舒适熊,英文名“Cozy Bear”,也被称为Dukes或APT29,是一个被认为与俄罗斯情报局存在关联的黑客组织,长期以来一直专注于从事网络间谍活动。
该黑客组织在2016年因被指参与了针对美国民主党全国委员会(DNC)的网络攻击活动而名声大噪,但之后便很少再看到与其相关的报道,甚至一度被怀疑已经退出了历史舞台。
但网络安全公司ESET却在近日发文称,该黑客组织或许从未离开过,因为它很有可能就是一起自2013年持续至今的网络间谍活动的幕后操控者。
“幽灵行动”:自2013年持续至今
这起网络间谍行动被ESET公司命名为“Operation Ghost(幽灵行动)”,被认为开始于2013年,并且至今仍在进行中。
图1.“幽灵行动”时间表
ESET公司的研究表明,到目前为止至少已经有3个欧洲国家的外交部受到了这起活动的影响。
有关这起活动的第一条线索是在Reddit上发现的。在2014年7月,攻击者在Reddit上发布了一篇让人摸不着头脑的帖子——其中包含了一些奇怪的字符串。
经ESET公司研究人员的分析,它们实际上是一款名为“PolyglotDuke”的恶意软件所使用的命令和控制(C&C)服务器地址。
图2. 包含硬编码C&C服务器地址的Reddit帖子
“幽灵行动”与舒适熊之间的关联
一方面,ESET公司的研究人员注意到这起活动所使用的战术与舒适熊之前使用的战术有许多相似之处,例如:
- 使用Twitter(或其他社交网站,例如Reddit)托管C&C服务器地址;
- 利用隐写术图片隐藏有效载荷或C&C通信;
- 利用Windows Management Instrumentation(WMI)实现持久性。
此外,其他一些相似之处,也能够将“幽灵行动”与舒适熊联系起来:
- 目标都是外交部;
- 在“幽灵行动”中被攻击的目标组织,在之前也被舒适熊攻击过;
- 在某些感染了PolyglotDuke恶意软件的设备上,也曾感染过属于舒适熊的其他恶意软件,如OnionDuke。
不仅如此,对比PolyglotDuke和OnionDuke就会发现,它们之间也存在许多相似之处,如相似的函数。
图3. PolyglotDuke和OnionDuke的对比
鉴于如此多的相似之处,ESET公司的研究人员认为,“幽灵行动”背后的操控者就是舒适熊。
更新的工具和战术
在“幽灵行动”中,舒适熊仅使用了少数几种工具,但却组成了一个功能强大的恶意软件平台:
- PolyglotDuke-一方面,它使用Twitter、Reddit或Imgur等网站来获取C&C服务器地址;另一方面,它依靠隐写术图片来进行C&C通信;
- RegDuke-它使用Dropbox作为其C&C服务器,主有效载荷在硬盘上加密,加密密钥存储在Windows注册表中;
- MiniDuke后门-一个采用汇编语言编写的简单后门,与之前的版本功能类似;
- FatDuke后门-一个相对复杂的后门,它实现了许多功能,并经过了高度混淆处理。
图4.“幽灵行动”恶意软件平台
结论
尽管我们已经很久没有看到有关舒适熊的公开报道,但它似乎从未停止过开展网络间谍活动,并且已经开发出了新的恶意软件。
舒适熊曾被指黑过美国五角大楼,入侵过荷兰总务部,攻击目标甚至还包括全球知名智库以及一些私人组织。
如果它真是“幽灵行动”的幕后操纵者,则说明该黑客组织仍没有改变它的初衷,仍在攻击高价值目标。
閱讀更多 黑客視界 的文章
