来自俄罗斯的恶意软件

2017-03-16 08:18:03

作者:芮莩苇

在黑客术语中,它被称为“网络到物理效应”当黑客从虚拟世界进入真实世界时 - 通常带来灾难性后果美国和以色列人在2009年Stuxnet计划渗入伊朗时开创了这项技术计算机系统和破坏了成千上万的富铀离心机现在其他参与者 - 特别是俄罗斯人和中国人 - 正在进入远程使用计算机网络破坏基础设施并威胁人类生命的游戏去年,根据德国联邦办公室的报告信息安全,一个高炉在德国一个未命名的工业城市被一个数字攻击其控制系统后融化,造成“巨大破坏”它几乎发生在美国,当不知名的黑客成功地穿透美国的电力,水和燃料2014年初的分销系统虽然老式的,相对低技术的数据黑客成为头条新闻在过去的12个月中,白宫,国务院,国土安全部,国防部和索尼电影公司的电子邮件系统和数据库的高调闯入,安全官员严重担心的是新的和危险的网络到物理基础设施攻击世界“这不是理论上的”,国家安全局局长迈克尔罗杰斯最近告诉美国众议院情报委员会黑客袭击美国及其盟友“使我们损失了数千亿美元美元,“罗杰斯警告说,如果我们不采取行动,将导致”真正重大,几乎是灾难性的失败“据哈佛肯尼迪政府学院贝尔弗中心的附属机构亚历山大克林伯格和海牙中心的高级研究员表示

战略研究,“今天的网络空间就像1914年的欧洲,在第一次世界大战之前,政府就像梦游者一样,他们无法理解这一点新技术的存在以及误解彼此活动的后果“根据美国情报界2015年的”全球威胁评估“报告,俄罗斯和中国是新一代网络战中”最复杂的民族国家参与者“和俄罗斯黑客在复杂性,编程能力和创造力方面领先“来自中国的威胁过度膨胀,而来自俄罗斯的威胁被低估了,”网络安全咨询公司Taia Global的负责人,“网络战争内幕”一书的作者杰弗里•卡尔说

技术上最熟练的例如,我们认为俄罗斯黑客入侵是索尼攻击的负责人“去年黑客获得了数千条索尼公司的电子邮件,并威胁要进一步受到损害,除非朝鲜领导人金正恩的电影讽刺被取消来自电影院“我们通过中间人与[黑客之一]进行了交谈,”卡尔说道,“甚至在索尼之后失去80%的网络能力,黑客仍在运营中显示出极高的技术能力“莫斯科联系令人担忧,因为俄罗斯是迄今为止唯一一个将网络战与传统枪支和坦克相结合的国家”俄罗斯 - 2008年的佐治亚战争是动能和网络联合行动的完美典范,“卡尔说道

”没有其他人做过这样的事情“通过订阅现在俄罗斯总统弗拉基米尔·普京(C)与他们保持联系2014年11月24日,索契在索契举行会议期间,普京将互联网定性为“中情局发明”,本月命令FSB通过强迫所有互联网提供商将其服务器保留在俄罗斯来“清理俄罗斯互联网” - 克里姆林宫长期计划的另一个转折点是创建一个单独的俄罗斯互联网Alexei Druzhinin / RIA Novosti /克里姆林宫/路透同样地,在此之后2014年4月俄罗斯对克里米亚的吞并,地面袭击伴随着波兰和乌克兰的一百多个政府和工业组织大量低技术的网络攻击,以及对欧洲议会和欧盟委员会的袭击

攻击的特色是“BlackEnergy”的修改版本,这是一种被称为特洛伊木马的恶意软件程序,旨在远程接管计算机这种被感染的计算机或“僵尸程序”的网络被称为“僵尸网络”“可以调动这一点来淹没目标服务器的信息请求并使其崩溃 - 一种称为分布式拒绝服务或DDoS的攻击”BlackEnergy恶意软件由俄罗斯黑客编写,最初用于DDoS攻击,银行欺诈和垃圾邮件“安全事务博客创始人,欧盟网络和信息安全机构工作组成员Pierluigi Paganini说:”但该新变种被用于对各行各业的政府实体和私营公司进行有针对性的攻击“最新一代网络攻击的最大谜团之一 - 在美国政府中被称为进攻性网络效应行动 - 正在研究谁是幕后黑手以及他们是否以政治或犯罪意图发射

