FireEye:APT28曾攻击黑山政府,黑客影响外国政治进程

6月7日讯美国知名网络安全公司FireEye发布研究报告指出,在俄罗斯入侵乌克兰导致地区形势加剧,黑山共和国准备加入北大西洋公约组织(简称北约)之时,俄罗斯黑客组织APT28对黑山共和国政府官员实施了网络间谍活动。

E安全百科:黑山共和国是位于巴尔干半岛西南部、亚得里亚海东岸的一个多山国家。北约组织第二十九个成员国。2017年6月5日,黑山在加入北约 18个月后正式成为第29个成员国。APT28通过网络钓鱼攻击影响外国政治进程
FireEye强调,俄罗斯通过知名黑客组织APT28持续影响外国的政治进程。美国国家情报总监办公室于今年一月发布了一份非保密报告,证明APT28与俄罗斯政府之间有关联。

分析师本 里德指出,今年一月至二月,FireEye发现了两个不同的恶意Microsoft Word文档附件,其携有APT28的蛛丝马迹。这些文档经专门设计捆绑在发送给黑山共和国政府的网络钓鱼电子邮件中。这些恶意文档在标题中提到了“欧洲军事转移计划安排”和“北约部长会议时间表”以误导收件者。

里德表示,接收者一旦打开邮件,其设有陷阱的附件会返回至命令与控制基础设施加载与APT28有关的Adobe Flash漏洞利用框架。该框架最初被Palo Alto Networks的安全研究人员发现,并命名为“DealersChoice.B”。

FireEye称有证据显示,其他黑客组织并未访问过DealersChoice.B或此案例中使用的恶意软件“GameFish”。 GameFish是APT28用来大范围访问目标计算机的“第一阶段”木马,具备的能力包括数据渗漏、击键记录以及其它监控能力。

里德还表示,此次行动中部署的这款Adobe Flash漏洞利用框架和GameFish是APT28近几个月用来攻击其他欧洲政府的常用工具。这些网络钓鱼电子邮件攻击是否得手,里德并未透露。

黑山共和国外交部未予以置评。北约拒绝解决上述行动,尽管对北约的网络攻击变得越来越频繁、强劲和复杂。

北约或遭遇更多网络攻击
里德指出,至于黑山共和国遭遇的网络钓鱼计划与APT28有关的说法,FireEye对此有“把握”。

FireEye全球政府副总监兼首席技术官托尼·科尔周二表示,俄罗斯视北约东扩为安全威胁,俄罗斯以及黑山的亲俄政党极力反对黑山加入北约。此次行动可能是APT28针对北约及其成员国的部分行动之一。俄罗斯强烈反对黑山“入伙”北约,极有可能会继续使用网络能力破坏黑山顺利融入北约。黑山加入北约可能会使北约遭遇更多的网络威胁活动,并为对手(例如俄罗斯)提供更多途径非法获取北约的信息。

上个月,有报道称,APT28通过欺骗性北约电子邮件地址向罗马尼亚外交部发送了网络钓鱼电子邮件。后来,罗马尼亚外交部也证实消息属实,并声称已成功阻止了相关计算机病毒感染本地计算机。

据《卫报》报道,北约邀黑山入盟后,俄罗斯政府表示会采取“报复性行动”。

FireEye在最新发布的研究报告中强调了黑山与俄罗斯紧张局势加剧的时间。

今年早些时候,黑山总理杜什科 马尔科维奇谴责国内反对党(其中有人寻求与俄罗斯改进关系,反对黑山加入北约)。此后,黑山的许多政府组织和媒体就遭遇了DDoS攻击,而归因至今仍一团迷雾。

此外,黑山的司法机构仍在积极调查去年10月16日的“政变”策划行动,据称俄罗斯情报机构参与其中。

北约发言人发表声明表示,关于黑山共和国,任何企图通过黑客攻击、宣传或其它行动干扰民主选举的做法,都是完全不能接受的。黑山共和国仍在调查去年10月选举期间发生的企图刺杀总理事件。黑山当局之后将会宣布调查结果,北约对黑山抱有十足的信心。

