俄羅斯黑客組織APT28在英國注冊企業(yè)IDC服務(wù)商Crookservers處消費超過6000美元，曾租其服務(wù)器，并因此留下大量線索。

APT28曾利用相關(guān)計算機設(shè)備攻擊德國議會、劫持尼日利亞政府網(wǎng)站流量，并實施針對蘋果設(shè)備的攻擊活動。

APT28購買英國服務(wù)器

Crookservers公司曾在發(fā)現(xiàn)相關(guān)惡意活動之后采取行動以驅(qū)逐APT28黑客組織。該公司提供的技術(shù)與財務(wù)記錄顯示，APT28獲得了大量資金并曾使用在線金融服務(wù)，其中一部分操作在此后的反洗錢行動中遭到封鎖。

俄羅斯黑客組織APT28頻繁利用“熱點新聞事件”發(fā)起DDE攻擊-E安全

APT28——又名Sofacy、Fancy Bear 、Iron Twilight、Tsar Team、Pawn Storm、Strontium、Sednit——與俄羅斯情報部門有所關(guān)聯(lián)。

網(wǎng)絡(luò)安全企業(yè)Crowdstrike公司此前曾發(fā)現(xiàn)“APT28的一系列惡意舉動，該組織曾經(jīng)在2016年針對美國民主黨全國委員會(簡稱DNC)的攻擊活動當中發(fā)揮關(guān)鍵性作用，這一事件中黑客使用的攻擊代碼包含某個曾歸屬于Crookservers公司的一臺專有服務(wù)器的IP地址。

根據(jù)網(wǎng)站歷史注冊記錄，早在2012年，Crookservers公司就公布了其位于奧爾德姆的辦公地點——身處一條不起眼的公路旁邊。在不久之后，其經(jīng)營地點轉(zhuǎn)向巴基斯坦。BBC方面并沒有發(fā)現(xiàn)該公司或其員工與這一經(jīng)營地址相關(guān)的任何證據(jù)，Crookservers公司與這里使用同一地址的某家報刊經(jīng)銷商也似乎沒有任何交集。

Crookservers公司是一家所謂服務(wù)器經(jīng)銷商，且僅提供在線業(yè)務(wù)。其負責轉(zhuǎn)租的計算機實際上歸另一家在法國及加拿大經(jīng)營的公司所有。

俄羅斯黑客組織APT28曾立足英國開展惡意活動-E安全

英國廣播公司BBC將Crookservers背后的實際運營者確定為Usman Ashraf(烏斯曼·阿什拉夫)。根據(jù)社交媒體及其它在線帳戶的信息來看，此人在2010年至2014年居住在奧爾德姆地區(qū)，而他如今似乎身在巴基斯坦。Ashraf回應(yīng)稱自己并不清楚客戶當中存在黑客組織，畢竟太關(guān)注客戶如何使用服務(wù)器這又是一個問題。2015年，他收到了黑客方面的警報，并迅速采取行動以關(guān)閉APT28所持有的帳戶。他還建立起一項“核查”流程，對全部被懷疑遭到濫用的帳戶中的60%到70%進行了剔除，但“濫用情況并沒有帶來任何安全問題。”

使用虛假身份掩蓋行蹤

過去三年以來，APT28從Crookservers手中租用計算機，并在過程當中使用虛假身份、虛擬專用網(wǎng)絡(luò)(簡稱VPN)以及難以追蹤的支付系統(tǒng)。

Secureworks公司的Mike McLellan(邁克·邁克萊倫)指出，黑客們采用的交易工具相當粗劣，黑客們顯示出糟糕的“交易能力”。

在一條通信內(nèi)容中，化名為Roman Brecesku的黑客抱怨稱他的服務(wù)器已經(jīng)遭到“破解”。一名使用假名字的APT28黑客抱怨他的服務(wù)器遭到入侵。Crookservers 公司此前與德國議會遭遇攻擊有關(guān)。

根據(jù)BBC方面的記錄，這臺被用于控制惡意軟件的服務(wù)器是由一位化名為Nikolay Mladenov的黑客從Crookservers公司處租下，并使用比特幣與完美貨幣進行支付。這名黑客到2015年6月之前一直持續(xù)使用這臺服務(wù)器，直到攻擊活動被媒體曝光后這臺服務(wù)器遭到Crookservers公司的清理。2014年范堡羅航空展上被用于定位某些與會者的惡意軟件當中，包含該服務(wù)器的IP地址。被用于攻擊英國電視臺的APT28惡意軟件中同樣包含此條IP地址，不過該服務(wù)器在這些攻擊發(fā)生時已經(jīng)不再由APT28所實際使用。

Mladenov所使用的某個財務(wù)帳戶亦被另一位化名為Klaus Werner的黑客掌握，旨在通過Crookservers啟用更多計算機設(shè)備。根據(jù)Secureworks方面的分析，Werner所租用的其中一臺服務(wù)器被用于接收來自合法尼日利亞政府網(wǎng)站的“重新定向”流量。

仍有8臺服務(wù)器用途不明

APT28黑客組織成員Mladenov與Werner(二者還曾分別使用Bruno Labrousse與Roman Brecesku等化名)所使用的財務(wù)帳戶也曾被用于從Crookservers處租用其它服務(wù)器。

俄羅斯黑客組織APT28曾立足英國開展惡意活動-E安全

其中一臺服務(wù)器與郵箱地址似乎與專門針對iOS設(shè)備的“高級間諜”惡意軟件有所關(guān)聯(lián)。該惡意軟件能夠開啟錄音功能并竊取短信信息。另一個被用于租用服務(wù)器的郵箱地址則與保加利亞國家安全局遭遇攻擊事件有關(guān)。除此之外，另有8臺被綁定至同一財務(wù)信息的專用服務(wù)器尚不明確具體用途——這可能意味著APT28還有其它未被公開披露的攻擊活動存在。

APT28通過洗錢平臺進行交易

APT28先后通過匿名支付服務(wù)向Crookservers支付了至少4534英鎊(約合人民幣39870元)費用。具體支付手段包括比特幣、自由儲備銀行與完美貨幣銀行。自由儲備銀行在經(jīng)過國際洗錢調(diào)查后遭到關(guān)閉。

英國專門負責研究與比特幣相關(guān)的‘非法活動’的Elliptic公司的Tom Robinson(湯姆·羅賓遜)對APT28組織的比特幣支付活動開展調(diào)查，并追蹤到了APT28支付活動中的一些蛛絲馬跡。

Robinson及其團隊表示已經(jīng)確定了這些資金所對應(yīng)的錢包，其中的比特幣總價值約10萬美元，并將錢包中的一部分資金追溯至數(shù)字貨幣交易平臺BTC-e。今年7月，BTC-e被英國當局關(guān)閉，理由是俄羅斯方面指控該平臺創(chuàng)始人涉嫌洗錢。

盡管BTC-e廣受俄羅斯網(wǎng)絡(luò)犯罪分子歡迎，但BBC方面并沒有發(fā)現(xiàn)其對包括APT28在內(nèi)的客戶管理證據(jù)。

財務(wù)與技術(shù)記錄與此前同APT28相關(guān)的幾輪攻擊活動聯(lián)系起來。更進一步的財務(wù)追蹤很可能會帶來其它結(jié)論。英國IDC服務(wù)商Crookservers公司已于今年10月10日關(guān)閉。APT28組織的活動仍在繼續(xù)。