北约和欧盟正式谴责与俄罗斯有关的APT28网络间谍活动

北约和欧盟谴责了由与俄罗斯有关的威胁行为者APT28（又称“Forest Blizzard”、“Fancybear”或“Strontium”）针对欧洲国家进行的网络间谍活动。本周，德国联邦政府以最强烈的措辞谴责了APT28组织进行的长期间谍活动，该组织针对了德国社会民主党执行委员会。

德国联邦政府发布的声明称：“德国联邦政府关于此次活动的国家归因程序得出结论，APT28网络行动者在相当长的一段时间内利用了微软Outlook中的一个未被识别的关键漏洞，从而侵入了大量电子邮件账户。” 此次攻击使用的漏洞是微软Outlook的伪造漏洞，可能导致身份验证绕过。

2023年12月，Palo Alto Networks的Unit 42研究人员报告称，APT28组织利用了CVE-2023-23397漏洞进行了针对欧洲北约成员的攻击。专家指出，在过去的20个月里，这个APT组织攻击了至少30个组织，涉及14个国家，这些组织对俄罗斯政府及其军事具有战略情报意义。 

2023年3月，微软发布了有关调查利用已修补的Outlook漏洞（标记为CVE-2023-23397）进行的攻击的指南。根据微软的威胁情报，在2023年底发现的攻击中，这个国家行动者主要针对美国、欧洲和中东的政府、能源、交通运输和非政府组织。 

根据Unit 42的说法，APT28开始在2022年3月利用上述漏洞进行攻击。“在此期间，Fighting Ursa至少进行了两次公开的利用此漏洞的攻击活动。第一次活动发生在2022年3月至12月期间，第二次发生在2023年3月。”

公司发布的报告称：“Unit 42研究人员发现了第三次最近活跃的攻击活动，Fighting Ursa也利用了这个漏洞。该组织在2023年9月至10月期间进行了这次最新的攻击活动，针对了至少七个国家的九个组织。”

研究人员指出，在第二和第三次攻击中，该国家行动者继续使用了一个公开已知的针对Outlook漏洞的漏洞利用程序。这意味着，这些行动所产生的访问和情报的利益被认为比被发现可能带来的潜在后果更为重要。目标清单非常长，包括：

除乌克兰外，所有受攻击的欧洲国家至少是北大西洋公约组织（NATO）的成员国之一

• 至少一个北约快速展开军团

• 以下部门中的关键基础设施相关组织：

• 能源

• 交通运输

• 电信

• 信息技术

• 军事工业基地

微软的威胁情报也警告称，与俄罗斯有关的网络间谍组织APT28正在积极利用CVE-2023-23397 Outlook漏洞来劫持Microsoft Exchange账户并窃取敏感信息。 十月份，法国国家信息系统安全局（ANSSI，法国国家信息系统安全局）警告称，与俄罗斯有关的APT28组织一直在针对法国的多个组织进行攻击，包括政府实体、企业、大学、研究机构和智库。 法国机构注意到，威胁行为者采用了不同的技术来避免被检测，包括妥协了低风险设备，这些设备监视并位于目标网络的边缘。 政府专家指出，在某些情况下，该组织在受损系统中没有部署任何后门。 ANSSI观察到APT28在针对法国组织的攻击中采用了至少三种攻击技术：

• 搜索零日漏洞[T1212，T1587.004]；

• 妥协路由器和个人电子邮件账户[T1584.005，T1586.002]；

• 使用开源工具和在线服务[T1588.002，T1583.006]。 ANSSI的调查证实了APT28利用Outlook零日漏洞CVE-2023-23397。 

根据其他合作伙伴的说法，在此期间，MOA还利用了其他漏洞，例如影响Microsoft Windows支持诊断工具（MSDT，CVE-2022-30190，也称为Follina）以及针对Roundcube应用程序的漏洞（CVE-2020-12641，CVE-2020-35730，CVE-2021-44026）。

根据德国政府最近发布的公告，APT28活动针对了德国、其他欧洲国家和乌克兰的政府机构、物流公司、军火行业、航空航天工业、IT服务、基金会和协会。该组织还负责了2015年对德国联邦议院的网络攻击。这些行动违反了国际网络规范，特别是在许多国家的选举年需要特别关注。捷克外交部也谴责了APT28组织的长期网络间谍活动。

该部门的声明还确认，捷克机构受到了与俄罗斯有关的APT28利用自2023年以来的Microsoft Outlook零日漏洞进行的攻击：“根据情报机构的信息，一些捷克机构也成为了利用Microsoft Outlook 2023年以来先前未知漏洞进行网络攻击的目标。这些攻击的操作模式和重点与APT28的行动特征相符。”公告称：“受影响的主体得到了技术建议和合作，以增强安全措施。APT28组织也是全球行动“Dying Ember”中捷克的主动措施的对象。”

北约发布了类似的声明，欧盟理事会和美国、英国政府也发表了类似的声明。“欧盟及其成员国与国际伙伴强烈谴责俄罗斯控制的高级持续威胁行动者28（APT28）对德国和捷克进行的恶意网络活动。”欧盟理事会表示。“俄罗斯的行为模式公然无视了所有联合国成员国确认的网络空间负责任国家行为框架。美国致力于维护我们的盟友和伙伴的安全，并维护基于规则的国际秩序，包括在网络空间。”美国政府发布的声明称。“我们呼吁俄罗斯停止这种恶意活动，并遵守其国际承诺和义务。与欧盟及我们的北约盟友一起，我们将继续采取行动打击俄罗斯的网络活动，保护我们的公民和外国伙伴，并追究恶意行为者的责任。”

APT28组织（又称为Fancy Bear、Pawn Storm、Sofacy Group、Sednit、BlueDelta和STRONTIUM）自2007年以来一直活跃，并且一直针对全球的政府、军事和安全组织。该组织还参与了2016年总统选举的一系列攻击。该组织的运营地点位于俄罗斯总参谋部情报总局（GRU）85号主要特种服务中心（GTsSS）的军事单位26165。APT28的大多数活动利用了钓鱼和基于恶意软件的攻击。

原文始发于微信公众号（黑猫安全）：北约和欧盟正式谴责与俄罗斯有关的APT28网络间谍活动