俄乌网络战的阴影：APT威胁研究的启示

近期俄乌局势

乌克兰动作

俄罗斯外交部发言人在社交媒体中表示、该中将生前致力于披露美国在乌克兰所开展的一系列生物实验室活动、对新冠病毒起源的调查:

而乌克兰方面则指控该中将涉嫌在乌克兰境内大规模使用化学武器、声称其犯有战争罪。

根据俄罗斯电视台报道、爆炸装置被放置在公寓楼入口附近的滑板车上，装置威力约为 200g TNT 当量。凶手应该是通过网络摄像头进行实时监控、并通过信号引爆了爆炸装置。

戏剧性的是、在该中将及其助理被炸死时。正欲出席俄国防部的报告《通报 "对俄罗斯领土即将到来的恐怖袭击"》 的简报会

2024.12.18 日。俄罗斯罗斯托夫州代理州长表示、乌克兰再度使用西方提供的武器攻击俄罗斯本土，对俄罗斯罗斯托夫州 卡缅斯克联合工厂进行导弹袭击，使用 6 枚美制 ATACMS 陆军战术导弹和 4 枚英制暴风影导弹、成功攻击俄罗斯 罗斯托夫州 卡门斯基化工联合体，而该工厂生产导弹燃料、弹药和爆炸物的部件。

2024.12.19 日凌晨 乌克兰 发动大规模无人机和导弹对俄罗斯进行袭击，包括 30 多架无人机和 3 枚导弹，令俄罗斯罗斯托夫州的 新沙赫廷斯克炼油厂 发生火灾。该炼油厂为该地区唯一运营的炼油厂，每年生产高达750 万吨的石油产品，专门生产燃料。据乌克兰军队称，该炼油厂 “ 用于满足俄罗斯军队的战争需求”。

俄罗斯出招

2024.12.19 日、俄罗斯总统普京召开年度总结记者会。

对于俄罗斯早前试射的 “榛树” 新型中程超高音速导弹，被西方质疑成效，普京指 榛树 是根据俄方以往研究基础之上开发，并非落后武器。

普京在年度记者会中公开表示、希望邀请 持怀疑态度的专家来 “进行一场 21 世纪高科技对决”。

在乌克兰首都 基辅 定一个攻击目标，虽然不知道乌克兰是否部署有萨德防空导弹系统、但可以试试他们的防空系统能否拦截榛树导弹。

2024.12.20 日。

俄罗斯国防部表示:

作为对基辅 18 日使用西方武器袭击 罗斯托夫州 大型化工厂 的回应，俄军早上使用远程武器对 乌克兰国安局 1 个指挥所

以及设计并制造 海王星导弹系统 和赤杨多管火箭炮 的 基辅射线设计局，以及多个 M-104 爱国者防空导弹系统的阵地 实施集群打击，全部击中目标。

乌克兰再出招

2024.12.21 日。

乌克兰使用无人机袭击俄罗斯境内 距俄乌冲突前线 1000 多公里的 鞑靼斯坦共和国首府 喀山市，造成数栋建筑受损，当地机场一度关闭。

俄罗斯 “商业在线” 网站 21 日猜测，从喀山无人机袭击的画面可以推断，乌军此次使用的是 安-196 柳特 无人机。

该机型由安东诺夫公司设计，西方向乌克兰提供核心零部件，从而使其能够大规模生产。

据俄罗斯新闻网 21 日报道：

“俄罗斯英雄”、空军少将谢尔盖·利波沃伊称、此次不能排除乌无人机从俄领土起飞的可能性。

他表示：“目前需要查清，它们是从哪里发射的，但不排除从俄罗斯领土发射的可能性。”

而俄无人机专家杰尼斯·费杜季诺夫 认为，对于俄军防空系统来说，“柳特”无人机此次很可能是在极低的高度飞行，也不排除使用了干扰装置和无人机欺骗技术以躲避防空系统的拦截。

从社交媒体流传的视频看、这些自杀式无人机在水平飞行中撞击了高层建筑，最后的飞行高度在 60-100 米，因此俄军 S-400 远程防空系统即使发现也来不及作出反应。

军事行动背后的网络攻击

在 12 月 20 日、“一场高科技对决的同时”、其实网络攻击早就悄然而去。

2024.12.20 日下午五点左右。

乌克兰方面 负责欧洲和欧洲大西洋一体化的副总理、

乌克兰司法部长 奥尔加·斯特凡尼西娜表示:

乌克兰司法部遭受到来自俄罗斯黑客的近期最大规模网络攻击、其国家登记册等关键基础设施服务目前已无法正常运行。

据威胁情报。受损的可能不仅仅是目前仍未恢复的乌克兰司法部系统:

俄罗斯黑客直接访问到了整个乌克兰的国家信息系统（NAIS):

