大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号现在只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【...】,然后点击【设为星标】即可。
在过去的两年里,俄罗斯网络间谍组织APT28(又名Sofacy或Fancy Bear)频频成为媒体焦点,成为西方情报机构和网络安全专家关注的对象。APT28因涉嫌与俄罗斯军事情报总局(GRU)有联系,并被指控实施了多起高调的网络攻击事件,包括入侵美国民主党全国委员会(DNC)。然而,尽管APT28名声大噪,真正站在俄罗斯黑客部队顶端的精英组织却是另一个名字鲜为人知的黑客组织——Turla。
Turla:俄罗斯黑客的隐秘力量
Turla,又称为Venomous Bear、Waterbug和Uroboros,是一个具有极高技术水平和操作隐蔽性的APT(高级持续性威胁)组织。根据研究人员的调查,这一组织的根源可以追溯到20多年前,曾参与1996年的“月光迷宫”(Moonlight Maze)网络间谍行动,当时其通过入侵美国军事、研究和大学网络,泄露了大量数据。这场行动被认为是史上最早的大规模网络间谍活动之一。
与APT28相比,Turla的行动方式更为复杂和隐蔽。该组织不仅擅长利用恶意软件进行网络攻击,还能劫持通信卫星和互联网服务提供商(ISP)的基础设施来控制恶意软件。这使得Turla与美国国家安全局(NSA)的“定制访问操作”(TAO)黑客团队相媲美,后者是全球最具技术实力的网络攻击单位之一。
Turla的复杂操作与工具
Turla的目标选择与俄罗斯的地缘政治利益密切相关,主要针对外交机构、科学研究机构和能源领域的组织。它的行动通常极具隐蔽性,能够在网络中长期潜伏,且不易被发现。与其他黑客组织不同,Turla善于利用合法的双重用途工具和脚本语言,如PowerShell和JavaScript,进一步掩盖其行动。
Turla使用多种定制的恶意软件工具来实施间谍活动,其中最著名的包括:
Mosquito 和 Carbon:主要用于针对外交和国际事务目标的网络间谍活动。
WhiteAtlas 和 WhiteBear:不仅用于外交事务,还涉及科学技术中心等非政治领域的组织。
KopiLuwak:这是一个JavaScript后门,专门用于科学和能源研究机构,甚至影响到阿富汗的通信组织。
Turla的“低调”成功:无声的网络间谍活动
有趣的是,尽管APT28和APT29(又名Cozy Bear)在国际舞台上频频曝光,Turla却在全球范围内悄悄进行着大量网络攻击活动,并没有将获取的数据“武器化”或公开发布到网上。这一策略使得Turla的行动隐蔽而高效。根据网络安全公司卡巴斯基实验室(Kaspersky Lab)的研究,Turla在2018年尤其专注于开发其KopiLuwak后门和Carbon框架的新变种,并不断改进其恶意软件的投递和注入技术。
APT组织的合作:Turla与其他俄罗斯黑客的联系
尽管Turla行动隐蔽,但研究人员发现,它与其他俄罗斯APT组织(如APT28、Zebrocy等)之间存在一定程度的合作和资源共享。例如,Turla曾借用Zebrocy的鱼叉式网络钓鱼技术,并在2016年的网络攻击中,发现Turla的指挥控制基础设施与APT28存在重叠。
这种APT组织之间的合作和工具共享进一步凸显了俄罗斯黑客部队的复杂性和灵活性。即使在全球网络安全力量的持续打击下,Turla等组织仍能保持高效的网络间谍能力,并继续为俄罗斯的地缘政治利益服务。
结语:Turla的隐秘力量不容忽视
Turla虽然不像APT28那样经常出现在新闻头条,但其技术实力和隐蔽性使其成为俄罗斯网络间谍活动的核心力量之一。Turla的复杂操作和多层次攻击手段,表明它不仅是一个高级黑客组织,更是一个具备长远战略目标的精英部队。随着全球网络空间的博弈加剧,Turla及其背后的俄罗斯网络攻击行动,必将继续对全球网络安全构成巨大挑战。
推荐阅读:知识星球连载创作"全球高级持续威胁:网络世界的隐形战争",总共26章,相信能够为你带来不一样的世界认知,欢迎感兴趣的朋友加入沟通交流。
欢迎喜欢文章的朋友点赞、转发、赞赏,你的每一次鼓励,都是我继续前进的动力。
原文始发于微信公众号(紫队安全研究):俄罗斯Turla:比APT28更为隐秘的俄罗斯精英黑客组织
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论