俄罗斯军事情报机构GRU长期以来一直以世界上最具破坏性、暗杀性和网络战的实施者之一而闻名,其黑客们以与暴力特种部队成员同名而自豪。
但该机构内的一个新组织表明,GRU可能比以往任何时候都更紧密地将物理和数字战术交织在一起:一个黑客团队,它来自负责俄罗斯物理战术的同一部队,包括投毒、未遂政变和西方国家内部的爆炸事件。
周四,来自美国、英国、乌克兰、澳大利亚、加拿大和五个欧洲国家等多个西方政府机构的众多机构透露,一个名为“CadetBlizzard”、“BleedingBear”或“Greyscale”的黑客组织,曾多次针对乌克兰、美国和欧洲、亚洲和拉丁美洲的其他国家发起黑客行动。
但实际上它隶属于俄罗斯情报机构格鲁乌(GRU)下属的29155部队,该部队以肆无忌惮的破坏行为和出于政治动机的谋杀而闻名。
例如,该部队过去曾参与在英国用诺维乔克神经毒剂毒害格鲁乌叛逃者谢尔盖·斯克里帕尔(SergeiSkripal)的事件,该事件导致两名旁观者死亡,还参与了保加利亚的另一起暗杀阴谋、捷克共和国的军火库爆炸事件和黑山的一次未遂政变。
现在,GRU臭名昭著的部门似乎已经发展了自己的网络战行动团队,不同于GRU其他部队,例如26165部队(被广泛称为FancyBear或APT28)和74455部队(专注于网络攻击的团队,被称为Sandworm)。
自2022年以来,GRU29155部队最近招募的黑客在网络行动中占据了主导地位,包括使用被称为Whispergate的数据破坏擦除器恶意软件。
该恶意软件在2022年2月俄罗斯入侵前夕袭击了至少20多个乌克兰组织,以及以被称为FreeCivilian的假“黑客活动家”身份破坏乌克兰政府网站并窃取和泄露信息。
据《连线》杂志采访的多名西方情报机构官员之一称,学员Blizzard被认定为GRU29155部队的一员,这表明该机构在混合战争中进一步模糊了物理战术和网络战术之间的界限。
由于未获准透露姓名,他们要求匿名。
特种部队通常不会设立一个模仿其物理活动的网络部队这是一个高度依赖物理的行动部队,负责GRU所参与的更残酷的行为。
这个做实际工作的部队现在在键盘后面做网络事情,这非常令人惊讶。
除了联合公开声明揭露CadetBlizzard与GRU的29155部队的联系外,美国网络安全和基础设施安全局还发布了一份咨询报告,详细介绍了该组织的黑客方法以及发现和缓解这些方法的方法。
美国司法部点名起诉了该组织的五名成员,所有成员均缺席,此外还有一名第六名成员,他在今年夏天早些时候受到指控,但并未公开提及29155部队。
美国司法部助理司法部长马修·奥尔森(MatthewG.Olsen)在一份声明中写道:
GRU的耳语门行动,包括针对乌克兰关键基础设施和无军事价值的政府系统,是俄罗斯在发动不公正入侵时对的可恶漠视的象征。
今天的起诉书强调,司法部将使用一切可用工具来阻止此类恶意网络活动,并追究肇事者对美国及其盟友进行无差别和破坏性攻击的责任。
美国国务院还在“正义悬赏”网站上公布了一项1000万美元的悬赏计划,征集提供线索,识别或找到该组织成员及其照片的人员。
美国国务院发布一张海报,悬赏1000万美元,征集能够识别或定位五名GRU29155部队黑客的信息。
除了之前已知的针对乌克兰的行动外,西方情报机构官员告诉《连线》杂志,该组织还针对北美、东欧和中欧、中亚和拉丁美洲的各种组织,如交通和医疗保健部门、政府机构和“关键基础设施”,包括“能源”基础设施,但官员们拒绝提供更具体的信息。
官员们告诉《连线》杂志,在某些情况下,29155黑客似乎正在为类似于Whispergate的更具破坏性的网络攻击做准备,但尚未确认是否真的发生了任何此类攻击。
美国国务院6月还透露,实施“耳语门”事件的GRU黑客还试图在美国关键基础设施目标中寻找可入侵的漏洞,“特别是能源、政府和航空航天领域”。
