「奇異熊」黑客組織黑航空航天公司幹啥？

最近，Palo Alto公司安全研究人員發現俄羅斯APT黑客組織——「奇異熊」（Fancy Bear ）正在使用一種新型Mac OS X木馬針對航天航空業的公司發起攻擊。

主導性的觀點認為，Fancy Bear是一個俄羅斯間諜情報組織又名Tsar Team（APT28），該組織主要針對美國、西歐、巴西、中國、伊朗和許多其他國家的國防部門和軍方官員進行情報間諜活動。很多政府機構、非盈利組織和公司數據泄密的事件都和他們有關係。

7月份，希拉里團隊電腦系統被黑，2萬多封美民主黨絕密郵件泄露，當局就懷疑是由一隊受俄羅斯軍方總參謀部情報總局(GRU)支持、代號Fancy Bear的黑客組織所為；9月，Fancy Bear又入侵了世界反興奮劑機構(WADA)資料庫，並在網上公開包括美國網球運動員威廉姆斯姐妹、體操名將拜爾斯等人的保密醫療檔案。去年該組織還入侵了德國聯邦議院和法國TV5 Monde TV等。

當然，對於此事俄羅斯政府是堅決否認的，他們表示Fancy Bear自己都說了全美第一黑客組織Anonymous旗下的，該組織的口號與匿名者黑客組織的口號相同，即我們是匿名者，我們是軍團，我們不會原諒，我們不會忘記，期待我們。

但是，暗中調查Fancy Bear的Crowdstrike安全公司卻斬釘截鐵地說：Fancy Bear絕對是俄羅斯網路間諜組織。Crowdstrike首席技術人員Dmitri Alperovitch說：「我們有很大的把握可以證明，Fancy Bear是俄羅斯情報組織，它應該隸屬於俄羅斯軍方情報機構GRU。」

過去幾周里，我們已經對關於美國民主黨全國委員會（DNC）的攻擊事件進行了很多討論，安全專家也收集到了一支俄羅斯政府支持的黑客組織的參與證據。

特別是，威脅情報公司ThreatConnect的安全專家，已經對美國聯邦調查局於8月份發表的一份警報中的IP地址進行了分析，結果表明，針對選舉系統發起的兩次網路攻擊來自美國兩個州。

ThreatConnect的安全專家發現，這一事件與一個俄羅斯間諜組織（據稱與莫斯科政府有關）間存在一些關聯。承載釣魚信息的其中一個域名，其註冊所使用電子郵件地址與臭名昭著的APT28group（APT28集團）所使用的域名間存在關聯。

現在，「奇異熊」（FancyBear）又一次成為了新聞頭條，根據Palo Alto公司的惡意軟體研究報告指出，這一可怕的組織正是運用一種新型木馬攻擊Mac OS X設備的幕後黑手。

據Palo Alto公司安全研究人員RyanOlson所言，「奇異熊」（Fancy Bear）曾使用Komplex木馬對航天航空業公司實施攻擊，而這些企業都有使用MacKeeper殺毒軟體。

Palo Alto研究人員稱該木馬與網路間諜組織Sofacy（也稱為APT28，PawnStorm，Fancy Bear以及Sednit）有關。

研究人員表示，直到目前才發現該惡意軟體的有效荷載，但還未發現任何受感染的受害者。儘管如此，他們稱基於行動期間使用的文檔，該木馬樣本似乎定製用來針對航空和航天工業的個體。

Palo Alto 公司稱，到目前為止，已知該木馬有三個版本：分別可用來攻擊x64架構、x86架構以及x64和x86架構。

安全專家稱，該木馬的第一階段組件利用MacKeeper Mac殺毒應用程序中的漏洞在Mac計算機上停留。

從他們分析的樣本來看，研究人員表示，第一階段組件偽裝成呈現俄羅斯聯邦太空計劃的PDF文件。第一階段組件通過添加自身的.plist文件到計算機啟動程序獲取boot持久性，然後下載所謂的Komplex有效荷載dropper。

第二階段組件收集系統數據，且只有當互聯網連接可用時，才會開始與C&C伺服器通信，發送受感染主機有關詳情。

C&C伺服器將決定要發送的其它Komplex模塊。研究人表示，他們識別出了模塊—允許Sofacy操作員在受感染主機上下載文件、收集和竊取數據或執行命令。

Palo Alto稱，Komplex木馬與BAE Systems在2015年6月發現的木馬一致。另外，基於該木馬的操作模式以及源代碼結構，他們認為Komplex是5月底部署攻擊美國政府官員的Carberp Windows木馬的Mac埠。

國外某網站發布了28個黑客組織排名（FancyBear組織位居22名）

註：本文參考來源於securityaffairs

推薦閱讀：