由于俄罗斯军方机构被称为GRU首次进入聚光灯下的黑客攻击2016年美国那次选举,它已经成为越来越多的数字被称为多背后克里姆林宫的最无耻行为的球员。这是负责一切从 first-ever blackout triggered by hackers—turning off the power to a quarter million Ukrainians in December 2015—to NotPetya, the worst cyberattack in history, a worm that inflicted $10 billion in damage.

近年来,安全研究人员还发现的证据,其中一些网页到现在为止,你明确地得以出版,是关系小组以外,更多的神秘事件。这包括违反选举的两名美国州议会在2016年, cyberattack on the 2018 Winter Olympics, and the hacking of the French election in 2017。事实上,很多这些指纹,总体乱链接不仅对GRU,但到黑客的一个组内被称为机构 Sandworm.

“这个小组的任务是我们从俄罗斯看到最积极的行为,也可能是最积极的,我们看到,期间,”约翰Hultquist,情报分析,在安全厂商FireEye的导演,他的研究小组发现并命名沙虫在秋天说2014“这种行为似乎运行从选举干扰电网的技术破坏的域。我想不出另一组可只声称有没有尝试过这么多的无耻行为,但实际上把他们关”。

I’ve also followed Sandworm's escalating attacks over the last three years, telling its story in a book, Sandworm上周发布。在报告的过程中,担保公司包括研究人员从FireEye的和ESET有无共享连接的关键法医那条领带集团的黑客攻击事件到一个单一的,连接,和不断发展的一系列操作。

The French Connection

Russia’s GRU has long been suspected of responsibility for the breach that leaked 9 gigabytes of emails 法国总统候选人埃马纽埃尔·万安的运动只是前进行一个活动,反对类似的民主党全国委员会和美国克林顿竞选之后,法国大选在2017年,近一年的五月初。现在从安全公司FireEye的点联系该操作直接把沙虫一个新的数据,以及具体的恶意软件notpetya这将在法国大选后全球仅仅一个月打乌克兰和蔓延。

一开始的黑客工具,链接在2016年首次发现由网络安全公司ESET,写在程序设计语言中的数据销毁对乌克兰的攻击中使用Visual Basic脚本这沙虫ADH一个后门程序。次年,ESET发现VBS所安装相同的工具上已经受害者行业乌克兰金融网络。它一直使用相同的劫持那里乌克兰会计软件更新,梅多克,ADH一个能够使notpetya前几天发布放置。 ESET以后会 这VBS后门点作为证据ESET的关键点沙虫,这就要求负责telebots,是notpetya.

在2018年五月,FireEye的保加利亚接过细看那个VBS后门,命令和具体地基于控制的服务器,即明显地使用沙虫与它进行通信。该服务器也是奇怪的是,一个“接力”的 anonymity network Tor,服务作为网络Tor的反弹加密该全球连接志愿者的一台计算机。在这种情况下,黑客,似乎已经使用Tor中继伎俩掩盖连接从他们的命令和控制服务器回用于管理它,他们任何计算机。

连接中显示从奥运会到美国和法国的选举notpetya瞄准一切FireEye的沙虫的可能参与未发布的报告中的图表(其中FireEye的调用这里eternalpetya)。

Courtesy of FireEye
Advertisement

FireEye的分析师说迈克尔Matonis已经注意到保加利亚Tor中继的配置不寻常的东西;我拒绝共享信息,生怕通风报信黑客他们的诉说的。但它允许FireEye的发现似乎20个其他Tor节点集合已在该设置了由同一个人或团体,都在2017年。

Matonis检查DNS记录以来,一种电话簿为互联网,看到了哪些领域托管在这些TOR节点的IP地址,然后向一派寻找那些域其他连接。搜索的第一个我看到的域,一个明显的谷歌,欺骗网络钓鱼链接算命产生的结果。出现在它 one of the emails stolen and leaked by the hackers who had breached the Macron campaign.

