活动之一,该活动在2018年春季和夏季针对了俄罗斯人。这些受害者包括俄罗斯的汽车销售企业以及房地产和金融公司。鉴于Sandworm作为GRU团队而广为人知的血统,国内黑客仍然是一个令人困惑的矛盾。谷歌拒绝猜测动机。

但是它也指出了更多预期的和正在进行的行动,这些行动继续针对Sandworm的通常受害者:乌克兰。研究人员说,从2018年末开始一直持续到今天,Sandworm破坏了与宗教组织,政府,体育和媒体有关的乌克兰网站,并导致它们重定向到网络钓鱼页面。

到目前为止,那种不加选择的凭证收集运动的目标是一个谜。但是,鉴于Sandworm在乌克兰和其他地方遭受大规模破坏的历史,它仍然是一个值得关注的威胁。

发表评论 / Comment

用心评论~