毫无疑问,俄罗斯黑客已经拥有长期以来一直是网络犯罪世界的国王一群俄罗斯人和乌克兰人被美国联邦检察官命名为落后于美国历史上最大的网络犯罪案件,2010年至2013年的银行卡诈骗案,使包括JC Penney,JetBlue和法国零售商家乐福在内的公司损失超过3亿美元一群俄罗斯“点击劫持者”去年在美国被定罪用于劫持Apple的iTunes商店,Netflix,美国国内税收服务,亚马逊,ESPNcom和华尔街日报网站的用户以及NASA的计算机另一个尚未识别的黑客攻击环,位于中南部的一个小城市根据美国网络安全公司Hold Security的数据,俄罗斯去年通过掠夺来自40多万个网站的数据窃取了大约120亿个互联网登录和密码以及超过5亿个电子邮件地址

总部位于莫斯科的互联网安全公司卡巴斯基实验室透露了有史以来最大的互联网抢劫案 - 2013年至2014年对俄罗斯,乌克兰,日本,美国和欧洲的100多家银行进行突击搜查卡巴斯基报告称看到30美元的证据仅仅来自那些雇佣它来清理垃圾的银行的损失达到了0万美元 - 并且估计被盗的总金额可能大约为9亿美元“这是工业规模的网络犯罪,”一家位于莫斯科的西方互联网安全组织表示

在袭击事件发生后帮助改革俄罗斯几家银行的防御工作的顾问“在基辅的一起案件中,他们让银行的自动柜员机出了钱,这是由走过的人收集的”用于打入银行电子系统的技术顾问说,通过Adobe和微软计划中的缺陷“并不是特别复杂”,但令人惊讶的是他们不小心警告受害者并将他们的后门保密到他们的系统秘密“客户排队退出格里夫纳货币2014年2月20日在乌克兰基辅的Privatbank CJSC银行分行外的ATM中最令人恐惧的新一代网络武器是那些旨在超级安全,所谓的与互联网或外部网络无关的“气隙”系统Vincent Mundy / Bloomberg / Getty这些犯罪黑客与俄罗斯政府之间联系的确切性质仍然模糊不清“网络犯罪,网络恐怖主义和网络战有着共同的技术基础,工具,后勤和操作方法,“克林堡说”他们也可以共享相同的社交网络并具有可比较的目标这些类别的网络攻击之间的差异往往是非常薄弱的​​

在网络空间中很难区分金融和政治动机“特别是将恶意软件传送到目标计算机的方法是相同的黑客在流行程序中寻找漏洞,允许它们引入外来代码,特别是代码中的弱点,称为“零日”,这意味着它仍未修补,可以是在被其他人发现之前用于攻击,因此攻击和发现之间存在零天Klimburg说,一个好的零日漏洞可以以20万美元的价格出售,但是有很多俄罗斯黑客为了间谍目的而向政府“出借”他们的零日黑客行为,然后将其用于犯罪“数百“黑帽子”俄罗斯黑客正以此为生,无论是出于瑞士银行家还是乌克兰寡头的命令,“Carr说道

”被捕的俄罗斯黑客可以选择为FSB工作[联邦安全局]或去监狱FSB也有一些合同雇用早在2007年就有强有力的证据表明俄罗斯网络犯罪分子正在与俄罗斯国家合作或者为俄罗斯国家工作

现在看来,克里姆林宫正在直接参与美国国家情报局局长詹姆斯克拉珀告诉他们参议院军事委员会3月份表示,俄罗斯国防部正在“建立自己的网络命令”负责“进行攻击性网络攻击”俄罗斯政府似乎正在加大对世界级计算机科学中心的网络技术研究和开发的资助

