犯罪分子在俄罗斯竞选中的国家攻击者
研究人员表示,对俄罗斯批评国家基础设施公司(包括国有石油公司Rosneft)的网络活动并非国家赞助,但似乎是刑事运作。
根据整套威胁研究员JON Gross的说法,国家冲突已经占据了许多关于网络安全的政策讨论以及关于网络安全的大部分战略思考,罪犯似乎是利用。
网络罪犯是“敏锐地意识到”一些研究人员带来桌子的偏见,他在最新的威胁情报公告中写道。“利用偏见可以提供额外的伪装,另一层看似隐形,使威胁演员更加困难地检测,”粗略地写道。
Rosneft是俄罗斯关键基础设施的主要支柱,使其成为外国国外赞助的间谍活动的极性目标,这是一个浮夸的汇率在他们的研究中出现的公司名称时所发现的。
2017年7月,围绕恶意软件存储库中嵌入了Word文档的恶意宏的气体似乎旨在瞄准俄语用户,并旨在捕获受感染的机器的IP地址,主机名和附加驱动器以及击键和剪贴板数据。
“在仔细检查后,我们注意到恶意软件作者核心使用的命令和控制(C&C)域,其中非常紧密地模仿俄罗斯石油和天然气行业,特别是Rosneft和Rosneft的子公司,”粗略。
研究人员发现,威胁演员已经运营了三年以上,并创造了类似的网站,以模仿20多个国有石油,天然气,化学,农业和其他关键基础设施组织。
“似乎是一个明确的国家 - 国家渎职的指标,实际上只是允许罪犯在黑客攻击你的组织之前很快就攻击了你的思维方式”Jon Gross,Last关联的恶意软件被称为RedControle,也旨在创建一个后门进入受感染的机器,以上传和下载文件,操纵文件和文件夹,压缩和解压缩文件,枚举驱动器信息和主机信息,提升特权,捕获屏幕截图和网络摄像头图片,块和/或模拟用户输入,日志击键和操纵受感染系统的过程。
建立20多个网站以模仿真正的俄罗斯关键基础设施公司的努力似乎不成比例地与使用它们作为命令和控制基础设施的感知益处。
但是当研究人员看到Inta Sachov的一篇文章,Infosec公司集团IB的创始人兼首席执行官,关于一个精致的刑事计划,其中威胁演员正在创建合法俄罗斯关键基础设施公司的近克隆,以收获凭证和延期欺诈,他们意识到他们正在寻找经济利益激励的犯罪行动。
“善于组织的刑事努力和国家活动之间的线路通常可以模糊,但威胁情报的从业者和消费者应该谨防固有的偏见,”粗糙。
“首先出现的是最明确的国家渎职误报的明确指标可能只是允许罪犯在黑客攻击你的组织之前很快破解你的思维方式。”
