揭密俄罗斯黑客组织近两年来网络攻击事件

近两年来，俄罗斯黑客组织发起了一轮又一轮地网络攻击行动，制造了一起又一起网络安全事件，从去年攻击德国联邦议会到今年的瘫痪乌克兰电力系统，从泄露美国民主党总统候选人希拉里的私人邮件到公布世界反兴奋剂机构暗箱操作行为及美国“用药豁免”运动员名单等，让以美国为首的西方国家十分头痛。美西方国家指责这些攻击是受到俄罗斯政府幕后支持的黑客组织“奇异熊”（Fancybear）“舒适熊”（Cozybear）组织的，但俄罗斯坚决否认了黑客行为与俄政府有关。

一、近两年来的主要攻击活动

美国的情报机构以及安全公司一直在跟踪俄罗斯黑客组织的网络攻击行为，并研究其网络攻击方法以及攻击特点。据报道，这两个组织自年以来，有时合作，有时单干，有时不谋而合，连续攻击了乌克兰政府和军事部门以及格鲁吉亚政府机构，另外还对美英军队人员以及俄本国反对派人士实施了网络攻击。

一是通过攻击获取情报。年年初，“奇异熊”对德国女强人默克尔所在的基督教民主联盟信息系统实施攻击，并试图控制该党基层组织内部网络的一个服务器，旨在获取相关情报，后被德国安全机构及时发现和制止。另一个重大事件，就是“奇异熊”和“舒适熊”通力合作，对美国白宫和北约指挥信息系统实施系统性攻击，成功获取了美国前驻北约司令菲利浦·布雷德洛夫的邮箱登陆密码。年，两个组织又一起攻陷了美国民主党全国委员会内部邮件服务器，获取了大量内部邮件，并由“维基揭秘”网站公布。

二是通过攻击制造混乱。年4月，黑客组织对法国电视5台实施分布式拒绝服务攻击，导致电视台中断节目3小时，同时控制了该电视台网站，在网站首页放上了“伊斯兰国”几个大字。年年底至年年初，当时还被称为“沙漠风暴”的俄罗斯黑客组织攻击了乌克兰数个地区的电力系统，导致乌西部地区大面积停电，大约70万个家庭在圣诞节前陷入了一片黑暗。同时，为了让电力公司的维修部门无法正常工作，黑客利用恶意软件定时拨打电话，让维修人员一直保持忙碌，应接不暇。

乌克兰的国家安全局表示，俄罗斯的特工在乌克兰的国家电网中植入了恶意软件，导致发电站意外关闭。美国能源部副部长伊丽莎白?兰德尔称，这是迄今发现的首次针对民用关键基础设施的网络攻击行为。

三是通过攻击实施报复。年9月，由于国际奥委会因服用违禁药品问题禁止部分俄罗斯运动员参加里约热内卢夏季奥运会，引起了俄罗斯黑客的强烈不满。号称“奇异熊”的俄罗斯黑客组织成功攻入了世界反兴奋剂机构的运行管理数据库和体育仲裁庭内部网络，窃取了大量数据，并在网站上首先公布了美国运动员服用违禁药品但却允许参加比赛的情况。文件显示，前世界排名第一的美国网球选手塞雷娜·威廉姆斯及其姐姐维纳斯·威廉姆斯多年服用违禁药物，但仍参加了奥运会比赛。另一位美国体操名将西蒙·拜尔斯年8月的哌甲酯测试结果呈阳性，但未被禁赛，并在里约奥运会上夺得4枚金牌。此举揭露了世界反兴奋剂机构在运动员服用药物标准上采取双重标准，在美国的幕后主导下打压俄罗斯及其它国家运动员的恶劣行径，引起各国的强烈不满。

