五熊：俄罗斯APT的高级定向攻击能力

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

​

1.0。为什么？

五熊构成了俄罗斯进攻能力的一个组成部分。俄罗斯国家资助的高级持续威胁（APT）组织是网络的一部分，使俄罗斯成为当今网络空间最强大的参与者之一[来源]。先进的工具和坚实的基础设施相结合，可以针对战争时期和和平时期的国家进行前所未有的复杂行动。

然而，尽管处于数字环境中作战能力的最前沿，2022 年乌克兰战争表明进攻性网络行动的重要性比估计的要有限。事实证明，仅网络作战还不足以在实体战场上获得战略优势。尽管如此，由于数字环境不分国界，俄罗斯 APT 行为者在全球范围内构成了不断演变的威胁，不仅在间谍活动方面，而且在物理干扰方面，要求各国在和平时期和战争时期采取相应的反制和预防措施。

2.0。背景

至少从 20 世纪 90 年代开始，俄罗斯就参与了从间谍活动到破坏活动的各种敌对网络行动。至少自 1996 年以来，从月光迷宫攻击开始[来源]，与俄罗斯有关的恶意网络操作已发展成为一个由威胁行为者和操作组成的复杂网络。如今，俄罗斯国家支持的威胁行为者构成了一个由熟练团体组成的广泛网络，在全球范围内开展从间谍活动到破坏活动等各种活动。此外，进攻性网络行动可以通过威慑对手、控制升级和起诉冲突来实现外交政策和安全目标[来源]。因此，俄罗斯的进攻性网络能力构成其全球实力战略的关键要素。

2.1.免责声明

归因是一个非常复杂的问题。团体经常改变他们的工具集或与其他团体交换它们。因此，请注意，此处发布的信息可能需要根据不断变化的信息快速更新或更改。此外，网络安全公司和防病毒供应商对同一威胁参与者使用不同的名称，并且经常引用彼此的报告和组名称。然而，很难跟踪不同的术语和命名方案，但下面是每个组的已知替代名称的附加列表。

2.2.术语

APT： “APT 使用连续、秘密和复杂的黑客技术来访问系统并长时间保留在系统内部，从而造成潜在的破坏性后果”[来源]。

网络钓鱼：网络钓鱼是一种社会工程攻击，通常用于窃取用户数据，包括登录凭据和信用卡号[来源]。 

鱼叉式网络钓鱼：鱼叉式网络钓鱼是针对特定个人、组织或企业的电子邮件或电子通信诈骗[来源]。

零日漏洞：零日漏洞是一种未知的漏洞利用，它会暴露软件或硬件中的漏洞，并可能在任何人意识到问题之前就造成复杂的问题[来源]。

供应链：数字供应链是一组流程，它使用先进技术并更好地洞察供应链上每个利益相关者的职能，让每个参与者就他们所需的材料来源、产品需求等做出更好的决策。之间的关系[来源]。

特洛伊木马：下载并安装在看似无害的计算机上的恶意程序 [来源]。

3.0。俄罗斯APT生态系统

俄罗斯国家支持的 APT 行为者利用复杂的网络能力来瞄准对手在全球舞台上的关键基础设施。敌对行为者展示了复杂的间谍技术和网络能力，在受感染的环境中保持持久且未被发现的存在[来源]。俄罗斯政府利用其 APT 网络来行使权力，开展恶意网络活动，包括试图压制政治和社交媒体活动的网络间谍活动、信息盗窃和伤害国际对手等。

3.1.著名的威胁行为者

3.1.1.花式熊

Fancy Bear 因其试图干扰 2016 年美国总统选举而闻名，它是一个资源丰富且顽强的对手，与俄罗斯主要情报局 (GRU) 主要特别服务中心 (GTsSS) 26165 部队有联系 [来源;来源]。该组织被归因于欧洲和美国的敌对行动，并越来越关注包括中国在内的东方目标[来源]。 Fancy Bear 至少从 2004 年起就一直活跃[来源]。