根据总部位于西雅图的Taia Global收集的信息,作为着名的圣彼得堡理工大学和萨马拉州立大学的可能证据将最近针对美国政府的黑客攻击与俄罗斯国家联系起来,其中包括被称为高级持续威胁的黑客组织的数字签名28 (或APT28,由美国互联网安全部门确定Rity公司FireEye)和一个黑客家庭,标记为CozyDuke,CosmicDuke,MiniDuke和OnionDuke(卡巴斯基实验室发现)这些可能相关或不相关的群体都有一些与俄罗斯相关的赠品签名“APT28恶意软件的指标表明该组织由在俄罗斯主要城市的营业时间运营的俄语使用者组成,“FireEye最近的一份报告称,”超过一半的APT28恶意软件样本包括俄语设置“但真正的赠品不是APT28代码的取证,而是他们在过去五年中的目标包括格鲁吉亚的内政和国防部,波兰和匈牙利政府,北约,欧洲安全与合作组织,挪威军队和美国国防承包商APT28黑客攻击工作人员为了获得经济利益,似乎没有进行广泛的知识产权盗窃,而是专注于收集情报,“说FireEye“这对政府来说最有用”虽然有证据表明APT28和CosmicDuke,MiniDuke和OnionDuke的开发团队“共同合作并共享相同的知识和编码技术”,并且他们都有俄罗斯血统,但它是Paganini表示,他们可能是独立的团体,“所有这些团体都是由国家赞助的黑客,可能是由俄罗斯政府支持的,尽管很可能他们在同一个网络战队的不同部门下运作”是APT28 - 以及克里姆林宫背后的黑客攻击白宫和国务院今年破获了公开的机密电子邮件记录(虽然不是,根据发言人的说法,总统的个人电子邮件)

克里姆林宫坚决否认它“我们知道将一切归咎于俄罗斯变成了一项运动”,克里姆林宫发言人德米特里佩斯科夫对记者开玩笑说“至少他们没有在[华盛顿]波托马克河中寻找俄罗斯潜艇,就像这样的情况一样在其他一些国家“弗拉基米尔·普京的发言人德米特里·佩斯科夫参加2013年12月25日在莫斯科克里姆林宫举行的一次会议有充分的证据表明,早在2007年,爱沙尼亚发生了网络攻击,俄罗斯网络犯罪分子正在与俄罗斯国家但现在看来,克里姆林宫正在直接参与Kirill Kudryavtsev / AFP / Getty然而一些代码 - 特别是APT28经常使用的称为CHOPSTICK的程序中的“后门”系列已经与那些虚拟链接闯入美国国防部去年对未分类的军事网络进行类似攻击的模糊性较低“我们分析了他们的网络活动,并将其与俄罗斯国防部长阿什顿卡特在4月份对西翼的电子邮件进行网络间谍活动可能比较厚颜无耻,但它与俄罗斯和美国的老派间谍活动和信号智能游戏没什么不同

已经玩了几十年另一方面,真正可怕的是渗透物理基础设施的方式可能预示着新一代的暴力秘密行动和破坏“这是一种全新的发动战争的方式,”一位前克格勃将军说过一次作为间谍发布到伦敦谁现在在私人安全部门工作“这就像飞机或潜艇的发明突然你可以从一个全新的和意想不到的方向攻击敌人这是战争的本质:不断的惊喜“今年4月,莫斯科出生的卡巴斯基实验室首席执行官尤金卡巴斯基指出,针对全球电网,银行和交通网络的针对性攻击急剧增加,并警告说,针对关键基础设施的群体具有”容量“造成非常明显的破坏最严重的恐怖袭击是不可预期的“最令人恐惧的新一代网络武器之一是旨在瞄准超级安全,所谓的”气隙“系统,它们与互联网或外部网络没有联系