二、采用的主要攻击方法

俄罗斯针对不同的目标采取不同的攻击方法，有欺骗式攻击、组合式攻击、水坑式攻击、钓鱼式攻击、域名欺骗、网站注入式攻击、工控系统攻击及僵尸网络攻击等。

（一）对世界反兴奋剂机构主要采用钓鱼式攻击方式

年，俄罗斯田径运动尤丽娅·斯捷潘诺娃因服用违禁药物被俄罗斯奥委会禁赛两年。年，她和丈夫接受媒体公开采访，声称俄罗斯田径运动员大量服用违禁药品。德国ARD公司据此拍成了一部影片—《兴奋剂神秘事件》，在国际体育界引起了很大的反响，导致世界反兴奋剂机构要求国际奥委会禁止所有俄罗斯田径运动员参加里约奥运会。后来，斯捷潘诺娃夫妇移居美国，并向世界反兴奋剂机构汇报了自己及俄罗斯运动员服用违禁药物的情况，被俄罗斯称为公开的卖国行径，她本想以此换来国际奥委会特许她参加里约奥运会，但最终未能如愿，后来她成为世界反兴奋剂机构信息报道员。年8月，黑客组织以世界反兴奋剂机构的名义伪造了一封邮件发送给斯婕潘诺娃，她毫不怀疑地点击了邮件及附件，隐藏在邮件附件中的木马程序立即启动，从而控制了其主机，获得了其邮箱登陆密码及世界反兴奋剂机构运行管理数据库登陆权限。黑客组织通过使用隐藏木马程序，发现数据库管理系统漏洞，从而规避了安全防护系统查杀，并通过其登陆密码，从数据库中下载了大量美国及其它国家运动员服用违禁药物并得到许可参赛的情况，揭露了该机构存在暗箱操作行为。9月初，世界反兴奋剂机构宣布封存了斯捷潘诺娃的公务邮箱和登陆账号。

（二）对美国民主党全国委员会内部网络主要采用水坑攻击方式

水坑式攻击是指黑客组织不再直接攻击最终目标，而是转向对方信任且经常访问的网站。当攻击目标访问该网站时，被黑客控制的网站上的木马病毒就会被植入到对方的终端电脑。由于美国前国务卿希拉里·克林顿年未经批准私设个人邮件服务器，并且有时利用该邮件服务器处理公务，而不是通过政府保密网络，结果黑客组织轻易攻下了该服务器，同时利用未公开漏洞实现网站挂马，导致访问者不断中毒。黑客组织将所获近3万封邮件中的2万封交给了“维基揭密”网站公布，暴露了美国前国务卿和总统候选人希拉里·克林顿任期内使用私人邮件处理公务情况，以及美国民主党全国委员会主席黛比·舒尔茨暗中干预党内初选，支持希拉里，打击竞选对手伯尼·桑德斯的行为，最终导致舒尔茨辞职，这也是希拉里第二次竞选总统失败的重要原因之一。美国国土安全部和国家情报总监办公室发表声明，指责俄罗斯授权并帮助黑客入侵美国网络，以影响美国总统选举。

据长期跟踪俄罗斯黑客攻击活动的美国“领英”公司总裁、前联邦调查局高级官员亨利·绍恩透露，年4月对美国民主党全国委员会内部网络的成功攻击活动是由服务于俄罗斯政府的两个黑客组织—“奇异熊”和“舒适熊”共同发起的。黑客组织先是获取了美国民主党全国委员会和希拉里·克林顿竞选总部工作人员在谷歌邮件服务器上申请的邮箱，然后通过在罗马尼亚申请的服务器向他们发送带有链接的电子邮件，工作人员点击链接后，直接连接黑客组织伪造的网站，其外形与谷歌邮箱登陆网页完全相同，但工作人员需要重新输入邮箱账号和密码，黑客组织便轻易获得取邮箱登陆权。另外，针对不同目标，分别使用微软操作系统、OFFICE办公软件以及IE浏览器中的未公开漏洞实施攻击。

尽管美国网络安全专家的分析结果与外界所传有所不同，但可以肯定的是，黑客组织利用了水坑式攻击等多种方法攻陷了目标。

（三）对德国政府和议会主要采用僵尸网络攻击方式

年1月，号称“超级金雕”（CyberBerkut）的黑客组织对德国政府和联邦议会网站发动大规模分布式拒绝服务攻击（Ddos），导致包括默克尔总理主页在内的网络无法访问，旨在抗议德国接待乌克兰总理亚采纽克访问并向乌克兰提供5亿欧元援助。德国网络安全专家虽采取了应对措施，但仍未能阻止攻击行为，迫使联邦议会的网络系统关闭数日。年5月，号称“索发西”的黑客组织再次对德国联邦议会等机构发动网络攻击，导致内部网络关闭③。德国宪法保卫局指责俄罗斯情报机构在幕后策划了这一行动，并称俄罗斯情报机构对北约成员国重要部门及关键基础设施经常发动网络攻击。

（四）对乌克兰电力系统主要采用工控系统攻击方式

针对乌克兰电力系统的攻击所用的恶意软件名为“黑色力量”（BlackEnergy），而黑客组织被称为“沙漠风暴”（Sandworm）。年以来，他们以那些使用工控系统来管理电、水、油、气和数据系统的机构为攻击目标，先后曾数次攻陷过美国和欧洲的电力供应商。这次针对民用关键基础设施开展的有组织的系列攻击活动在18个月的时间里影响了几乎八十多个国家，但是大多数受害者都分布在美国、西班牙、法国、意大利、德国、乌克兰、土耳其和波兰等国家，积累了相当丰富的攻击经验。当时欧美国家大量的关键基础设施在这些攻击事件中受到了不同程度的破坏，造成了严重的财产和经济损失，引发了部分民众的恐慌情绪。

