據(jù)FBI調(diào)查發(fā)現(xiàn),伊利諾伊州及亞利桑那州選舉委員會被黑客入侵,大量選民信息被竊取。經(jīng)ThreatConnect分析,確認(rèn)黑客攻擊美國兩個州立選舉委員會使用的俄羅斯網(wǎng)絡(luò)架構(gòu),與針對烏克蘭和土耳其政府的釣魚攻擊活動相關(guān)。早前,安全公司CrowdStrike調(diào)查聲稱名為COZY BEAR和FANCY BEAR的俄羅斯黑客組織對美國民主黨委員會(DNC)進(jìn)行了入侵攻擊。
1 概要
在FBI的調(diào)查報告中,我們發(fā)現(xiàn)了很多指向俄羅斯的高度相關(guān)證據(jù),攻擊中采用的大量開源工具和網(wǎng)絡(luò)架構(gòu)都能間接歸因俄羅斯,但我們無法確定攻擊是否為網(wǎng)絡(luò)犯罪或國家支持,也不能確認(rèn)其它州立選舉委員會是否還受到攻擊。
在FBI的公告中,IP 5.149.249.172與針對土耳其執(zhí)政黨AKP、烏克蘭議會和德國自由黨人士相關(guān)的魚叉式釣魚攻擊有關(guān),這些攻擊發(fā)生于2016年3月到8月之間,并且,接近IP 5.149.249.172范圍的其它IP曾與俄羅斯相關(guān)APT攻擊有關(guān)。雖然我們不能確定幕后攻擊者或組織,但所有這些關(guān)聯(lián)證據(jù)都指向國家支持的黑客攻擊。
7月中旬,維基解密公布了不明渠道從土耳其執(zhí)政黨AKP系統(tǒng)獲取的大約30萬封郵件。如果是俄羅斯APT黑客干的,那么間接說明這些攻擊與俄近期對美高度的政治關(guān)注一致;針對土耳其AKP黨的攻擊,可以為俄羅斯提供東歐或敘利亞問題相關(guān)情報,當(dāng)然,那些郵件也能為公開詆毀政客發(fā)揮一定作用。
下圖是我們利用鉆石模型對這系列攻擊的分析,圖片中間位置為兩個州立選舉委員會被攻擊的相關(guān)信息,延伸出來的標(biāo)注框內(nèi)是我們發(fā)現(xiàn)和關(guān)聯(lián)的歸因信息。
2 與俄羅斯相關(guān)的間接證據(jù)
8個相關(guān)IP中有6個隸屬俄羅斯主機(jī)托管服務(wù)商King Servers;
網(wǎng)絡(luò)服務(wù)提供商FortUnix所屬IP 5.149.249.172曾在2015年1月至5月托管過一個俄語網(wǎng)絡(luò)犯罪論壇;
網(wǎng)絡(luò)服務(wù)提供商FortUnix所屬的其它IP,被發(fā)現(xiàn)與烏克蘭電網(wǎng)和新聞媒體的DDOS攻擊相關(guān);
Acunetix和SQL注入工具的使用手法與俄相關(guān)匿名黑客(@anpoland)入侵國際體育仲裁法庭相似。
俄羅斯網(wǎng)站托管服務(wù)商
FBI調(diào)查報告中提及的6個物理地址位于荷蘭和美國的相關(guān)IP,隸屬于俄羅斯VPS/VDS托管服務(wù)商King Servers。
King Servers網(wǎng)站的歷史域名信息顯示,注冊人為來自俄羅斯比斯克的“Vladimir Fomenko”,他還有LinkedIn賬戶。
Tor中繼節(jié)點(diǎn)
8月,F(xiàn)BI對外宣稱國家支持黑客對“一個州立選舉委員會系統(tǒng)”發(fā)起了入侵攻擊。該階段,隸屬于King Server的IP 185.104.9[.]39正被當(dāng)作Tor中繼節(jié)點(diǎn)使用,該節(jié)點(diǎn)使用昵稱“villariba” 運(yùn)行。通常,攻擊者使用Tor網(wǎng)絡(luò)活動鏈的最終IP作為保存真實(shí)信息的出口節(jié)點(diǎn),很顯然,攻擊者可能正控制或利用185.104.9[.]39作為中繼節(jié)點(diǎn)運(yùn)行其它代理服務(wù)。
俄語網(wǎng)絡(luò)犯罪論壇IOC