背景
尽管早在1996年7月,当时的俄外长普里马科夫曾指出“北约东扩”的两条“红线”是不能越过的。纵线是俄罗斯不能接受通过新成员国加入北约的军事设施威胁性地向俄领土推进的形式;横线是波罗的海国家和其他原苏联各共和国加入北约是俄不能接受的。

  北约迄今共经历了8次扩张:

1952年2月18日,希腊、土耳其加入。

1955年5月6日,联邦德国加入。

1982年,西班牙于正式加入该组织。

1999年3月后,仍有捷克、匈牙利、波兰三国,成为了首批加入北约的前华沙条约国家,也首次践踏了俄罗斯划下的北约东扩“红线”。

2004年3月,爱沙尼亚、拉脱维亚、立陶宛、罗马尼亚、保加利亚、斯洛伐克、斯洛文尼亚等七国正式加入北约。其中,波罗的海三国的加入,使北约来到俄罗斯边境,蚕食其传统势力范围。俄罗斯领土安全受到严重威胁,国际地位受到极大挑战。

2009年,阿尔巴尼亚和克罗地亚正式加入。

2017年6曰5日,黑山正式加入北大西洋公约组织。

北约组织继续东扩,对俄罗斯来说如鲠在喉。随后俄罗斯宣布与黑山关系紧张的塞尔维亚将获得6架米格-29战斗机,30辆T-72坦克以及30辆BRDM-2型装甲车的“军火礼包”。

因此从历史的角度来看,俄罗斯也有动机发起网络攻击。

本文转自d1net(转载)

时间: 2024-10-16 18:41:57

FireEye:APT28曾攻击黑山政府,黑客影响外国政治进程的相关文章

又一零日漏洞被APT28利用攻击各国政府及军方机构

本文讲的是又一零日漏洞被APT28利用攻击各国政府及军方机构,一个以政府.军方和媒体机构为目标的网络间谍组织,使用了甲骨文一个没有补丁的Java漏洞发动攻击. 这个零日漏洞的利用程序最近被趋势科技的研究人员发现,该程序用来攻击北约一个成员国的军队和美国国防机构.这个名为APT28或 Pawn Storm的网络间谍组织,至少从2007年起就开始活动.一些安全厂商认为,这个组织是由俄罗斯操纵的,并与该国的情报机关有联系.该组织以欧洲.亚洲和中东地区的政府.北约成员国.国防承包商及媒体机构为目标,这些

英少年黑客获保释曾攻击索尼政府网站

杰克·戴维斯(左)昨天在获得保释后离开了伦敦威斯敏斯特地方法院新浪科技讯 北京时间8月2日凌晨消息,一位英国少年黑客于周一获得了伦敦地区法院的保释批准,他出狱的 前提条件是:在保释期间不得再接触互联网.这位少年被捕的罪名是实施过多次黑客攻击,警方 认为他是两大激进黑客团体"Anonymous"和"LulzSec"的领军人物之一.这位少年名叫杰克·戴维斯(Jake Davis),他在网络上使用的昵称叫"Topiary".他的罪名包括使用黑客手段攻击

谷歌疑在俄监视"亲政府黑客" 拟发动黑客攻击

"美国谷歌公司正在俄罗斯境内秘密寻找'亲俄政府的黑客'."俄罗斯<观点报>8日引爆一枚震撼弹.该报披露,俄罗斯"真理报"在线传媒控股公司领导人戈尔舍尼指责谷歌公司在俄境内从事反俄行动.而近期,美国等西方国家一直抨击俄罗斯通过黑客干涉其内政,俄政府则一直否认此类事件. 戈尔舍尼表示,谷歌公司试图窃取他的谷歌账户密码,以了解其是否存在亲政府的"黑客行为".<观点报>报道称,谷歌此举是试图损害俄罗斯政府和国家的形象.谷歌公司在俄