其他名称：

索法西

APT28

塞德尼特

典当风暴

第74组

沙皇队

锶

燕尾

 SIG40

灰熊草原

TG-4127

鲭鱼

[来源]。

联邦调查局发布的与格鲁乌有关的俄罗斯军事情报官员通缉名单。资料来源：联邦调查局

3.1.2.舒适熊

与 Fancy Bear 一样，Cozy Bear 是一个资源丰富、高度敬业且有组织的组织，与俄罗斯联邦对外情报局 (SVR) 有联系 [来源]。该组织主要进行网络间谍活动，在全球范围内收集情报以支持俄罗斯的安全政策目标。它与俄罗斯政府的联系至少可以追溯到 2008 年[来源]。 Cosy Bear 作案手法的一个显着特征是，即使在失去操作控制权后，仍坚持并专注于建立对特定目标网络的访问权限 [来源]。

其他名称：

APT29

杜克斯

第100组

舒适杜克

欧洲APT

舒适车

科泽尔

米尼迪奥尼斯

海公爵

掷锤子

[来源]。

3.1.3.毒熊

毒熊是一位积极主动的演员，专注于外交情报。它很可能得到与俄罗斯联邦安全局 (FSB) 链接的信号情报 (SIGINT) 资产的支持 [来源]。它至少从 2004 年起就一直活跃[来源]。该组织的特点是适应性强，经常采用新颖而复杂的技术来维护运营安全[来源]。

其他名称：

图拉集团

图拉队

蛇

第88组

水蝽

氪

奥罗布鲁斯

SIG23

马克马克

ITG12

[来源]。

3.1.4.活力熊

据报道，Energetic Bear 是一位非常老练的演员，由 FSB 的 Center 16 领导[来源；来源]。该组织主要针对国家利益部门，从能源设施、中东石油和天然气以及军事通信设备收集信息[来源]。该组织至少自 2010 年底以来一直活跃[来源]。

其他名称：

蜻蜓

蹲伏的雪人

第24组

考拉队

狂暴熊

愤怒的熊

迪莫合金

哈维克斯

和平管道

费特格尔

温度同位素

铜铝石

[来源]。

FBI 发布的俄罗斯黑客通缉名单与 FSB 中心 16 相关联。联邦调查局

3.1.5。巫毒熊

Voodoo Bear 因其与 2015 年针对乌克兰电网的攻击和 2017 年 NotPetya 攻击的联系而闻名，是俄罗斯最臭名昭著的 APT 组织之一。该组织开展高度先进的行动，从间谍活动到针对关键基础设施的动能攻击。据称，Voodoo Bear 是 GRU 特种技术主要中心 (GTsST) 74455 部下运作的一个网络单位，至少自 2009 年以来一直活跃[来源;来源]。

2022 年 3 月下旬，加州大学伯克利分校法学院的人权调查人员请求海牙国际刑事法院考虑该组织在乌克兰的战争罪行[来源]。

其他名称：

沙虫队 (MITRE G0034)

TEMP.贵族

金金银

远程机器人

BE2 APT

黑色能量

铱

哈迪斯

魁达

钢铁维京人

灰色能源

[来源]。

4.0。策略、技术和程序

APT 团体经常更改其工具集、与其他团体交换工具集或进行虚假标记操作以避免归因 [来源]。因此，基于识别的TTP进行攻击归因的问题很复杂。然而，美国网络安全和基础设施安全局 (CISA) 提供了一些由俄罗斯国家资助的 APT 组织使用的众所周知的 TTP [来源]，具体如下。请注意，此信息并不详尽，但可以说明部分威胁情况以及某些组织如何访问对手的系统。

4.1.战略目标

4.1.1.目标和攻击

事实证明，俄罗斯政府附属的 APT 组织能够针对对手的关键基础设施系统进行破坏性攻击。此外，针对工业控制系统（ICS）的恶意软件攻击也被归咎于这些组织。如果成功，此类攻击可以访问受保护的系统，从而允许破坏性或破坏性攻击。

事实证明，俄罗斯政府附属的 APT 组织拥有强大的能力，可以长期存在于受感染的系统中而不被发现。这种存在是通过提供初始访问的各种技术来实现的[来源]。

4.1.2.间谍

俄罗斯附属 APT 组织开展的间谍活动主要针对能源、航空、交通、医疗保健和电信行业等。俄罗斯情报部门协调行动以满足从发展网络能力到外交政策目标等各种要求[来源]。

4.1.3.影响

俄罗斯政府附属行为者试图通过秘密的在线期刊和媒体机构削弱人们对西方民主制度的信心。此外，APT 组织正在针对影响全国选举的政府实体开展敌对行动，并泄露医疗记录等敏感信息[来源]。

