俄罗斯的马克耶夫国家火箭中心受到攻击

关键词：黑客攻击俄罗斯火箭中心网络安全

据外媒2021年9月26日报道，一场网络间谍活动，利用最近披露的零日漏洞袭击了多家俄罗斯机构和组织，包括俄罗斯的“马克耶夫”国家火箭中心。

黑客攻击俄罗斯多家机构和组织

近期，Malwarebytes的安全研究人员发现了针对俄罗斯多家机构和组织的多次攻击，其中包括“马克耶夫”国家火箭中心，一家为俄罗斯弹道导弹和太空火箭计划开发液体和固体燃料的公司。

此次网络间谍活动背后的黑客，精心策划了鱼叉式网络钓鱼攻击。它们使用了武器化的Office文档，伪装成由公司的人力资源部门发送，旨在利用CVE-2021-40444InternetExplorer漏洞。

最近，微软警告称，包括勒索软件运营商在内的多个黑客组织，正在利用最近修补的WindowsMSHTML远程代码执行安全漏洞(CVE-2021-40444)进行攻击。微软表示，黑客于8月18日开始瞄上了这个问题。在微软分享针对此漏洞的缓解措施之前，黑客使用了武器化的Office文档。2021年8月观察到，有的攻击活动可能利用了文件共享网站上的文档，制作了冒充合同和法律协议的电子邮件。

目前，Malwarebytes观察到，此次活动中，黑客利用了相同MSHTML漏洞，针对俄罗斯实体进行了多次攻击。

Malwarebytes称：“这封电子邮件声称来自该机构的人力资源(HR)部门。它说人力资源部门正在检查员工提供的个人数据。该电子邮件要求员工填写表格并发送给HR，或回复邮件。当接收者想要填写表格时，他们必须启用编辑。而这个动作足以触发漏洞利用。”

“攻击依赖于MSHTML在目标打开恶意Office文档时加载特制的ActiveX控件。加载的ActiveX控件然后可以运行任意代码以使用更多恶意软件感染系统。”

（图片来源：securityaffairs）

此次袭击中使用的另一份诱饵文件，伪称来自莫斯科内政部。该文件的名称为“非法活动通知”，其内容要求收件人填写表格并在7天内将其返回内政部、或回复此电子邮件。

Rostelecom-Solar和俄罗斯的国家计算机事件协调中心(NKTsKI)在5月发布的一份联合报告显示，2020年曾发现外国黑客从俄罗斯联邦机构窃取了信息。攻击者利用鱼叉式网络钓鱼攻击、利用Web应用程序中的漏洞、入侵承包商的基础设施，来渗透俄罗斯联邦行政当局的基础设施。

今年年初，俄罗斯情报机构FSB发布了安全警报，警告俄罗斯机构和组织，美国可能会针对SolarWinds（“太阳风”）供应链攻击发起潜在的网络攻击。

俄罗斯政府一直否认与SolarWinds攻击有任何牵连。俄罗斯国家计算机事件协调中心发布了一份安全公告，警告俄罗斯企业在网络攻击方面有迫在眉睫的风险，这些风险来自美国政府机构把SolarWinds攻击归因于莫斯科的报复。

外媒等的相关报道

俄罗斯马克耶夫国家火箭中心

马克耶夫国家火箭中心（AcademicianV.P.MakeyevStateRocketCentre），隶属俄罗斯联合火箭航天集团，以V.P.Makeyev院士的名字命名，是俄罗斯最大的火箭和空间技术研发中心之一。在苏联时期它被称为385设计局和机械制造设计局，是俄罗斯海军潜射战略弹道武器系统的主要研制机构，位于车里雅宾斯克。从2000年开始，该机构由政府性质改造为开放式合资公司，主要业务是研制潜射导弹、拆除退役的导弹设施，研制小型商业火箭、卫星平台、深空探测火箭、轨道太空船，其他还包括风电设备、石油炼制设备、水净化设备。该公司发展过程中也整合了多家国有企业，形成了一个小的联合体。整合目的主要是为研制生产海基战略导弹。整合后，政府仍持有100%的控股权。该公司设计并部署了海军三代导弹系统、8种基础导弹和16种升级版本，构成了苏联和俄罗斯战略核力量的基础。

外媒称，该公司是根据1947年12月16日的政府决定创建的，它拥有发达的工业和实验室实验基地，可以对火箭和空间技术样品以及用于国民经济目的的产品样品进行全面测试，在国防工业综合体中占有特殊地位，在其历史上创造了杰出的火箭技术模型。该公司1955年开始研制潜射弹道导弹，20世纪60年代以后研制并交付苏联海军三代潜射弹道导弹，典型产品有轻舟（SS-N-23）和鲟鱼（SS-N-20）弹道导弹；苏联解体后仍从事潜射弹道导弹的研制，并在潜射弹道导弹的基础上研制了从潜艇发射的静海号轻型运载火箭。该火箭1998年曾为德国发射小型卫星。