Stuxnet的开发人员通过开发感染CD-ROM和记忆棒的巧妙程序弥补了气隙,然后殖民伊朗的核发展计算机,最终对铀离心机造成毁灭性的物理破坏并迫使伊朗人更换其整个计算机基础设施但是像Stuxnet一样可以通过电子邮件和记忆棒携带的程序,称为Uroburos,自2011年以来一直存在被诊断为俄罗斯血统Uroburos的目标是微软Windows,与其母网络进行秘密通信,能够跨越国界,将安全网络与互联网隔离开来“可怕的是,现在每个人都可以做任何事情, “Klimburg说,他认为区分犯罪和政府网络攻击的一种方法是衡量攻击所需的编程资源量 - 就像设计用于跨越空隙的恶意软件一样”如果你看到大量的组织和编程进入攻击,这是一个很好的指标,表明有政府参与“美国和欧洲仍然极易受到基础设施攻击 - 特别是因为这些发达经济体的重要基础设施现在是电子化的,从金融系统到社交网络一个小例子:4月下旬,一架美国航空公司的波音737飞机在iPad应用后暂时停飞被飞行员用于飞行前检查的“电子飞行包”坠毁iPad应用程序取代了13磅的纸质手册 - 但是当它下降时,整个机队的数量也下降了更令人担忧的是,尽管仍然是假设:美国政府问责局发布了4月官方警告说“现代飞机的相互连接可能潜在地提供对飞机航空电子系统的未经授权的远程访问”,并且黑客可以利用飞机的Wi-Fi接入当安全研究员克里斯罗伯茨在Twitter上开玩笑说“开始”是多么容易在玩EICAS“-Engine-Indicating and Crew-Alerting System”时,波音公司发布了一份声明称,“未经飞行员审查和批准,飞机系统中的飞行计划无需更改”其他基础设施就像没有受到保护一样,能源行业顾问Black&Veatch最近的一项调查显示,美国只有32% ctric公用事业公司将安全系统与“网络威胁保护所需的适当细分,监控和冗余”相结合“人员在2010年7月20日在科罗拉多州科罗拉多斯普林斯的彼得森空军基地的空军太空指挥网络运营与安全中心工作欧洲仍然极易受到基础设施攻击 - 特别是因为这些发达经济体的重要基础设施现在是电子化的,从金融系统到社交网络Rick Wilking /路透社2月,总统巴拉克奥巴马成立了一个新的网络威胁情报整合中心,被描述为“一个国家情报中心,专注于将有关恶意外国网络威胁的点连接到国家”国防部长卡特本月访问了硅谷的核心地区,以帮助改善与前国家安全局破坏性揭露后与科技公司的关系承包商爱德华斯诺登关于数字su “这种威胁影响到我们所有人,”卡特告诉聚集的技术人员“通过五角大楼和硅谷之间新的合作伙伴关系也抓住了很多机会”在幕后,美国间谍机构也在忙着打一场秘密针对网络恐怖主义者的战争斯诺登 - 现在隐藏在俄罗斯 - 公开披露了美国情报机构大规模的数据挖掘,通常明显违反了对美国公民隐私的保护但卡巴斯基实验室最近的一份报告表明美国 在黑客攻击部门,卡巴斯基的团队称之为方程集团赞助的黑客集体,它腼腆地说,“由一个拥有近乎无限资源的民族国家” - 在过去的14年中显然一直忙于种植顶级间谍软件世界各地,包括名为Grok的按键记录程序和称为GrayFish的保护加密系统的最高目标

伊朗和俄罗斯,其次是巴基斯坦,中国和印度恶意软件针对的是金融,政府,外交,航空和电信网络以及研究机构和大学据卡巴斯基的工程师称,方程组设计了“世界上最神秘的恶意软件弹头”以及“在军用级磁盘擦除和重新格式化后幸存下来的秘密存储库,即使在重新格式化驱动器并重新安装操作系统后也可以从受害者那里窃取敏感数据”由于其庞大的资源,美国很可能会留下来比其战斗机领先一步但是这个新战场的问题是没有一个潜在的战斗人员知道规则 - 而且更危险的是,没有人能够确定战斗员是谁“并不总是可以区分网络间谍,网络秘密行动,最重要的是,准备进行网络破坏或战争,“克林堡说”严重错误谅解是预编程的错误识别攻击者动机的后果可能是,在外交上说,“无意中升级” - 或意外的网络战“乔治·W·布什政府的网络安全和反恐协调负责人理查德·克拉克警告说危险“虚假旗帜”网络攻击旨在制造美国与中国之间的紧张局势,并由一个隐藏的第三方发起一些学者提出美国和俄罗斯之间的“网络军事演习”作为信任建设的工具其他建议建立“道路规则” - 一种关于网络空间的非正式协议,概述了什么是间谍目的的合法目标,同意不针对超级关键基础设施,如电网与网络间谍攻击,但即使北京可以被说服加入华盛顿和莫斯科之间目前的地缘政治紧张局势并不利于此绅士协议俄罗斯总统弗拉基米尔·普京将互联网描述为“中央情报局的发明”,本月命令FSB通过强迫所有互联网服务提供商将其服务器保留在俄罗斯来“清理俄罗斯互联网” - 克里姆林宫的另一个转折点 - 计划创建一个单独的俄罗斯互联网,自2012年以来普京已承诺提供约1亿美元的项目在2014年2月的索契奥运会期间,FSB部署了积极的网络间谍工具,旨在通过Wi感染外国访客的计算机和带有间谍软件的手机-Fi网络和手机信号塔这样一个政权不太可能回避使用它可以使用的每一个网络武器同样不太可能,面对白宫发言人Jan Psaki描述为“每天数百次网络攻击”的抨击,美国将停止并停止开发一些世界上最复杂的网络武器,以报复网络武器ace正在更正:本文的早期版本是指卡巴斯基实验室,它是卡巴斯基实验室