4.2.策略

俄罗斯赞助的 APT 最常见的策略是：

侦察

资源开发

初始访问

执行

坚持

凭证访问

命令与控制

4.2.1.侦察

在进行侦察时，俄罗斯国家资助的 APT 攻击者经常进行大规模扫描以查找易受攻击的服务器。此外，他们通常会进行网络钓鱼和鱼叉式网络钓鱼操作，以获得针对特定网络所需的凭据。

4.2.2.资源开发

俄罗斯国家资助的 APT 攻击者开发并部署其恶意软件，有时会结合零日漏洞进行间谍活动或破坏性目的。

4.2.3.初始访问

俄罗斯国家资助的 APT 攻击者利用众所周知的漏洞和零日漏洞获得初始访问权限。此外，他们经常以软件供应链为目标，即破坏受信任的第三方软件以获得对受害者组织的访问权限。

4.2.4.执行

俄罗斯国家资助的 APT 攻击者使用 PowerShell 在远程计算机上创建新任务、识别配置设置、窃取数据并执行其他命令。

4.2.5.坚持

使用现有有效帐户的凭据来保持对受感染网络的持续和长期访问是俄罗斯国家支持的 APT 组织中众所周知的程序。

4.2.6.凭证访问

俄罗斯国家关联的 APT 组织使用各种技术来获取凭证访问权限。使用暴力破解或密码猜测是最常见的方法之一。此外，他们经常使用受损的帐户凭据来访问组托管服务帐户密码。此外，众所周知，他们会从 Active Directory 联合服务 (ADFS) 容器获取私有加密密钥，以解密相应的 SAML 签名证书。

4.2.7.命令与控制

俄罗斯国家资助的 APT 行为者经常使用代理或虚拟专用服务器 (VPS) 将流量路由到目标，并将其活动隐藏在合法用户流量中。

4.3.俄罗斯政府附属 APT 组织使用的恶意软件和工具类型

虽然不是详尽的列表，但以下是俄罗斯国家资助的 APT 组织使用的已知工具包的摘要。

4.3.1.后门

后门是一种恶意软件，可以远程访问应用程序中的数据库和文件服务器。通过利用应用程序中的缺陷，后门用于否定正常的身份验证，并为犯罪者提供远程发出命令并进一步更新系统中的恶意软件的机会[来源]。

4.3.2.凭证窃取者

凭据窃取者攻击的目标是个人登录受保护系统的凭据。该方法通常通过网络钓鱼策略启用，通常是有针对性的，因为攻击者搜索社交媒体网站，寻找其登录信息将提供对关键信息的访问的特定用户。此外，犯罪者经常花费大量精力使网络钓鱼电子邮件和网站看起来与合法公司几乎相同[来源]。

4.3.3.下载器

下载器是一种连接互联网的特洛伊木马，可将恶意文件下载到计算机上[来源]。

4.3.4.权限提升

通过利用人类行为、系统缺陷或操作系统的疏忽，进行权限升级攻击以获得未经授权的特权访问。潜在危害因攻击而异，从简单的未经授权的电子邮件到大规模勒索软件攻击[来源]。

4.3.5.滴管

Dropper 是一种恶意程序，用作将其他恶意软件传输到受害者设备的工具。 Droppers 很少执行任何恶意功能，但包含其他恶意工具，这些工具保存在目标设备上，而受害者不会注意到[来源]。

4.3.6.雨刮器

擦除软件的目的是擦除或销毁数据。该恶意软件针对关键系统，阻止恢复选项，因为运行系统所需的系统文件被删除，导致系统无法运行[来源]。

4.3.7.网络外壳

Web shell 是进一步攻击的推动者。 Web shell 通过首先渗透系统来安装，使其能够充当目标应用程序和任何连接系统的后门 [来源]。

图表来自 US-CERT 关于 APT28 和 APT29（又名 GRIZZLY STEPPE）的报告

US-CERT 关于 APT28 和 APT29（又名 GRIZZLY STEPPE）报告的图表 – 图片：Wikicommons

5.0。目标行业

俄罗斯国家资助的 APT 行为者利用高度先进的网络能力来针对广泛的国际关键基础设施组织。目标主要是提供基本基础设施服务的政府和私营部门内的组织以及支持这些部门的互联网服务提供商[来源]。