2002年，该公司采用了具有更高安全性的战斗模块的R-29RMU1“Stantsiya”导弹，并为此在2003年获得了俄罗斯联邦国家奖。2006年，R-29RKU2“Station2”SLBM被采用。2007年，搭载R-29RMU2Sineva导弹的导弹系统在海军服役。Sineva导弹提供战略威慑，成为未来几十年国家军事战略的重要组成部分，是今天俄罗斯海军战略核力量的基础。2006年，该级火箭成功从北极发射，2008年演示射程超过11,000公里。2014年，搭载R-29RMU2.1火箭“Liner”的海军导弹系统D-9RMU2.1投入使用。

该公司活动的一个重要组成部分是火箭和太空项目，它与世界领先的空间机构合作，参与国内和国际项目，开发有前途的新技术。自2001年以来，该公司发射了实验装置，用于在实际空间飞行条件下测试行星际飞行、着陆到其他行星和返回地球任务的新型飞行器。根据航空航天公司“空中启动”的命令，该公司正在开发一种未来的航空火箭和空间综合体，该综合体允许在不使用昂贵的地面发射系统的情况下将卫星发射到不同的轨道上，几乎可以从空域的任何地方发射。

为了确保俄罗斯联邦的国防能力，保护和开发火箭和航天工业的科学和生产潜力，该公司的优先方向是：战略导弹复合体的开发、生产、现代化、运作和处置；民用航天器及其运载工具的开发和生产；包括借助于由潜艇系列弹道导弹改装而成的运载火箭，为国内外用户发射航天器提供服务。

俄FSB称外国黑客入侵了俄罗斯联邦机构

2021年5月，外媒报道称，俄罗斯情报机构FSB的国家计算机事件协调中心(NKTsKI)透露，外国黑客入侵了俄罗斯联邦机构的网络。

Rostelecom-Solar和俄罗斯的国家计算机事件协调中心(NKTsKI)在5月发布一份联合报告称，2020年曾发现外国黑客从俄罗斯联邦机构窃取了信息。攻击者利用鱼叉式网络钓鱼攻击、利用Web应用程序中的漏洞、入侵承包商的基础设施，来渗透俄罗斯联邦行政当局的基础设施。

专家认为，入侵背后的黑手，是外国雇佣的网络雇佣军。“根据黑客的水平（使用的技术和机制、他们所做工作的速度和质量），他们有可能是追求外国利益的网络雇佣军。此类黑客可能会在基础设施内停留很长时间，而不会泄露自己的信息。”报告称，“其主要目标是完全破坏IT基础设施并窃取机密信息，包括来自封闭部分的文件和主要联邦行政当局的邮件通信。”

一旦入侵了目标机构的网络，黑客就会从内部系统中收集敏感信息,访问不同级别的邮件服务器、电子文档管理服务器、文件服务器和工作站，以窃取感兴趣的数据。

黑客使用了两个以前未被发现的恶意软件，分别称为Mail-O和Webdav-O。

报告称，黑客专门针对联邦机构内的系统，并设计了他们的恶意软件来绕过通常由政府办公室安装的最流行的俄罗斯防病毒软件卡巴斯基。“网络犯罪分子开发的恶意软件使用俄罗斯公司Yandex和Mail.ruGroup的云存储下载收集的数据。黑客将他们的网络活动伪装成合法实用程序YandexDisk和Disk-O。此类恶意软件以前从未在任何地方遇到过；”

FSB得出的结论是，这些是针对多种因素的前所未有的攻击，包括：

威胁程度；

根据SolarJSOC使用的模型，威胁等级为5级；

彻底破坏基础设施并窃取政府机密数据；

涉及以前未检测到的恶意软件；

使用多种攻击媒介；

使用俄罗斯云提供商“Yandex”和“Mail.ruGroup”等。

FSB没有将这次袭击归咎于任何外国。

背景补充—太阳风事件

2020年末，“太阳风”（SolarWinds）黑客事件进入全球视野。黑客利用美国“太阳风”公司的“猎户网络”（OrionNetwork）管理平台，成功入侵了美国财政部、国土安全部等多家美国联邦政府机构网站。受影响的软件被广泛部署在电力、石油、天然气以及制造业等多个领域以及多家全球500强企业。2021年1月，美国情报部门发表声明称，俄罗斯很可能是“太阳风”黑客事件的幕后黑手，9个美国政府机构和大约100家美国公司网络系统遭受攻击，其中包括美国国务院、司法部、国家航空航天局等。

（来源：securityaffairs官网等。本文参考内容均来源于网络，仅供读者了解和掌握相关情况参考，不用于任何商业用途。侵删）

E N D