惊爆！俄罗斯FSB黑客竟 黑吃黑，攻陷巴基斯坦APT组织Storm-0156！

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

在网络世界的暗战中，竟然出现了“黑吃黑”的惊人戏码！代表俄罗斯国家情报机构行事的黑客，成功攻破了巴基斯坦的黑客组织，借此窃取阿富汗和印度政府、军事及国防目标的情报，一场隐秘的网络间谍攻防战正在上演！

2022年12月，被美国网络安全与基础设施安全局（CISA）认定与俄罗斯联邦安全局（FSB）有关联的“秘密暴雪”（Secret Blizzard，又名Turla ）组织，盯上了另一个高级持续性威胁（APT）组织Storm-0156（也叫透明部落、SideCopy、APT36 ）所使用的服务器。随后，他们的“黑手”迅速蔓延，扩展到Storm-0156运营的33个独立的命令与控制（C2）节点，并在2023年4月，进一步侵入了Storm-0156黑客们的个人工作站。

微软和黑莲花实验室的研究人员发现，自那以后，“秘密暴雪”就像网络世界里的“寄生虫”，搭着Storm-0156网络攻击的“便车”，大肆获取阿富汗政府机构以及印度军事和国防目标的敏感信息。

网络间谍的“互啄”：一场利益角逐

说起来有些讽刺，这些威胁行为者，哪怕是为国家效力的，也可能成为其他威胁者的“盘中餐”。黑莲花实验室的研究员瑞安·英格利希解释说，这些黑客往往不太注重自身基础设施的防御。毕竟，如果花大量时间把自己的网络打造成坚不可摧的堡垒，那用于进攻的时间就少了，说到底，这是时间和成本的问题。而且，就算他们想提升网络安全防护，也会面临诸多特殊挑战。就像最近有个威胁行为者尝试使用帕洛阿尔托的Cortex扩展检测与响应（XDR）技术，结果却不小心让帕洛阿尔托的研究人员有机会窥探到他们的操作。

至于“秘密暴雪”最初是怎么进入Storm-0156的第一台服务器的，目前还没有定论。但英格利希表示，他们可能是从公开报告中识别出Storm-0156的C2节点，就像威胁研究人员一样，花时间研究公开报告，寻找入侵他人系统的机会。而且，他们肯定不满足于公开信息，很可能进行了侦察，通过远程桌面跳转等手段，艰难地侵入目标的其他基础设施。

窃取机密：“秘密暴雪”的暗黑收获

掌控了Storm-0156的C2节点和工作站后，“秘密暴雪”简直就像拿到了“万能钥匙”，对Storm-0156的工具、战术、技术和程序（TTPs ）了如指掌，还能随意取用其从受害者那里偷来的数据。

在针对阿富汗目标时，这些俄罗斯黑客利用Storm-0156的服务器，在其现有受害者的系统中植入后门，成功从阿富汗外交部、情报总局（GDI）和外国领事馆等机构窃取了大量敏感信息。

但在面对印度的目标时，“秘密暴雪”却换了套路。他们只在一个印度实体中部署了名为“TwoDash”的后门，更多时候是直接在Storm-0156自身部署后门，直接虹吸巴基斯坦黑客从印度军事和国防目标那里偷来的敏感记录。微软猜测，这种针对阿富汗和印度的不同策略，可能与俄罗斯领导层的政治考量、FSB内部不同的地理责任区划分，或者是微软威胁情报收集的不足有关。

隐秘的“安全”策略：借他人之手掩人耳目

威胁行为者之间相互合作并不少见，但像“秘密暴雪”这样，为了共享对目标的访问权限而攻击其他组织的情况，研究人员还从未见过。而且，这也不是“秘密暴雪”第一次干这种事了。早在2017年，他们就侵入了伊朗APT34（又名榛子沙暴、石油钻井平台、Crambus ）的工具和基础设施。微软还将在即将发布的博客文章中，披露“秘密暴雪”在乌克兰的另一场行动细节，当时他们使用了另外两个威胁行为者的机器人和后门。

还有去年曝光的一个案例，1月时，Mandiant报告了一场与“秘密暴雪”有关的行动，但4月卡巴斯基却声称，该活动是由哈萨克斯坦的APT组织Tomiris（又名Storm-0473 ）实施的。现在看来，Mandiant的判断是对的，幕后黑手就是“秘密暴雪”，只不过他们使用了Tomiris的后门，混淆了研究人员的判断。

“秘密暴雪”这种手段的好处显而易见。通过攻击一个APT组织，他们就能获取该组织所有受害者的基础设施和敏感数据。而且，除了高效获取情报外，还能掩盖自己的活动，把攻击伪装成是其他威胁行为者干的。就像英格利希回忆的，上个月在网络战大会上，有人还说：“你知道吗，我们最近都没听到Turla（秘密暴雪）的消息了。” 结果殊不知，人家正悄咪咪地在幕后搞大动作呢！

网络安全形势日益复杂，这些黑客组织的“神操作”也提醒着我们，必须时刻保持警惕，加强网络安全防护，别让这些隐藏在暗处的“网络窃贼”有机可乘！赶紧转发，让更多人了解这场惊心动魄的网络“黑吃黑”事件！ 

加入知识星球，可继续阅读

一、"全球高级持续威胁：网络世界的隐形战争"，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、"DeepSeek：APT攻击模拟的新利器"，为你带来APT攻击的新思路。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：惊爆！俄罗斯FSB黑客竟 “黑吃黑”，攻陷巴基斯坦APT组织Storm-0156！