新闻快讯
< >

“坏兔子”攻击很可能出自TeleBots组织之手!

E安全10月27日讯,目前已经有多家安全企业提出证据,显示此前发生的“坏兔子(Bad Rabbit)”勒索软件攻击事件与今年6月底出现的NotPetya勒索软件存在关联。

1.jpg

包括Bitdefender、思科Talos、ESET、Group IB、Intezer Labs、卡巴斯基实验室以及Malwarebytes等厂商在内的各安全企业,外加安全研究人员巴特·佩里斯(Bart Parys)皆发布报告强调称,“坏兔子”与NotPetya在源代码层面存在显著的相似之处。

思科的安全专家们在报告中称,“[坏兔子]似乎与[NotPetya]存在一些相似之处,而后者同样基于Petya勒索软件所衍生。其中代码的主要部分似乎已被重写。”同样的观点亦在其它报告当中得到反复重申。

“坏兔子”很可能属于TeleBots APT的“杰作”

就在今年6月,ESET方面将NotPetya勒索活动与曾在2015年12月同2016年12月攻击乌克兰电网的TeleBots网络间谍组织联系起来。

该组织自2007年即开始活动,且曾经使用Sandworm、BlackEnergy以及如今的TeleBots等多个名称。此外,其它一些鲜为人知的名称还包括Electrum、TEMP.Noble以及Quedagh。

2.jpg

TeleBots以针对乌克兰开展攻击而广为信息安全专家们所熟知,很多人怀疑该组织在俄罗斯境外活动,但接受俄罗斯政府当局的控制——这是因为该批黑客在俄罗斯入侵前乌克兰领土克里米亚半岛之后,转而将行动重点放在打击乌克兰目标上。

在2017年1月至3月期间,TeleBots攻击者破坏了乌克兰的一家软件公司(与ME Doc无关),并利用其中的VPN隧道访问了几家金融机构的内部网络。到了6月,NotPetya勒索病毒重创欧美国家,当时NotPetya勒索软件对乌克兰用户的感染规模最大,占全部感染案例中的60%到70%。

不过这一次爆发的“坏兔子”攻击则与此前完全不同,此次大多数受害者身处俄罗斯(约为70%)。但尽管俄罗斯本土感染数量更高,但大多数高价值目标仍然集中在乌克兰——包括该国的机场、地铁系统与政府机构等等。

该组织投入数个月建立基础设施

除了对“坏兔子”的源代码进行研究之外,还有报告对攻击活动背后所使用的基础设施作出了探寻。

根据RiskIQ与卡巴斯基实验室专家们的观点,这批黑客投入数个月入侵多个网站,旨在托管其用于推送伪造Flash播放器更新以进行勒索软件传播的恶意脚本。在这项工作完成之后,“坏兔子”网络移动模块才会介入并执行后续攻击。

只有TeleBots这类国家支持下的黑客组织才有可能投入三到四个月的时间,为自己的勒索软件构建基础设施体系。

此外,根据RiskIQ公司的报告,一部分受到入侵的网站可以追溯到2016年——这再次证明其此前就很可能曾被用于其它攻击行为。

研究人员将“坏兔子”视为障眼法

正因为如此,不少专家才更倾向于把目前的勒索软件攻击视为掩盖其它更为险恶的攻击行为的一种障眼法。

3.jpg

专家们认为,就在调查人员将精力集中在控制该勒索软件感染的同时,TeleBots方面很可能会悄悄窃取来自敏感目标的数据。再有,TeleBots还可以利用勒索软件摧毁可能导致以往攻击活动曝光的行动痕迹与证据。

以部署勒索软件的方式进行自我隐匿无疑是种新颖的攻击概念,但事实证明其当下已经真正发生。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。