> 资讯 >

正文 >在乌克兰,一名可能吹嘘俄罗斯黑客口哨的恶意软件专家

在乌克兰,一名可能吹嘘俄罗斯黑客口哨的恶意软件专家

   2017-08-17 09:56   作者:   编辑:郭晴天
字号:T T



KIEV,乌克兰 - 黑客,只有他的在线别名“Profexer”才知道,保持低调。他在一间公寓里单独写了电脑代码,并在互联网上匿名的黑网上出售了他的手机。去年冬天,他突然变黑了。

Profexer的帖子,只有一小撮黑客和网络罪犯才能访问,寻找软件提示,在1月份眨眼 - 就在美国情报机构公开确定他在俄罗斯在美国黑客中使用的一种工具的公开程序之后几天。美国情报机构已经确定,俄罗斯黑客是在民主党全国委员会的电子攻坚背后。

但是,虽然Profexer的在线角色消失了,但一位血肉旺盛的人已经出现了,一名可怕的男子,乌克兰警方今年初在自己身上转过身去,现在已经成为FBI的见证人

注册上午简报通讯 

他说:“我不知道会发生什么事情,”他在警方之前写道,他最后一封邮件发送在限制访问网站上。“这不会愉快 但我还活着。

这是从干旱的技术细节出现的一个活着的证人的第一个已知的例子,迄今已经形成了对选举黑客的调查和激烈的辩论。乌克兰警方拒绝泄露该名男子的名字或其他细节,除了他居住在乌克兰,并没有被逮捕。

没有证据表明Profexer至少在明智地为俄罗斯情报部门工作,但他的恶意软件显然是这样做的。

华盛顿令人信服的黑客行动是由莫斯科策划的,将从乌克兰的一个来源获得恶意软件 - 也许是克里姆林宫最痛苦的敌人 - 对西方情报机构说的是他们的秘密网络战对俄罗斯安全部队的手法美国和欧洲。

它并不表示一个紧凑的政府雇员团队在莫斯科或圣彼得堡的办公时间内编写自己的全部代码并进行攻击,而是一个更加宽松的企业,借助人才和黑客工具,无论他们找到什么。

从乌克兰出现的还有一个更清晰的图景,即美国认为是俄罗斯政府的黑客组织,被称为高级持久威胁28或花式熊。美国情报机构认为由俄罗斯军事情报部门经营的这个组织被指责,以及被称为“舒适熊”的第二个俄罗斯军装,是DNC入侵。

而不是训练,武装和部署黑客来执行像另外一个军事单位这样的具体任务,而是花式熊和双胞胎的“熊熊”更多地运作组织和融资中心,许多像编码这样的艰苦工作被外包给私人和经常犯罪的供应商。

俄罗斯的测试场

在十多年来,在西方和前苏联领土 - 北约组织,电网,研究组织,批评俄罗斯和政党的记者等多个目标下追踪涉嫌俄罗斯方面的网络攻击,列举了几个安全服务世界上只有少数几个人直接参与进行这种攻击或提供所使用的网络武器。

这个缺乏可靠的证人给总统特朗普等人留下了很大的空间,他们是否怀疑俄罗斯是否真的参与了DNC的攻势。

一个关于网络战争的书的作者杰弗里·卡尔(Jeffrey Carr)说:“目前还没有一个技术证据不可逆转的技术证据,将DNC攻击中使用的恶意软件连接到GRU,FSB或俄罗斯政府的任何机构。 。GRU是俄罗斯的军事情报机构,也是FSB的联邦安全部门。

然而,美国情报机构明确指出俄罗斯手指。

网路安全研究人员和西方执法人员正在寻求脱离这个雾迹的道路,转向乌克兰,乌克兰是俄罗斯多年来一直在其他地方出现的一系列政治化行动的实验室的国家,包括在美国的选举黑客。