据乌克兰联合电力公司发言人称，黑客组织以该公司名义向各地区电力分公司群发了一封仿造的邮件，通知各企业有关推迟召开全乌克兰电力发展规划公众论坛，实际上邮件附件隐藏了木马程序，导致工业控制系统感染了“黑色力量”病毒。

“黑色力量”主要使用Win32/KillDisk病毒感染了微软操作系统，先是“删除”了操作系统启动所必须的文件，然后删除了工业自动化控制系统中所使用的软件程序，致使供电系统突然关闭。

三、网络攻击的主要特点

外媒近两年披露的有关俄罗斯黑客的网络攻击行为实际上仍属于常规的黑客攻击范畴，其攻击方法并没有出现颠覆性的变化，仍然依靠利用传统的操作系统漏洞、浏览器漏洞、应用软件漏洞、安全防护系统漏洞等方法实现突破，但也具有其自身的特点。

一是运用0day漏洞攻击。网络系统由于其固有的特性，必然存在很多未知的漏洞，加上网络的互联性，使很多安全问题难以有效解决。黑客组织常用的攻击方法包括利用所发现的各种办公软件漏洞进行鱼叉式钓鱼攻击；构建挂马的钓鱼网站引诱目标上网，下载所需要软件或文件，从而感染目标主机；构建蜜罐，引诱目标上钩；利用浏览器漏洞伪造与用户所登陆网站完全相同的网页，诱骗用户重新登陆，获取用户相关信息。

二是采取可靠远程控制技术。俄罗斯黑客组织为有效控制目标网络和主机，开发了一系列先进的技术，包括命令控制技术、信息隐藏技术、通信技术、加密技术、防查杀技术和模块化技术等。其木马端一般不直接连接已方的命令与控制服务器，而是连接到各类社交平台网站，利用信息隐藏技术将域名或IP隐藏在某个图片当中，只有已方木马才能解译，然后通过VPS等技术发送各种命令。各种程序命令均加密，很难破解。木马程序使用模块化开发，而不是集成化，根据不同的目标，采取不同的攻击策略，逐步进入核心网络。

三是使用独特隐身消痕技术。首先，俄罗斯黑客对重要目标的网络攻击一般在境外隐蔽阵地进行。这次对美国民主党全国委员会内部网络的攻击就被美国安全公司追踪到罗马尼亚的一家公司，但显然是俄罗斯黑客伪造的；其次，重视通信的隐蔽性和低交互性。黑客将自身通信行为隐蔽在用户正常网络行为中，规避安全防护系统的查杀与监控，通过多级跳板进行远程控制。第三，利用模块化分散配置技术。黑客利用各种漏洞将木马模块化改造，分散配置在各种系统软硬件系统中，有些程序必要时可以自毁，从而增加追踪和查杀难度，使安全公司分析人员难以准确定位攻击来源。

尽管美西方政府情报机构及安全公司不断指责俄罗斯情报机构和黑客组织实施了各种网络攻击行为，但迄今为止，仍未掌握其攻击铁证，只是怀疑而已。以此次黑客攻击美国民主党全国委员会内部网络为例，戴尔公司旗下的SecureWorks安全公司和Crowdstrike安全公司的专家们长期追踪俄罗斯黑客的攻击行为。他们提出的证据是：一是黑客的攻击手法与攻击乌克兰军事和外交系统以及格鲁吉亚政府包括俄罗斯政府反对派的手法一致；二是所使用的木马程序和VPN接口都是在俄语环境下编写和运行的。当安全公司分析人员试图与之用罗马尼亚语进行交流时，其回答十分不流畅，一看就是使用了在线翻译词典。三是他们认为黑客在攻击时也许是粗心大意，也许是故意告诉美国人，他们来自俄罗斯，因而在程序和通信中有意留下带俄文字母的痕迹。四是黑客组织实施网络攻击的时间与莫斯科通常的作息时间基本一致，在俄罗斯的法定节日里，黑客组织通常也保持静默。

以上这些证据仍不足以说明就是俄罗斯黑客组织所为，对黑客幕后支持者的判断也只是主观猜测，美国情报机构和安全公司专家认为，“奇异熊”为俄总参情报总局服务，而“舒适熊”与依靠俄联邦安全局支持，但都强调这只是推测，目前仍缺乏确切的证据，也不能百分之百地肯定。这恰恰从另一个侧面证明了俄罗斯黑客的高明之处。

转载请注明：http://www.gdnkm.com/szdzz/4823.html