隸屬于FortUnix的IP 5.149.249[.]172曾托管過域名為rubro.cc的網(wǎng)絡(luò)犯罪論壇,歷史鏡像顯示2015年8月13日,該論壇以HTTP 301錯誤跳轉(zhuǎn)到另一個名為MarkeT RUBRO Ltd的俄語網(wǎng)絡(luò)犯罪網(wǎng)站https://rubro.biz/
BlackEnergy攻擊架構(gòu)與FortUnix有關(guān)
網(wǎng)絡(luò)服務(wù)提供商FortUnix另兩個位于荷蘭的IP 5.149.254[.]114和5.149.248[.]67在之前的安全報告中顯示,曾與BlackEnergy攻擊相關(guān),其它FortUnix IP曾發(fā)起了針對烏克蘭電網(wǎng)和媒體的DDOS攻擊。
開源工具的使用
FBI調(diào)查報告顯示,攻擊者使用黑客工具Acunetix和SQLmap對美國州立選舉委員會進(jìn)行攻擊滲透,這些工具的TTPS手法與攻擊國際體育仲裁委員會的俄羅斯APT組織類似。
3 IP 5.149.249.172曾托管針對土耳其和烏克蘭政府的魚叉式攻擊服務(wù)
通過被動DNS記錄分析發(fā)現(xiàn),在美國州立選舉委員會被攻擊的同時期,IP 5.149.249.172托管著兩個網(wǎng)站akpartl.info[.]tr和supportmail.biz[.]tr,akpartl.info[.]tr用來仿冒土耳其執(zhí)政黨AKP真實(shí)網(wǎng)站akparti.org[.]tr,在本報告撰寫期間,該仿冒網(wǎng)站跳轉(zhuǎn)到了一個合法網(wǎng)站akpartiistanbul[.]com。
該仿冒網(wǎng)站甚至還通過莫斯科郵件服務(wù)商Yandex開通了郵件服務(wù)域名mail.akpartl.info[.]tr,運(yùn)行SMTP郵件服務(wù)。
以上兩個域名都注冊于2016年1月,之后通過ip 5.149.249.172進(jìn)行解析和操作,維基解密近期泄露的AKP郵件可能與此相關(guān),為了確定ip 5.149.249.172與泄露源之間的實(shí)質(zhì)性關(guān)聯(lián),我們還需深入對域名akpartl.info[.]tr進(jìn)行觀察分析。
4 其它深入的發(fā)現(xiàn)
經(jīng)分析發(fā)現(xiàn),akpartl.info[.]tr下還有多個子域名,其中就包含一個由釣魚網(wǎng)站測試套件Phishing Frenzy生成的實(shí)例網(wǎng)站:ksdafoiuf9w54ygdjoi.akpartl.info[.]tr
在網(wǎng)站鏈接hxxp://ksdafoiuf9w54ygdjoi.akpartl.info[.]tr/letter_opener下,我們發(fā)現(xiàn)了攻擊者發(fā)送的釣魚郵件:
在2016年3月22日至8月3日之間,攻擊者共發(fā)送了113封釣魚郵件,其中大部分在3月22日至4月20日間發(fā)送:
在發(fā)現(xiàn)的34個受害者郵件地址中,ali.bolduin[@]yandex[.]com 和deputat.babiy[@]gmail[.]com在早期的發(fā)送郵件中比較常見和獨(dú)特,經(jīng)分析,我們確定這是攻擊者用來互相測試攻擊效果的郵件地址。
在113封釣魚郵件中,48封為Gmail主題,至少16封與AKP相關(guān),1封與LinkedIn相關(guān),另外1封與Intel公司相關(guān),其余都是圍繞目標(biāo)受害者機(jī)構(gòu)或興趣而專門設(shè)計(jì)的。發(fā)件箱中有土耳其語、烏克蘭語、德語和英語4種語言相關(guān)的發(fā)送郵件。通過分析,這些魚叉式釣魚郵件的攻擊目標(biāo)主要為AKP黨、烏克蘭議會和德國自由黨的相關(guān)人士,在這些攻擊目標(biāo)中,有16名AKP黨官員出現(xiàn)在7月19日維基解密泄露的郵件中。
以下為一些魚叉式釣魚郵件樣例:
其中,Gmail主題的郵件中,大致意思為:
“Hello user!