在几种情况下,某些类型的计算机入侵,如使用恶意软件敲除关键基础设施或窃取电子邮件,稍后发布以倾斜舆论,首先发生在乌克兰。只有后来才是西欧和美国使用的技术。

所以毫不奇怪,那些在乌克兰学习网络战的人现在正在调查DNC入侵和相关黑客的调查线索,包括发现一个难得的证人。

当国土安全部12月29日发布的俄罗斯黑客技术证据表明,安全专家最初不屑一顾,似乎不指向俄罗斯,而是乌克兰。

在这份初步报告中,该部门只发布了一个恶意软件样本,表明这是俄罗斯国家赞助的黑客攻击指标,但外界的专家表示,俄罗斯选举黑客中使用了各种恶意程序。

该示例指向一个恶意软件程序,称为PAS网络外壳,这是一种黑客工具,在俄罗斯黑社区论坛上发布,并被整个前苏联的网络犯罪分子使用。作者,Profexer是黑客中受人尊敬的技术专家,在基辅表示敬意和尊重。

他已经可以从一个只要求捐赠的网站免费下载,范围从3美元到250美元不等。真正的钱是通过销售定制版本,并指导他的黑客客户端有效使用的。目前还不清楚他与俄罗斯的黑客团队进行了多大的互动。

在国土安全部确定了他的创作之后,他迅速关闭了他的网站,并在一个封闭的论坛上发布了一个名为“漏洞利用”的黑客,“我对个人不太在意我”。

很快就出现了一丝恐慌,他发表了一个说明,六天过去了,他还活着。

另外一个昵称是Zloi Santa或Bad Santa的黑客,建议美国人肯定会找到他,并将他逮捕,也许在机场中途停留。

Profexer回答说:“这可能是或者不可能只取决于政治。“如果美国的执法机关想把我拒之门外,他们不会在一些国家的机场等我。我们国家之间的关系非常紧张,我将在第一个要求下在我的厨房被捕。

事实上,乌克兰网络警察局长Serhiy Demediuk在接受采访时表示,Profexer自己去了当局。随着合作的开始,Profexer在黑客论坛上变黑了。他最近在1月9日上线.Dedediuk先生说,他已经向联邦调查局提供了证人,联邦调查局已经在基辅发贴了一名全职网络安全专家,是驻美国大使馆的四名局长之一。联邦调查局拒绝发表评论。

乌克兰警方说,Profexer并没有因为活动落在合法的灰色地带而被捕,而是作为一名作者而不是恶意软件的使用者。但他确实知道用户,至少通过他们的在线句柄。德米迪克先生说:“他告诉我们,他并没有创造出它的用途。”

与安全部门密切联系的乌克兰议会议员安东·格拉申科(Anton Gerashchenko)表示,互动是在线或通过电话进行的,乌克兰程序员已经支付了编写定制的恶意软件,而不了解其目的,只有稍后才能学习俄语黑客攻击。

格拉舍琴科先生描述的作者只是广泛的笔画,以保护他的安全,作为一个来自省乌克兰城市的年轻人。他证实,提交人转交给警方,并在DNC调查中作为证人进行合作。格拉申科先生说:“他是一个自由职业者,现在他是一个有价值的证人。

目前尚不清楚程序员创建的具体恶意软件是否曾经用于攻击DNC服务器,但是在美国的其他俄罗斯黑客攻击中也被确定。

熊的巢穴

虽然不知道Profexer告诉乌克兰调查员和联邦调查局有关俄罗斯的黑客努力,但从乌克兰发出的证据再次提供了一些关于花式熊或高级持久威胁28的最清晰的图片,这是由GRU经营的

花式熊已被确定为主体,而不是由谁来做。其中一个重要特征就是窃取电子邮件,并与俄罗斯国家新闻媒体密切合作。

然而,跟踪它的巢穴,迄今为止证明是不可能的,尤其是因为许多专家认为没有这样一个地方存在。

即使对于像微软这样一个复杂的科技公司来说,挑选数字谜机中的人也证明是不可能的。为了减少对客户操作系统的损害,该公司去年向美国弗吉尼亚州东区的地方法院提出了对花式熊的投诉,但发现自己正在投下阴影。

正如微软律师向法庭报告的那样,“因为被告使用虚假的联络信息,匿名比特币和预付信用卡和虚假身份,以及隐藏其身份的复杂技术手段,在设立和使用相关网域时,被告的真实身份仍然存在未知。”