根据美国国家情报总监办公室 2021 年度威胁评估，“俄罗斯继续以美国及其盟国和伙伴国家的关键基础设施为目标，包括水下电缆和工业控制系统，因为此类基础设施的危害程度有所提高，并且在一些案例可以证明——它有能力在危机期间破坏基础设施。” [来源]。

5.1.共同目标行业

COVID-19 研究

政府

选举组织

医疗保健和制药公司

防御

活力

视频游戏

核

商业设施

水

航空

关键制造

[来源]。

5.2.按组别划分的目标行业

5.2.1 花式熊

政府实体

政党

反化学武器组织

反兴奋剂组织

活力

教育

5.2.2.舒适熊

政府

研究机构

智库

政治组织

5.2.3.毒熊

政府

军队

教育

研究

航天

电信

制药公司

5.2.4.活力熊

政府

航空

活力

工业控制系统

关键基础设施

5.2.5。巫毒熊

乌克兰能源部门

政府

反化学武器组织

政党和竞选活动

关键基础设施

[来源;来源]。

6.0。俄罗斯国家支持的 APT 组织发起的重大攻击

6.1. 2011-2018 – 全球能源行业入侵活动

2011 年至 2018 年间，俄罗斯国家支持的网络攻击者针对国际能源部门网络进行了大规模入侵活动。犯罪者主要进行侦察并启动针对工业控制系统的恶意软件[来源]。

6.2. 2015 年和 2016 年 – 乌克兰电网遭受攻击

2015 年和 2016 年，俄罗斯国家支持的 APT 攻击者分别在 2015 年和 2016 年对乌克兰能源分销公司和电力传输公司进行了攻击。因此，这些攻击导致停电并导致受感染的计算机无法运行 [来源]。

6.3. 2016 年 – 美国总统选举黑客攻击

2016 年，美国民主党全国委员会组织的多个网络成为鱼叉式网络钓鱼攻击的目标，使攻击者能够访问与选举相关的文件[来源；来源]。

6.4. 2017 – NotPetya 攻击

2017 年，乌克兰的金融和政府机构成为俄罗斯国家支持的攻击者的攻击目标，这种恶意软件被称为传播速度最快的恶意软件。通过结合使用 EternalBlue 和 Mimikatz 工具，启动的恶意软件利用特定的 Windows 协议规避了已修补的缺陷。一旦某个设备被感染，恶意软件就会迅速传播，清除用户计算机上的关键数据并使其无法运行。从本质上讲，NotPetya 的与众不同之处在于它不是为被解密而设计的，这使其成为纯粹的破坏性工具或武器 [来源;来源;来源]。

7.0。乌克兰境内的俄罗斯 APT：一些目击事件

乌克兰战争期间俄罗斯的网络行动对战略目标造成的损害微乎其微。最初，传统干扰在入侵期间发挥了战术优势。尽管如此，复杂的网络作战的战略价值仍然不存在。俄罗斯行动的网络能力在很大程度上被其动态物理能力所掩盖。网络作战缺乏任何重大价值可能是因为在网络空间中燃烧存在和能力是不可行的，而通过常规炮兵可以实现相同的目标。

此外，无法将网络作战整合到连贯的全域战略中将不可避免地导致缺陷，其逻辑在任何领域都是相同的。成功的战争很少只在海上、空中或陆地上进行。另一个解释可能是乌克兰的防御能力。由于乌克兰早在入侵之前就已成为俄罗斯网络空间侵略的目标，因此有可能吸取教训并努力增强抵御能力。

然而，尽管俄罗斯进攻性网络行动的战略价值仍然不存在，但其能力以及潜在的意外溢出效应是众所周知的。因此，俄罗斯的网络行动对任何数字化社会构成了真正的威胁。

8.0。下一步是什么？

俄罗斯可能会继续在敏感信息、影响力活动和针对关键基础设施的攻击方面对西方国家构成严重威胁。此外，随着西方政府对俄罗斯入侵乌克兰做出反应，未来可能会发生袭击。

9.0。概括

此前归因于俄罗斯国家支持的 APT 组织的攻击突显了其能力以及无意蔓延至其他国家的风险。由于俄罗斯很可能会利用其进攻性网络能力，西方国家面临着严峻的威胁，需要联合反击。此外，网络空间不承认任何国家边界，这突显了俄罗斯针对对手的影响力和效率。回顾过去和未来，五熊构成了俄罗斯进攻能力的组成部分。

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：五熊：俄罗斯APT的高级定向攻击能力