这是外媒对昨天美国NSA、FBI、CISA发布的俄罗斯军事情报机构格鲁乌的网络攻击报告的分析。文中观点不代表本号立场。
俄罗斯军事情报机构GRU的29155部队——一个负责特别行动的小组——已经扩展到网络的黑客行动,目标遍布世界各地。
长期以来,俄罗斯军事情报机构格鲁乌(GRU)一直被认为是世界上从事特工任务最具侵略性的机构之一,黑客们以与暴力特种部队作战人员在同一旗帜下工作而自豪。但该机构内部的一个新组织表明,GRU可能比以往任何时候都更紧密地将物理战术和数字战术结合在一起:一个黑客团队,它来自于负责俄罗斯最著名的物理战术的同一部门,包括在西方国家境内执行特别任务。周四(9月5日),包括美国、英国、乌克兰、澳大利亚、加拿大和五个欧洲国家在内的西方政府机构透露,一个名为暴雪“”(Cadet Blizzard)、“出血熊”(Bleeding Bear)或“灰阶”(Greyscale)的黑客组织,已经针对乌克兰、美国以及欧洲、亚洲和拉丁美洲的其他国家发起了多次黑客行动,这实际上是GRU 29155部队的一部分。这个间谍机构的分支以其物理破坏和出于政治动机的谋杀行为而闻名。例如,该部门过去曾在英国涉嫌用诺维乔克(Novichok)神经毒剂毒杀格鲁乌叛逃者谢尔盖•斯克里帕尔(Sergei Skripal),导致两名旁观者死亡,还曾在保加利亚策划了另一起暗杀阴谋,在捷克共和国引爆了一个军火库,以及在黑山未遂的政变。现在,这个著名的GRU部门似乎已经发展出了自己活跃的网络战行动团队——不同于其他GRU部门,如26165部队(通常被称为Fancy Bear或APT28)和74455部队(网络攻击小组,被称为沙虫)。自2022年以来,GRU 29155部队新近招募的黑客在网络行动中占据了主导地位,其中包括在俄罗斯2022年2月入侵前夕攻击了至少20多个乌克兰组织的名为“耳语门”(Whispergate)的数据破坏恶意软件,以及破坏乌克兰政府网站,并以“自由平民”(Free Civilian)的假“黑客主义者”身份窃取和泄露这些组织的信息。据记者采访的多名西方情报机构官员之一透露,“Cadet Blizzard”被认定为GRU 29155部队的一部分,这表明该机构在混合战争中进一步模糊了物理战术和网络战术之间的界限。这些官员要求匿名,因为他们没有被授权使用自己的名字发言。“特种部队通常不会设立一个反映其实际行动的网络部队。”一名官员表示,“这是一个非常实际的行动单位,任务是GRU参与的更可怕的行动。我感到非常惊讶的是,这个需要出手行动的部门现在却在键盘后面处理网络事务。”美国网络安全和基础设施安全局(US Cybersecurity and Infrastructure Security Agency)除了发布联合公开声明,披露了Cadet Blizzard与GRU下属的29155部队的联系之外,还发布了一份咨询报告,详细介绍了该组织的黑客攻击方法,以及发现和缓解它们的方法。美国司法部(Department of Justice)对该组织的5名成员进行了点名起诉,这5名成员都是在缺席的情况下被起诉的,此外还有6名成员在今年夏天早些时候被起诉,但没有公开提及29155部队。美国司法部助理司法部长马修·奥尔森(Matthew G. Olsen)在一份声明中写道:“格鲁乌的‘耳语门’行动,包括针对乌克兰的关键基础设施和没有军事价值的政府系统,.... 司法部将利用一切可用的工具来破坏这种恶意的网络活动,并追究那些不分青红皂白、破坏性地攻击美国及其盟友的肇事者的责任。”美国国务院还在其“正义奖励”网站上悬赏1000万美元,征集有关该组织成员身份或位置的信息,并附上他们的照片。除了之前已知的针对乌克兰的行动,西方情报机构官员告诉记者,该组织还针对北美、东欧和中欧、中亚和拉丁美洲的各种组织,如交通和医疗部门、政府机构,以及包括“能源”基础设施在内的“关键基础设施”,尽管官员拒绝提供更多具体信息。官员们告诉记者,在某些情况下,29155黑客似乎在准备进行类似于“耳语门”的更具破坏性的网络攻击,但没有证实任何此类攻击实际上已经发生。