美国安全公司火眼经调查确认，一个被称为APT28的俄罗斯国家支持的黑客组织，在过去十年中针对北约、东欧及高加索地区的政府，系统的开展网络间谍活动。 早在2012年，火眼就曾报告过APT1或称PLA61398，指证中国军方进入美国机构盗取知识产权信息和商业机密。火眼把APT28与2007年检测到 的一起攻击联系起来，该起攻击的目标是格鲁吉亚、波兰、匈牙利、土耳其和波罗的海各国，以及欧洲安全合作组织(OSCE)，当然还有攻击者的最爱――北 约。该起攻击的部署与APT1类似，包括发送鱼叉式攻击电子邮件以植入漏洞利用程序，这些特殊编写的恶意软件最终的目标是悄悄地潜入目标计算机和网络中。 与之前对APT1的分析一样，火眼基于程序执行编译时间（0400到1400世界标准时间，为俄罗斯官方时间），程序中的设置语言为俄语，以及恶意软件的某 些特征等信息，推论出攻击源为俄罗斯。调查认为，像美国、中国和俄罗斯这样的超级大国，把钱投入到程序员和复杂的高科技开发中，但网络间谍行动仍然会被识 别出来。没有人能够真正的隐藏自己。   火眼指证APT28是俄罗斯政府行为的判断依据如下：

使用的恶意软件

工具不断改进，并长期使用

# 使用具有弹性及持久性平台的恶意软件

# 持续使用不断改进的恶意软件样本

# 恶意软件基于特定的受害者环境设计，并意图阻止逆向工程

# 在正规的代码开发环境下开发

各种数据盗窃技术

# 使用HTTP协议的后门

# 后门使用受害者的邮件服务器

# 本地拷贝以对付物理隔离

攻击目标

格鲁吉亚和高加索地区

# 内务部 # 国防部 # 撰写高加索新闻的记者 # 国际新闻机构高加索中心

东欧政府和军事部门 # 波兰政府 # 匈牙利政府 # 东欧外交部 # 波罗的海军演指挥部

安全相关组织 # 北约 # 欧洲安全合作组织 # 国防武官组织 # 国防会议和展览

俄罗斯相关

使用俄语  

# 在六年的时间内，持续地在恶意软件中使用俄语

# 攻击撰写高加索问题新闻记者的APT28，使用的是英语和俄语

恶意软件的编译时间与莫斯科时区一致

# 在2007到2014年中，收集到的各APT28样本程序的编译时间始终未变

# 编译时间位于世界统一标准时间+4时区，这个时区包括俄罗斯的重要城市，如莫斯科和圣彼得堡

火眼把这起网络间谍活动称为“幻象”行动，意指俄罗斯的高级网络攻击行为已不再像以前那样戏剧化，近两年的攻击活动主要针对工业领域，尤其是能源行业。 当然，所有的这些都只是推论。火眼威胁情报部的副总Dan McWhorter表示，尽管俄罗斯政府和军方可能会支持发动网络攻击，但目前还没有确凿的证据表明他们也支持了网络间谍活动，虽然火眼的调查报告显示，可能性非常之大。 最新的证据显示，俄罗斯正在加强网络空间方面的活动，并表现出更具侵略性的网络攻击迹象。有一个例子就是去年夏天，俄罗斯被指责针对美国金融机构发起的一系列大规模网络攻击。虽然之后美国撤回了指责，但俄罗斯出于政治目的而发动网络战争的可能永远无法消除。

－－－ 要闻、干货、原创、专业 关注“信息安全知识” 我们是安全牛！