舒適熊,英文名“Cozy Bear”,也被稱為Dukes或APT29,是一個被認為與俄羅斯情報局存在關聯的黑客組織,長期以來一直專注於從事網絡間諜活動。
該黑客組織在2016年因被指參與了針對美國民主黨全國委員會(DNC)的網絡攻擊活動而名聲大噪,但之後便很少再看到與其相關的報道,甚至一度被懷疑已經退出了歷史舞臺。
但網絡安全公司ESET卻在近日發文稱,該黑客組織或許從未離開過,因為它很有可能就是一起自2013年持續至今的網絡間諜活動的幕後操控者。
“幽靈行動”:自2013年持續至今
這起網絡間諜行動被ESET公司命名為“Operation Ghost(幽靈行動)”,被認為開始於2013年,並且至今仍在進行中。
圖1.“幽靈行動”時間表
ESET公司的研究表明,到目前為止至少已經有3個歐洲國家的外交部受到了這起活動的影響。
有關這起活動的第一條線索是在Reddit上發現的。在2014年7月,攻擊者在Reddit上發佈了一篇讓人摸不著頭腦的帖子——其中包含了一些奇怪的字符串。
經ESET公司研究人員的分析,它們實際上是一款名為“PolyglotDuke”的惡意軟件所使用的命令和控制(C&C)服務器地址。
圖2. 包含硬編碼C&C服務器地址的Reddit帖子
“幽靈行動”與舒適熊之間的關聯
一方面,ESET公司的研究人員注意到這起活動所使用的戰術與舒適熊之前使用的戰術有許多相似之處,例如:
使用Twitter(或其他社交網站,例如Reddit)託管C&C服務器地址;利用隱寫術圖片隱藏有效載荷或C&C通信;利用Windows Management Instrumentation(WMI)實現持久性。此外,其他一些相似之處,也能夠將“幽靈行動”與舒適熊聯繫起來:
目標都是外交部;在“幽靈行動”中被攻擊的目標組織,在之前也被舒適熊攻擊過;在某些感染了PolyglotDuke惡意軟件的設備上,也曾感染過屬於舒適熊的其他惡意軟件,如OnionDuke。不僅如此,對比PolyglotDuke和OnionDuke就會發現,它們之間也存在許多相似之處,如相似的函數。
圖3. PolyglotDuke和OnionDuke的對比
鑑於如此多的相似之處,ESET公司的研究人員認為,“幽靈行動”背後的操控者就是舒適熊。
更新的工具和戰術
在“幽靈行動”中,舒適熊僅使用了少數幾種工具,但卻組成了一個功能強大的惡意軟件平臺:
PolyglotDuke-一方面,它使用Twitter、Reddit或Imgur等網站來獲取C&C服務器地址;另一方面,它依靠隱寫術圖片來進行C&C通信;RegDuke-它使用Dropbox作為其C&C服務器,主有效載荷在硬盤上加密,加密密鑰存儲在Windows註冊表中;MiniDuke後門-一個採用彙編語言編寫的簡單後門,與之前的版本功能類似;FatDuke後門-一個相對複雜的後門,它實現了許多功能,並經過了高度混淆處理。圖4.“幽靈行動”惡意軟件平臺
結論
儘管我們已經很久沒有看到有關舒適熊的公開報道,但它似乎從未停止過開展網絡間諜活動,並且已經開發出了新的惡意軟件。
舒適熊曾被指黑過美國五角大樓,入侵過荷蘭總務部,攻擊目標甚至還包括全球知名智庫以及一些私人組織。
如果它真是“幽靈行動”的幕後操縱者,則說明該黑客組織仍沒有改變它的初衷,仍在攻擊高價值目標。