今年6月,美国国务院还透露,发动“耳语门”的同一批GRU黑客还试图在美国关键基础设施目标中寻找可被黑客攻击的漏洞,“尤其是能源、政府和航空航天部门”。美国司法部新近公布的针对29155名黑客的起诉书称,他们对马里兰州一家美国政府机构的网络进行了63次探测——尽管没有透露这些探测是否成功——同时还在至少26个北约国家的目标网络中寻找漏洞。据西方情报机构官员称,在许多情况下,29155黑客的意图似乎是军事间谍活动。例如,他们表示,在一个中欧国家,该组织入侵了一个铁路机构,监视向乌克兰运送物资的火车。他们说,在乌克兰国内,黑客入侵了消费者的监控摄像头,或许是为了获取乌克兰军队或武器的动向。乌克兰官员此前曾警告称,俄罗斯曾使用这种策略来帮助导弹袭击瞄准目标,尽管接受采访的情报官员没有证据表明29155的行动专门用于导弹袭击。西方情报机构的消息来源称,GRU 29155部队的黑客团队早在2020年就成立了,尽管直到最近几年,它主要专注于间谍活动,而不是更具破坏性的网络攻击。考虑到格鲁乌现有的“沙虫”(Sandworm)和“花熊”(Fancy Bear)等团队长期以来一直是世界上网络战争和间谍活动中最活跃、最激进的参与者之一,在格鲁乌内部创建另一个黑客组织似乎是多余的。但西方情报机构官员表示,由于GRU内部的竞争,以及该组织在其行动(甚至是斯克里帕尔暗杀行动)被认为取得成功后的影响力日益增强,29155部队很可能被迫寻求自己的专业黑客团队。“斯克里帕尔中毒事件给了他们很多关注和很多授权。”一名官员表示,“我们估计,这很可能导致他们获得更多的资金和资源,以吸引建立网络部队的能力。在西方世界和俄罗斯,衡量成功的标准不同。”据接受采访的西方情报官员称,29155黑客组织只有10个人左右,他们都是相对年轻的格鲁乌官员。在加入GRU之前,有几个人参加了黑客“夺旗”竞赛,这是黑客会议上常见的竞争性攻防模拟,可能是从这些活动中招募的。但官员们表示,在某些情况下,这个小团队也与俄罗斯的网络犯罪黑客合作,扩大他们的资源,在某些情况下使用商业网络犯罪恶意软件,这使得他们的行动更难被归咎于俄罗斯政府。这些犯罪伙伴关系的一个例子,似乎是与阿明•蒂莫维奇•斯蒂加尔(Amin Timovich Stigal)的合作。今年6月,美国在缺席审判的情况下起诉了这位俄罗斯黑客,罪名是涉嫌协助暴雪(Cadet Blizzard)对乌克兰政府发起的“耳语门”(Whispergate)攻击。美国国务院还悬赏1000万美元缉拿斯蒂格尔。据一位密切跟踪该组织的安全研究人员说,除了依赖犯罪黑客之外,Cadet Blizzard的技术水平的其他迹象似乎也符合情报官员对一个相对年轻的小团队的描述。由于没有得到雇主的授权,这两位研究人员要求不具名。据研究人员称,为了获得对目标网络的初始访问权限,黑客主要利用了少数已知的软件漏洞,而没有使用任何所谓的零日漏洞——以前未知的可攻击缺陷。“那里可能没有太多的实践经验。他们正在遵循一个非常常见的操作程序,”研究人员说。“他们只是找到了能让他们在所选领域获得最大收益的当前漏洞,然后就坚持使用它。”该组织缺乏润色的另一个例子是,一张乌克兰地图被包括在他们的纂改图片中,并被发布到被黑客入侵的乌克兰网站上,其中包括克里米亚半岛,俄罗斯自2014年以来一直声称克里米亚半岛是自己的领土。除了不够精明老练之外,研究人员还指出,在某些情况下,29155黑客通过入侵为乌克兰和其他东欧公司提供服务的IT提供商来破坏他们的目标,使他们能够访问受害者的系统和数据。研究人员说:“他们没有踢开前门,而是试图通过合法的可信渠道,可信的途径融入网络。”这位安全研究人员还指出,与GRU其他部门的黑客不同,Cadet Blizzard似乎被安置在自己独立的大楼里,与GRU的其他部门分开,也许是为了让该团队更难与他们所属的29155部门联系起来。结合该组织的指挥结构和犯罪伙伴关系,这一切都表明了GRU网络战方法的一种新模式。“这次行动的一切都不同了,”研究人员说。“这真的会为我们从俄罗斯联邦看到的未来铺平道路。”
(报告全文已经上载到本号的知识星球)