然而,乌克兰官员尽管警惕颠覆特朗普行政当局,却一直在悄悄与美国调查人员进行合作,试图找出谁是所有的伪装者。

这份信息共享的内容是乌克兰中央选举委员会的服务器硬盘副本,这是2014年5月的总统大选期间的目标。联邦调查局早些时候已经获得了证据,俄罗斯联邦的选举黑客以前没有报告。

跟踪同样的恶意代码,这次是一个名为Sofacy的程序,在2014年的乌克兰袭击中,后来在美国的DNC入侵中被看到。

有趣的是,在乌克兰选举期间的网络攻击中,俄罗斯国家电视台第一频道似乎是一个笨蛋,无意中涉及到莫斯科的政府当局。

黑客已经加载到乌克兰的选举委员会服务器上,模仿页面显示结果。这个虚幻的页面显示了一个令人震惊的结果:选举赢得了一个激烈的反俄罗斯,超级明星的候选人,Dmytro雅罗斯。雅罗斯先生实际上获得的投票不到百分之一。

这个错误的结果将会引发俄罗斯的宣传叙事,乌克兰今天由硬正义甚至法西斯统治者统治。

假设图像编程显示在民意调查结束时,晚上8点,但一家乌克兰的网络安全公司InfoSafe在几分钟前就发现了它,并拔掉了服务器。

俄罗斯的国家电视台报导说,雅罗斯先生曾经以选举委员会网站的方式赢得了广播这个假图,尽管这个形象从来没有出现过。黑客已经提前向渠道1提供了相同的图像,但是记者没有检查到这个黑客真的有效。

网络安全公司InfoSafe的首席执行官维克多•佐拉(Victor Zhora)表示:“对我而言,这是黑客与俄罗斯官员之间的明显联系。

研究黑客的乌克兰政府研究员尼古拉·科瓦尔(Nikolai Koval)在2015年的“透视视讯网”(Books)中发表了他的研究结果,并在服务器上发现了Sofacy恶意软件。

硬盘驱动器的镜像去了联邦调查局,当联网安全公司CrowdStrike 在两年后在DNC服务器上识别出相同的恶意软件时,该联邦调查局有这个法医样本。

“这是第一次罢工,”佐拉先生说,早些时候乌克兰选举电脑的攻击。乌克兰的网络警察还向联邦调查局提供了服务器硬盘的副本,显示了在选举中针对民主党的一些网络钓鱼电子邮件的可能起源。

在2016年,在乌克兰选举之后的两年,使用一些相同技术的黑客掠夺了世界反兴奋剂机构或世界反兴奋剂机构的电子邮件系统,该组织指责俄罗斯运动员系统使用药物。

这次袭击也似乎与俄罗斯国家电视台紧密协调,俄罗斯国家电视台在公开发布几分钟之后就开始编写有关世界反兴奋剂机构的黑客电子邮件的准备好的报告。电子邮件出现在一个网站上,宣布世界反兴奋剂机构被一个称为“花式熊”黑客团队的团体遭到黑客攻击。

这是花式熊打破了盖帽的第一次。

然而,花式熊仍然非常难以捉摸。为了把调查人员的气味扔出去,该集团已经经历了各种各样的修改,重新储存了恶意软件库,有时候隐藏着不同的幌子。Cyber​​experts认为,其变化的自我之一是Cyber​​ Berkut,据估计,该国的俄罗斯前俄罗斯总统维克托·亚努科维奇的支持者在乌克兰成立了一家,该公司在2014年被推翻。

休假几个月后,Cyber​​ Berkut在今年夏天跳上舞台,就像华盛顿的多项调查一样,与莫斯科勾结的特朗普竞选是否变为高档。Cyber​​ Berkut发布了被盗的电子邮件,它和俄罗斯国家新闻媒体所说的暴露了真实的故事:希拉里·克林顿与乌克兰勾结。

更正:2017年8月16日

本文已修改,以反映以下更正:本文的较早版本误导了在美国的俄罗斯黑客攻击工作中使用了一种称为PAS的恶意软件,其中包括民主党全国委员会的电子攻击。这些机构将恶意软件识别为俄罗斯黑客攻击的工具,但没有指出使用哪种攻击。