2022年2月28日,在世界行動通信大會(MWC)開幕日,參觀者聚集在俄羅斯防病毒軟體開發公司卡巴斯基實驗室的展台前。
總部位於莫斯科的電腦安全公司「卡巴斯基實驗室」(Kaspersky Lab)最新的一份報告顯示,中共一直在秘密竊取俄羅斯國防企業的敏感數據。
卡巴斯基上周一(8月8日)發表的一份報告顯示,這次攻擊的目標是幾個東歐國家,包括俄羅斯、白俄羅斯、烏克蘭,以及阿富汗的工業工廠、設計局和研究機構、政府機構、各部委和部門。
「攻擊者能夠滲透到數十家企業,甚至劫持了一些企業的IT基礎設施,控制了用於管理安全解決方案的系統。」卡巴斯基在報告中寫道。
卡巴斯基「高度確定」這些攻擊來自於中共支持的黑客組織TA428,該團伙曾多次對俄羅斯軍事工業綜合體進行攻擊。
研究人員指出,可能是為了實現持久性和重複性,此次黑客組織在被攻擊的目標上部署了多達六個不同的後門。其中有五個以前曾被中共網絡間諜組織TA428使用。這個組織去年曾攻擊俄羅斯和蒙古的國防相關組織。
除了後門程序本身,最新的攻擊與TA428過去使用的技術甚至命令和控制伺服器也有重疊,此外還有一些間接證據。
據英國科技新聞網站The Register報導,卡巴斯基安全公司的工業控制系統(ICS)響應團隊最初在1月份發現了大規模有針對性的攻擊,對方使用了新的Windows惡意軟體對政府實體和國防工業組織進行攻擊。
ICS研究團隊確定了基於中國的惡意軟體及指揮和控制伺服器,並補充說,最近的這一系列攻擊「極有可能」是一個正在進行的網絡間諜活動的延伸。
「對調查這些事件時獲得的信息的分析表明,這一系列攻擊的目標是搞網絡間諜。」研究人員證實,至少有10家俄羅斯公司受到了攻擊的影響。
最新的攻擊聽起來與與網絡安全公司Check Point公司在5月發現的另一個被稱為「Twisted Panda」的網絡間諜活動非常相似,該活動由中共網絡間諜實施,目標是俄羅斯國防機構。
據卡巴斯基的說法,這些不法分子通過釣魚郵件進入企業網絡,其中一些郵件包括一些組織的未公開的特定信息。
研究人員解釋說:「這可能表明,攻擊者事先已做了準備工作(他們可能在先前對同一組織或其雇員,或對與受害組織有關的其它組織或個人的攻擊中獲得了這些信息)。」
報告顯示,TA428使用了nccTrojan、Cotx、DNSep、Logtu、PortDoor和新的CotScam後門。卡巴斯基表示,其團隊識別了一個新版本的PortDoor,它可以建立持久性,然後收集被感染計算機的信息,並可以用來遠程控制系統,同時安裝額外的惡意軟體。
卡巴斯基警告說:「鑑於攻擊者已經取得了一些成功,我們認為類似的攻擊極有可能在未來再次發生。工業企業和公共機構應該做足夠的準備以成功挫敗此類攻擊。」