并且直接将相关的关键基础设施业务系统进行了数据擦除。

另外据俄罗斯黑客表示、他们窃取并销毁了超过 10 亿行访问过的数据，其中包括波兰服务器上的备份。

而根据乌克兰司法部长 Stefanishina 的说法、司法部的关键系统及 NAIS 国家信息系统已经暂停运行。

受损且最优先将尝试恢复的数据包括:

• • 公民及公民身份行为的国家登记册。
• • 法人实体和个体企业家的统一国家登记册。
• • 房地产权利及其产权的国家登记册。

并且即使有未被攻击的备份、在尝试恢复时可能也得需要两周以上。

通俗一点说、相当于国家的身份证信息后台数据库、房屋产权及企业法人等数据库信息都被删掉了、并且备份服务器也被攻击了。

不过考虑到乌克兰方面本身就处于战争之中、也在遭受着导弹轰炸等情况、所以这一网络攻击所造成的混乱相较而言反而未见波澜。

不难想象的则是当乌克兰人民从导弹袭击中缓过来之后、才会意识到这样的网络攻击之后留下的是何等的烂摊子。

网络攻击归因

有趣的是、在乌克兰司法部长通报此次攻击之后、立即就有一个俄罗斯黑客行为团体 XakNetTeam 表示为此次攻击负责:

翻译过来大概意思是:

我們已經离开一年多了我想您和我們一樣、错過了很多來自我們团队的华丽文章、精彩笑话和优雅操作。今天，我們將同時告訴您两次攻击严格來說，一個是因为另一個所导致的。我們向您介紹：【国家资讯系统】  http://nais.gov.ua/正如我們所学到的-這個机构是一個数据运营商。而這些数据的数量，简直宛如童话笔下。在這裡，我們注意到其中所涵盖的数据有：-法律实体、個人-企业家和公共组织的統一国家登記冊-不动产登記冊-国家不动产登記冊-乌克兰私人执行人員統一登記冊-执行程序自动化系統-债务人統一登記冊-被定罪者和被拘留者统一登記冊-公证文件特殊格式统一登記冊非着相于它们到底是不是某个政府情报部门旗下的。-統一的電子公证国家电子系統-統一的公公证人登记册-乌克兰司法部资讯系统的特殊形式文件登記冊-授权书統一登記冊-继承登記冊-国家公民身份法令登记册-适用「净化权利」法規定之人士国家统一登记册-破产與无力偿债自动化系统................所有数据库均可整齐下载。此外，由于 NAIS 被攻破，让我們还能访问到乌克兰司法部的所有的基础设施: https://minjust.gov.ua/在那里我們也下載了大量的数据数据总量超過1,000,000,000,000(亿)行！为了让生活對我們的对手來說不像蜜糖、我们决定删除所有可用的数据。不仅在那裡，在波兰的服务器上也是如此（顺便说一下，將国家资料储存在国外的服务器上是非常显眼的。在乌克兰语中，独立显然是这样的），备份被存储在别国服务器上。

关于 XakNetTeam.

据他们自己所称他们纯粹是由一群俄罗斯爱国者黑客所组成的、不卖任何广告也不提供任何商业服务、更无法入侵你前任的社交媒体页面。

但是根据 2024.4.18 日美国网络安全厂商 Mandiant 所发布的关于俄罗斯 APT 沙虫组织 （又名 APT44、SandStorm) 的分析报告。

Mandiant 认为 XakNetTeam 有中等可信度是归属于 APT44 旗下的。

依据是他们发现 XakNetTeam 有使用过 APT44 内部的网络攻击工具、并且 XakNetTeam 曾使用过归因于 APT44 的网络基础设施、还泄漏过同样由 APT44 在针对乌克兰进行数据擦除行动时的受害者的数据

但是从 XakNet Team 的一些攻击行为跟行事作风来看、他们似乎又很难直接与隶属于俄罗斯总参部情报总局（GRU) 所直属的特殊技术主要中心 (GTsST) 旗下的 74455 部队、也就是所谓的 沙虫 APT 组织这种正规军、可以直接关联起来。

并且在 Mandiant 当时发布相关报告时、他们还对此进行了否认:

从该团体所进行的一些攻击行为来看、如果不是文化差异的话、确实他们也不太像是能直接归属到网络战部队这一档的。

例如他们在 2023 年所开展的一些攻击行动:

• • 在攻击位于德国的、与北约军事培训事宜合作有关的培训学校时、直接脱完库之后、挂了一个总统骑熊的梗图:

• • 而在攻击乌克兰旅游局时、同样挂了一个自制的梗图来嘲讽乌克兰总统泽连斯基:

如果确实是正规军的话、应该很难做到像这样去幽默？除非真的是中俄文化差异太大了。

并且如果他们真的是正规军的话、也很难做到在 23 年进行了一系列攻击行为之后就直接消停个一年左右吧？摸鱼也不是这样摸的。

可如果说他们确实跟俄罗斯部队一点关系也没有的话、似乎又并非如此:

并且在 12 月 20 日 XakNet Team 承认针对乌克兰 NAIS 国家信息系统攻击、并故意泄漏部分乌克兰公民婚姻数据作为提示的同时:

实际上在几天前、乌克兰 CERT 方面也曾于 12 月 17 日披露、他们有捕获到沙虫组织对乌克兰所采取的、通过模拟军方网站以及 ArmyPlus 等军方程序样本所开展的钓鱼攻击行动:

他们所捕获到的这个钓鱼样本主要攻击方式为:

1. 1. 在受害者的计算机上安装 OpenSSH 服务器
2. 2. 通过样本释放的 powershell 脚本生成 RSA 密钥对、并将公钥添加到 “authorized_keys” 文件中以进行身份验证
3. 3. 通过 “curl” 将私钥发送到攻击者的服务器（TOR 地址）、并通过 Tor 协议发布隐藏的 SSH 服务。

从乌克兰 CERT 所披露的这次攻击来看、其实很难排除之后在 20 号对乌克兰 NAIS 系统的数据泄漏等行为、是否有这次沙虫所开展的钓鱼攻击的铺垫。

从 XakNet Team 所披露的情况看、他们也有采取访问 ssh 服务的方式来访问乌克兰司法部服务器的情况:

而目前乌克兰 CERT 方面仍未披露其 NAIS 国家信息系统是如何被攻破的、具体攻击细节也没有任何披露。包括司法部及 NAIS 等受损的关键基础设施也仍未恢复。

所以其实我们也无法直接排除 XakNet Team 就是通过 17 号 沙虫 组织所开展的钓鱼攻击、就钓到了 NAIS 系统相关的权限、然后他们只是负责进行数据泄漏、引导宣传这种可能性。

单从时间线来看、 消停了一年左右的 XakNet Team 一上来发一个动态、似乎还是天然就与 APT44 的攻击行为之间存在着一定的关联度。

但在如今这样一个伪造别国 APT 的 TTP 等攻击手法如此盛行的年代。

单纯从攻击手法、攻击策略、样本武器或基础设施就去确定一个 APT 组织的情况、显然是不够精确的。

这就好比哥斯拉是 BeichenDream 所开发的、那么难道国外安全厂商就能说每个使用哥斯拉的中国黑客组织都与 360 相关了么？

归因结论

综上、我们认为此次针对乌克兰NAIS 国家信息系统的攻击、毫无疑问确实是 XakNet Team 这一黑客行为团体所为。

但是按照 Mandiant 所说的直接将该团体归因于 APT44 旗下是存疑的、只要中俄确实在队伍纪律这方面没有太大的文化差异的话。

那么该组织就应该确如其声明的那样、仅仅是由一些俄罗斯爱国黑客所组成。

该黑客行为团体应该并非直属于俄罗斯 GTsST、或 APT44。

只是他们可能与部分俄罗斯部队人员关系良好、与 APT44 存在一定程度上的协同关系。

可能属于外包、负责进行数据泄漏、也可能只是某个正常作战部队下士兵自发组织的

或是该组织管理人员与 APT44 组织成员存在一定的私人关系这一类。

与 XakNetTeam 这一黑客行为团体到底是否直属于 APT44 旗下相比、更重要的一个问题反而是、我们应该如何看待此类黑客行为团体？

从最近的乌克兰 CERT 所披露的 APT44 针对乌克兰军方所进行的钓鱼行动的攻击手法、以及基础设施情况来看

老实说，这次攻击所展现出来的程度简直不像是我们所熟悉的那个、轻易就可以断掉别国供水供电的 SCADA 工控基础设施、奢侈得可以将系统级 0day 赶在微软补丁日前自曝出来的沙虫

乌克兰方面 17 号所披露的、沙虫这次直接用多个 Cloudflare 的 CDN 域名部署钓鱼网站。

然后用一个简直像是传统艺能似的攻击手法 ----- 留 ssh 服务的后门

并且开玩笑似的、用一个一点混淆都没有的 powershell 脚本来执行所有恶意操作:

这样的攻击程度、看起来简直不够沙虫。

还不如沉寂一年的 XakNet Team 、一上来、一出手。就直接把整个乌克兰的 NAIS 国民信息系统给删库了这种操作来得震憾、来得沙虫。

那么很明显的、对于今后的 APT 威胁研究而言:

毕竟、研究 APT 威胁组织

首重应该是威胁、威胁度到底高不高？ 技术强度够不够威胁？ 这才是第一位的

其次才是它是属于什么组织的