他们争先恐后地在长音符号活动的电子邮件泄露,似乎还没有费心去删除网络钓鱼链接的电子邮件GRU他们会自己去他们的目标。跑冒滴漏被盗电子邮件的宝库,暴露的证据,他们已经沙虫那钓鱼链接从它会在notpetya攻击后使用相同的基础设施有针对性的法国大选。

Olympic Destroyer, Voter Roll Voyeur

FireEye deployed a similar technique to get to the bottom of one of the most confounding cyberattacks in history: The data-wiping malware released inside the IT network of the Pyeongchang Winter Olympics 在2018年二月,这在开幕式中记下了事件的Wi-Fi,应用程序,服务和票务服务。

Cyber Warfare, Illustration, Computer, Rocket

The WIRED Guide to Cyberwar

网络战争的威胁笼罩着未来:能够实现跨越国界和传送的战乱中,以平民千里超出其正面冲突的一个新的层面。

Despite layers of code snippets intended to make the attack look North Korean or Chinese 在原产地,FireEye的是能够匹配在钓鱼攻击奥运会使用VirusTotal服务网络钓鱼等文件,恶意软件库的集合文件。所有在分组受感染的附件是由相同的公共工具,恶意宏发电机,并且有用户名普通以及文件的元数据创建的。集合中的其他文件似乎是针对乌克兰人,包括同性恋活动家, as well as the Spiez Laboratory in Switzerland,这是调查的GRU叛逃者谢尔盖Skripal - 无论是那样的运动背后强大的俄罗斯黑客主治化学武器攻击。集合中的其他文件,比较神秘,似乎瞄准俄罗斯寡头。

绑在奥运驱逐舰的攻击,包括武器的乌克兰外套乌克兰靶向FireEye的文件之一。

Courtesy of FireEye

最终Matonis但FireEye的分析师发现更能说明问题的证据。我连接到由网络钓鱼一个这些文件的域联邦调查局了以前认定为钓鱼反对选举的两名美国州议会的攻击中使用的用于指挥和控制服务器。在2018年七月, special counsel Robert Mueller indicted 12 GRU hackers 在美国大选的干扰和束缚GRU单位成员阿纳托利·谢尔盖耶维奇·74455科瓦廖夫到板-的补选的具体黑客。

Advertisement

从之前的notpetya攻击(这劫持乌克兰会计软件梅多克的更新),网络钓鱼活动链接到奥运驱逐舰恶意软件和沙虫侵扰,显示其中的托管服务提供商,并在三个黑客活动中使用服务器的其他特征相似的图表年。总之,所有这三个它们表明可能是沙虫的工作活动。

这逻辑链牵连不仅GRU单元74455在美国大选但在瞄准2018奥运会的攻击。事实上,奥运会的网络攻击可能已经在从2018年奥运会俄罗斯的禁令掺杂复仇行动。和连接运行更深仍:Matonis看到许多命令和控制服务器所使用的黑客奥运会主办相同的两个公司,一个全球性的层和fortunix的,如沙虫那些在以前的活动。其中的一些服务器,只是作为notpetya和French Connection的选举正在运行的Tor同样继电器。所有建议已不仅仅是俄罗斯,或GRU的单位74455开展攻击奥运会,但同样的沙虫具体GRU组负责notpetya和乌克兰停电黑客。

Backdoors and Blackouts

链接搭售更大的网络一起法医沙虫的可以追溯到几年前的攻击。 2014至2015年,该组 helpfully used versions of the same BlackEnergy malware in many of its intrusions 500 Internal Server Error

Internal Server Error

The server encountered an internal error and was unable to complete your request. Either the server is overloaded or there is an error in the application.

Then last year ESET revealed that it had spotted a backdoor known as Exaramel 在客户的网络上违反这归因于它沙虫。也用于ADH定制凭证窃取credraptor已知为ESET HAD沙虫利用黑客只看到在过去。 ESET指出,发现的意义:从另外在违反乌克兰的国家电力公司的露面exaramel ADH代码,引发了乌克兰,这时候第二个中断在首都基辅,在后期2016年ESET认为,确认沙虫在参与第二过遮光黑客操作,就像在第一个。

“这就像块放在一起的一个难题,证据基本上提高了我们的信心,这些东西是相关的位,”研究员罗伯特Lipovsky ESET说。通过这些装配创建的图象产生件,Lipovsky说,是黑客的唯一积极的基团。 “这些家伙是真正关心的影响。他们关于破坏和混乱。”

一个单一的,高度危险的黑客组织的那人像不仅仅是一个好奇心更FireEye的的Hultquist说。它应该起到警示和情报的关键组成部分,如果过沙虫的一个潜在目标的指纹出现的网络。 “我们正在谈论的持有了所有这些令人发指的行为一个球员,” Hultquist说。 “如果你能属性的事件来这个演员,这是一个非常危险的情况下找到自己”。


当您使用我们的故事零售环节买东西,我们可以赚一小附属委员会。阅读更多关于 how this works.


More Great WIRED Stories