Unit 29155黑客内幕曝光：间谍、丑闻和深度伪造的秘密大揭底

大家好！今天在社交媒体上看到的一个大新闻。调查记者克里斯托·格罗泽夫（Christo Grozev）发布了一条帖子，提到他和团队即将推出一份关于Unit 29155这个黑客团队的调查报告。这份报告看起来真的很炸裂。

克里斯托在帖子里说，这份报告会揭露Unit 29155的各种秘密，里面有谎言、桃色事件、深度伪造技术，还有团队内部的尔虞我诈和腐败。他还放了一张预告图，图里是一些模糊的脸，底下有个键盘背景，暗示会把这些黑客的真实身份和私人秘密都挖出来。克里斯托甚至直接喊话，说他知道这些家伙在盯着他的社交媒体账号，因为他在他们的电脑上看到了证据，哈哈，这操作真是胆大！

Unit 29155可不是什么小角色，这个团队隶属于某个军事情报机构，专门搞破坏和间谍活动，目标主要是西方国家和乌克兰。根据一些公开信息，这个团队至少从2020年开始就很活跃了，手段相当高明。他们用过一种叫“WhisperGate”的恶意软件，2022年的时候专门用来攻击乌克兰的一些关键部门，造成了不少混乱。他们还用过Raspberry Robin和SaintBot这些工具，经常搞数据窃取、网站破坏之类的事，攻击范围覆盖了金融、能源、医疗等关键行业。

• 案例1：2022年乌克兰“WhisperGate”恶意软件攻击

Unit 29155最出名的一次网络攻击发生在2022年1月，他们针对乌克兰的关键部门部署了一种叫“WhisperGate”的恶意软件。这玩意儿表面上伪装成勒索软件，但实际上是个“擦除器”，专门用来破坏系统。它会覆盖关键文件，让感染的设备直接瘫痪，还会显示一个假的勒索信息，迷惑受害者。这次攻击的目标包括乌克兰的金融、能源和医疗行业，明显是想在更大的地缘冲突前制造混乱。据公开信息，这次攻击直接导致多个部门的业务中断，影响了当地民生。

从技术角度看，他们的TTP（战术、技术和流程）很狡猾。他们先用工具像Acunetix和Shodan扫描目标网络，找漏洞，然后通过公开的恶意软件资源快速部署攻击。他们还租用虚拟服务器（VPS）来托管工具、做侦察，最后再把窃取的数据传走，完全不依赖自己的基础设施，隐蔽性极高。

• 案例2：2023年针对法国的网络攻击

2023年10月，Unit 29155又出手了，这次目标是法国的公共和私营部门。他们用的是和2022年乌克兰攻击相同的手法，针对一些已知漏洞（比如CVE-2020-1472）发起攻击。这次行动被安全机构追踪到，确认他们使用了Raspberry Robin和SaintBot等恶意软件，先通过钓鱼邮件或漏洞利用获取权限，然后植入Meterpreter载荷，建立加密的指挥控制（C2）通道。他们还用了OpenVPN和GOST工具，通过端口1194路由流量，掩盖自己的活动。

这次攻击中，他们不仅窃取了敏感数据，还尝试搞破坏，比如篡改网站内容。安全机构后来发现，他们的目标包括法国的关键基础设施，像是能源和通信行业，明显是想通过网络攻击制造更大的社会影响。

• 案例3：2018年斯克里帕尔中毒事件中的网络支持

Unit 29155不光搞网络攻击，他们还会配合现实行动。2018年有个轰动的事件，某个退役人员斯克里帕尔在英国被神经毒剂袭击，差点丧命，执行者就是Unit 29155的人。虽然这是个物理行动，但他们的网络团队也参与了。他们提前通过网络侦察收集目标信息，比如用公开数据和社交媒体分析斯克里帕尔的行踪，还用深度伪造技术散布假信息，试图掩盖行动痕迹。克里斯托在帖子中提到的“深度伪造”技术，可能就和这类操作有关。

• 案例4：2014年弹药库爆炸事件

更早一些，2014年Unit 29155被指控在某个地区炸毁了一个弹药库，造成了严重后果，包括两名平民丧生。这次行动虽然主要是物理破坏，但他们的网络团队也提供了支持，比如通过网络攻击瘫痪目标区域的监控系统，或者窃取相关设施的布局信息。这类混合攻击是他们的典型风格，既用网络手段铺路，又用现实行动制造破坏。

• 案例5：全球范围的域扫描和数据泄露

根据安全机构的报告，Unit 29155还进行了大规模的域扫描活动，涉及多个国家和地区，包括欧洲、中美洲和亚洲。他们累计扫描了超过1.4万个域，主要目标是北约成员国和其他关键组织。他们会用这些扫描结果找漏洞，然后发起攻击，窃取数据后要么卖到暗网，要么直接公开泄露，制造混乱。这种操作的目的很明确：既是为了情报收集，也是为了制造社会恐慌。

更别提这个团队还涉及一些现实中的行动。比如2018年有个叫斯克里帕尔的退役人员被神经毒剂袭击，差点没命，这件事就被指是Unit 29155的人干的。他们还被怀疑在2014年炸了一个弹药库，导致两个平民丧生，破坏力真的不容小觑。克里斯托这次的调查估计会把这些家伙的底细挖得更深，甚至连他们内部的秘密——比如某个大佬用假身份搞了个第二家庭——都要抖出来，这下他们估计得慌了。

从威胁情报的角度看，Unit 29155的活动给我们敲了个警钟。他们的手法很复杂，既有网络攻击，又会配合现实行动，属于典型的混合威胁。而且他们还擅长伪装，比如用深度伪造技术制造假信息，扰乱对手。这种团队的存在，对关键基础设施和国际安全都是个大挑战。克里斯托的调查能把这些家伙的脸和秘密曝光，可能会让他们暂时消停一阵，但我们也得做好准备，他们肯定会换个马甲继续搞乱。

克里斯托的这份报告很快就要发布了，大家真的挺期待的！

原文始发于微信公众号（Ots安全）：“Unit 29155黑客内幕曝光：间谍、丑闻和深度伪造的秘密大揭底”