揭秘|攻击美国政府系统的俄罗斯黑客

俄罗斯政府保护下的两队高技术黑客正蠢蠢欲动,他们的目标:西方民主机构和俄罗斯的政治对手. 网络安全专家和情报部门官员向媒体透露:入侵民主党电脑.世界反兴奋剂组织管理系统,泄露前国务卿科林·鲍威尔私人邮件和奥运选手医疗资料的黑客,正在进行一场俄罗斯支持下的网络谍战和破坏行动. 国家雇佣军他们已开始将其技术能力应用到地缘政治方面. 麦卡利亚2000年代早期就认识这些黑客中的大多数,他自己也是其中之一.自从转变为白帽子,他现在的工作是对俄罗斯黑客的网络攻击进行调查--有时候是为意大利政府. 身为网络安

针对基础类软件的攻击正成为黑客最青睐攻击方式之一

在近期Linux Mint被攻击事件发生之前,很少有人能意识到,自己刚刚安装操作系统的PC,可能就已经沦为黑客的"肉鸡".而且大多数人也无法想象,这只"肉鸡"的来源,是Linux官网上完全符合Hash值验证的操作系统镜像文件.事实上,这类针对基础类软件的攻击在近年来正在不断增多,影响了越来越多的个人及企业用户.百度安全旗下的百度安全实验室(X-lab)专家xi4oyu在分析此类事件后做出评论:针对基础类软件的攻击正在成为黑客最青睐的攻击方式之一,因为其更隐蔽.也更有

一张图告诉你全球政府黑客的地理位置

曾几何时,间谍们想尽办法隐藏他们踪迹,比如使用层层混淆技术.代理服务器等,所以要想搜集他们的网上情报几乎是不可能的事情.相比较于间谍,受害者的地理位置比较容易发现. 点击阅读原文查看图片完整信息 ◆ ◆ ◆ 一张地图勾勒所有政府黑客信息 本周,一个自称为 Digital Freedom Alliance的安全研究团队发布了一个软件项目,能够统计并在地图上勾画出政府黑客对记者.积极分子.律师和NGO(非政府组织)的攻击.该项目的代码存储在Github上,从公共资源处搜集关于政府恶意软件感染的数据情

告诉你全球政府黑客的地理位置

曾几何时,间谍们想尽办法隐藏他们踪迹,比如使用层层混淆技术.代理服务器等,所以要想搜集他们的网上情报几乎是不可能的事情.相比较于间谍,受害者的地理位置比较容易发现. 一个自称为 Digital Freedom Alliance的安全研究团队发布了一个软件项目,能够统计并在地图上勾画出政府黑客对记者.积极分子.律师和NGO(非政府组织)的攻击.该项目的代码存储在Github上,从公共资源处搜集关于政府恶意软件感染的数据情况,比如从多伦多大学的公民实验室.TargetedThreats.net和安全

政府黑客使用无文件技术投放远程控制木马

本文讲的是 政府黑客使用无文件技术投放远程控制木马,亚洲的国家黑客正使用一种新技术投放远程控制木马,回避安全产品的检测. 终端安全公司SentinelOne发布消息称,这些威胁小组使用的方法能够将远程控制木马注入到受害设备的内存.反病毒软件.甚至是更新型的技术,只要基于文件检测,就无法发现此类威胁. 研究人员通过分析攻击过程发现,硬盘上的确被写入了一些新文件,但恶意载荷从未在未经加密的状况下触及硬盘. 约瑟夫·兰德瑞 (Joseph Landry) 是SentinelOne公司的高级安全研究人员

使用Discuz!自带参数防御CC攻击以及原理,修改Discuz X 开启防CC攻击后,不影响搜索引擎收录的方法

这部份的工作,以前花的时间太少. 希望能产生一定的作用. http://www.nigesb.com/discuz-cc-attacker-defence.html http://bbs.zb7.com/thread-8644-1-1.html CC攻击确实是很蛋疼的一种攻击方式,Discuz!的配置文件中已经有了一个自带的减缓CC攻击的参数,在配置文件config.inc.php中: 1 $attackevasive = 0;             // 论坛防御级别,可防止大量的非正常请求