美国司法部最近公布的针对29155名黑客的起诉书称,他们对位于马里兰州的美国政府机构网络进行了63次探测(但没有透露这些探测是否成功),并在不少于26个北约国家的目标网络中寻找漏洞。
据西方情报机构官员称,在许多情况下,29155黑客的意图似乎是进行军事间谍活动。
例如,在一个中欧国家,他们说该组织入侵了一家铁路机构,监视运送物资到乌克兰的火车。
在乌克兰,黑客入侵了消费者监控摄像头,可能是为了了解乌克兰军队或武器的动向。
乌克兰官员此前曾警告说,俄罗斯曾使用这种策略来瞄准导弹袭击,但接受采访的情报官员没有证据表明29155的行动专门用于瞄准导弹。
西方情报机构消息人士称,GRU29155部队的黑客团队早在2020年就已成立,但直到最近几年,该团队主要专注于间谍活动,而不是更具破坏性的网络攻击。
在GRU内部再成立一个黑客组织似乎有些多余,因为GRU现有的Sandworm和FancyBear等团队长期以来一直是世界上最活跃、最积极的网络战和间谍活动参与者之一。
但西方情报机构官员表示,29155部队很可能是因为GRU内部竞争以及该组织在其行动(甚至是暗杀斯克里帕尔的失败)取得成功后影响力不断增强而寻求成立自己的专业黑客团队。
斯克里帕尔中毒事件让他们备受关注,并获得了大量授权。
我们估计,这很可能使他们获得了更多资金和资源,以吸引更多人来组建网络部队。西方世界和俄罗斯对成功的衡量标准不同。
据接受采访的西方情报官员称,29155黑客组织仅由10人左右组成,他们都是相对年轻的GRU官员。
在加入GRU之前,有几个人参加了“夺旗”黑客大赛(黑客大会上常见的竞争性黑客模拟),他们可能是从这些活动中招募而来。
但官员们表示,这个小团队在某些情况下也与俄罗斯网络犯罪黑客合作,扩大他们的资源,在某些情况下使用商品网络犯罪恶意软件,使其行动更难归咎于俄罗斯政府。
这些犯罪伙伴关系的一个例子似乎是与俄罗斯黑客阿明·蒂莫维奇·斯蒂加尔(AminTimovichStigal)的合作。
斯蒂加尔于6月被美国缺席起诉,罪名是涉嫌协助CadetBlizzard针对乌克兰政府的Whispergate攻击。
美国国务院还为提供线索逮捕斯蒂加尔的人发放了1000万美元的奖励。
一位密切关注该组织但不愿透露姓名的安全研究人员表示,除了依赖犯罪黑客之外,CadetBlizzard技术水平的其他迹象似乎也符合情报官员对一个规模较小且相对年轻的团队的描述。
这位研究人员表示,为了获得对目标网络的初步访问权,黑客主要利用了一些已知的软件漏洞,并没有使用任何所谓的零日漏洞(之前未知的可攻击漏洞)。
他们可能没有太多的实际经验。他们遵循的是非常常见的操作程序。他们只是找到了可以在他们选择的领域获得最大收益的漏洞,并坚持使用它们。
该组织缺乏完善的另一个例子是,他们在被黑客入侵的乌克兰网站上发布的污损图片中包含了乌克兰地图,其中包括克里米亚半岛,而俄罗斯自2014年以来一直声称克里米亚半岛为其领土。
除了技术复杂之外,研究人员还指出,29155黑客在某些情况下通过入侵为乌克兰和其他东欧公司提供服务的IT提供商来入侵目标,从而获得受害者系统和数据的访问权限。
他们不是直接破门而入,而是试图通过合法的可信渠道、可信路径进入网络。
这位安全研究员还指出,与GRU其他单位的黑客不同,CadetBlizzard似乎被安置在自己的大楼里,与GRU的其他单位分开,这或许是为了让该团队更难与他们所属的29155部队联系起来。
结合该组织的指挥结构和犯罪伙伴关系,这一切都表明GRU的网络战方法是一种新模式。
这次行动的一切都不同寻常,这将为俄罗斯联邦的未来铺平道路。
原文始发于微信公众号(网络研究观):俄罗斯特种部队现在拥有自己的网络战小组
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论