Your account is blocked for violating of terms of service of our company.
In the period from 03/29/2016 to 04/01/2016 it was observed that your account has sent mass email advertisements.
Perhaps you did not, and attackers using special programs to send spam, used your data (email address, name).
If you have not sent any emails, go to this link and follow the instructions.
Your account is under control.
You can view and adjust your privacy settings at any time in Your account ..
Do not reply to this letter. If you have any questions, please contact technical support.
Technical Services Manager”
另外,大部分涉及到賬戶信息竊取的釣魚郵件都指向一個釣魚網(wǎng)站子域名srvddd[.]com,如下所示:
srvddd[.]com指向隸屬于FortUnix 的IP 5.149.248[.]193,并由郵件vittorio_80@mail[.]com注冊,這種使用1&1mail.com進(jìn)行郵件注冊的方式與FANCY BEAR 攻擊活動類似。另外,srvddd[.]com在2015年5月9日的歷史記錄顯示,其還托管過釣魚網(wǎng)站mail.solydarnist.org,而solydarnist[.]org為烏克蘭現(xiàn)任總統(tǒng)波羅申科的政黨官方網(wǎng)站。
另外,在烏克蘭網(wǎng)站頁面http[:]//privatbank-info.io[.]ua/journal.php中,名為“bordan”的用戶發(fā)表了一段包含有XSS內(nèi)容的評論,試圖通過評論加載腳本http[:]//onlysoop.srvddd[.]com/fone/script.js。
以下是另一個偽裝KerioConnect Webmail郵件登錄的釣魚頁面,受害者輸入憑據(jù)信息登錄后將會跳轉(zhuǎn)到合法的AKP黨郵件網(wǎng)站:mail.akpartiistanbul[.]com:35000/webmail/login2/loginpage,當(dāng)然在此過程中,密碼信息將被攻擊者竊取。
基于以上研究發(fā)現(xiàn)的新的攻擊架構(gòu),我們可以進(jìn)一步拓寬鉆石模型分析面:
5 分析總結(jié)
自從我們6月研究DNC被攻擊事件以來,情節(jié)發(fā)展跌宕起伏,在資料外泄或戰(zhàn)略性泄露事件之間存在多種關(guān)聯(lián),我們確信對該事件歸因調(diào)查過程的正確性。但同時也存在諸多疑問:
還有其它州立選舉委員會被攻擊嗎?
據(jù)我們目前的掌握攻擊樣本來看,只有亞利桑那州和伊利諾伊州。
從攻擊中使用的開源工具能判斷黑客是個菜鳥還是老手嗎?
黑客故意使用開源工具可能是為了避免歸因調(diào)查。
攻擊者只是為了竊取選民信息還是執(zhí)行初始階段攻擊?
在沒有確切的歸因證據(jù)之前,還不清楚攻擊者的后續(xù)動機(jī)和意圖。
攻擊者對土耳其AKP黨的魚叉式攻擊與近期維基解密泄露大量AKP郵件事件有關(guān)嗎?
目前來說,沒有證據(jù)表明。
對美國州立選舉委員會和土耳其AKP黨的攻擊事件,不管是獲取情報、影響輿論、搬弄是非、引起猜疑或影響政治意識形態(tài)等,幕后主使的最終目的可能是操縱其它國家的民主進(jìn)程。雖然不清楚俄羅斯在整個攻擊事件中的參與程度,但可以肯定的是黑客使用了俄羅斯相關(guān)的網(wǎng)絡(luò)架構(gòu)進(jìn)行攻擊。
*參考來源:threatconnect, FB小編clouds編譯,轉(zhuǎn)載請注明來自FreeBuf(FreeBuf.COM)