随着俄罗斯导弹不断袭击乌克兰,莫斯科的黑客加大了破坏向基辅提供支持的西方公司的力度。美国及其 10 个最亲密的盟友在周三发布的网络威胁警告中表示,与政府有关联的网络团队“Fancy Bear”已“扩大了对参与提供援助的物流实体和科技公司的攻击范围” 。
报告称,俄罗斯黑客的攻击目标包括国防承包商、交通设施、海事运营商、空中交通管制系统和IT服务提供商。他们的攻击手段包括暴力破解密码、利用鱼叉式网络钓鱼获取凭证并传播恶意软件,以及利用Microsoft Outlook和其他软件程序的漏洞。
澳大利亚、加拿大、捷克共和国、丹麦、爱沙尼亚、法国、德国、荷兰、波兰和英国的网络安全和情报机构与美国联邦调查局、国家安全局 (NSA)、网络安全和基础设施安全局 (CISA)、美国国防部网络犯罪中心和美国网络司令部一起发布了警报。
西方国家政府在联合公告中警告称:“物流实体和科技公司的高管和网络防御人员应认识到[Fancy Bear]攻击活动的威胁日益严重,应加强对已知TTP(技术、技术、流程和方法)和入侵指标(IOC)的监控和威胁搜寻,并在假设攻击发生的情况下部署网络防御措施。此次针对物流实体和科技公司的网络间谍活动使用了多种先前披露的TTP,可能与这些攻击者大规模攻击乌克兰及周边北约国家的IP摄像头有关。”
保加利亚、捷克共和国、法国、德国、希腊、意大利、摩尔多瓦、荷兰、波兰、罗马尼亚、斯洛伐克、乌克兰和美国均已发现目标公司和政府组织。
报告称,在一次攻击中,俄罗斯从最初的入侵行为转向窃取有权访问“货运敏感信息(例如火车时刻表和货运舱单)”的账户凭证。这些信息包括前往乌克兰的火车、飞机和轮船的路线详情和货物内容。
西方政府认为,俄罗斯还通过入侵军事基地、边境检查站和火车站附近的私人互联网安全摄像头来追踪货物运输。
俄罗斯部署了之前观察到使用的恶意软件,包括HEADLACE和MASEPIE,并通过 Windows 内置功能(例如计划任务)保持在受害者网络上的持久性。
该咨询报告警告称:“制定机构预计类似的目标定位和 TTP 使用将会继续。”
