一、概述
依托国家情报机构发动的网络战日益频繁。在各国的网络战博弈中,俄美等国家凭借其长期的情报机构建设积累以及强大的武器库资源储备在公众眼中暂处第一梯队。国内情报分析人员接触到的有关这类高度复杂的apt组织相关情报信息大多数来源于国外安全机构。拥有俄罗斯联邦对外情报局(svr)背景的apt29组织即是如此,近半年时间内,随着solarwinds供应链攻击的曝光以及后续多家安全机构的调查分析,疑似幕后黑手的apt29开始回归大众视野中。
当前针对apt29的公开披露情报信息因为国家政治公关、敏感信息阉割等因素显得繁琐混杂、可信度高低不一。微步情报局基于已积累的情报信息以及网络公开情报信息甄别研判结果,对apt29的重大攻击事件、组织关联归因、攻击技战法等进行了深度复盘分析,致力于客观、全面地向大众解读apt29的真实面貌。
二、背景
俄罗斯联邦对外情报局(foreign intelligence service of the russian federation,简称svr)是俄罗斯的情报机关之一,专门负责俄罗斯境外的情报活动。对外情报局的前身是苏联国家安全委员会第一总局,即克格勃第一总局,是1954年3月13日–1991年11月6日期间苏联的情报机构,在当时被认为是全球效率最高的情报收集机构。
1991年苏联解体后,俄罗斯境内的原克格勃机关改制为俄罗斯联邦安全局(fsb),其第一总局改制为俄罗斯对外情报局(svr),总部位于俄罗斯莫斯科亚先捏沃,有一万三千名员工,特工会化身为外交人员或记者进行情报活动。
apt29隶属于俄罗斯联邦对外情报局,国内外安全机构曾命名dark halo、stellarparticle、nobelium、unc2452、yttrium、the dukes、cozy bear、cozyduke、office monkeys等。其攻击目标覆盖欧洲、北美、亚洲、非洲的多个地区和国家,主要攻击目标为包含美国、英国等在内的北约成员国以及欧洲地域邻近国家,具体攻击行业目标为政府实体、科研机构、智囊团、高技术企业、通信基础设施供应商等。
apt29至少自2008年开始活跃,其最初映入公众眼帘是在2009年dukes早期工具集曝光,木马的新颖之处在于使用twitter社交平台存放恶意网络资产、以此为跳板进行后续网络交互行为。“duke”的命名源于卡巴斯基安全研究人员,由臭名昭著的duqu蠕虫(与stuxnet震网蠕虫存在关联)联想而来,此后一直延用至今。值得注意的是duke系列木马组件与duqu蠕虫无任何实质性关联,切勿混为一谈。自此至2019年10余年时间内,公开披露的apt29活动中均可看到dukes工具集的使用,只是后续的dukes工具集已经扩充成包含polyglotduke、regduke、miniduke、fatduke、seaduke等在内的复杂武器库工具集。在此期间,最让人印象深刻的是2016年美国总统大选期间apt29针对美国民主党全国委员会(democratic national committee,简称dnc)的间谍活动(据nccic、fbi披露,该活动由apt28、apt29协同参与,于2015年夏季开始对目标系统渗入)。
如果说2020年之前所披露的apt29的一系列攻击活动只是让公众广泛意识到存在这么一个实力雄厚、背景强大的apt组织,那么自2020年6月之后的攻击活动将会使绝大多数独立政权国家开始思考自身的网络环境安危。2020年7月,全球新冠肺炎疫情局势紧张,一波使用wellmess\wellmail等攻击组件对全球covid-19 疫苗研制机构的定向攻击活动被关联归因至apt29,同年12月份曝光的solarwinds供应链攻击活动同样指向apt29,受害者覆盖欧美亚地区4700余个实体机构。
三、组织结构划分
自2015年至今来源为权威的国家情报部门机构和安全研究机构关于apt29的公开披露报告(披露内容包括武器库特马组件、特定攻击事件、阶段性总结报告、取证溯源调查报告等内容)中,各安全机构对某一时间节点的攻击组件、攻击活动、幕后攻击团伙(有些攻击事件在披露时未能关联至已知组织,产生了一系列全新的命名)存在多种不同的命名,其中部分命名是由特马组件指纹演变而来。为了便于整合这些信息,我们可以依据特定的木马工具集(主要指初始投递到pc端的前阶段载荷)对其进行分类,总共可以分成三块:the dukes系列、wellmess系列、nobelium系列。其中各个系列除了前期攻击载荷中使用的特马工具存在较大差异之外,在攻击目标、参与攻击事件、攻击活跃时间区段等均会存在一些重合。
the dukes系列:2008—2019.10,使用时间跨度最长,包括多个复杂的命名含“duke”的工具集,包括2016年对美国民主党dnc攻击中使用。
wellmess系列:2018.06—至今,针对windows、linux双平台,由jpcert披露,攻击了包括美国、英国在内的多个国家的医疗、政府、科研、高校、高科技企业等机构。wellmess、wellmail、sorefang恶意软件。covid-19 疫苗研制机构间谍活动。
nobelium系列:2018.11—至今,mstic命名,包含solarwinds供应链攻击中的构建过程劫持木马、嵌入后门以及后续多阶攻击组件。该系列工具集最早于2018年11月火眼披露的对美国智库、公共部门等的定向攻击中出现。
四、攻击战术剖析
the dukes系列
是最早公开披露的apt29组织,同期别名包括hammertos、cozy bear、cozyduke等,活动时间从2008年到2018年,攻击目标包括全部欧洲国家、多数中东地区国家、部分亚非国家、以美国为主的北美国家,具体行业目标包括政府实体、政府智库、车臣极端主义机构等。2015年9月,f-secure团队对dukes的攻击活动、攻击组件进行总结披露;随后eset团队在2019年10月对dukes的后续攻击活动及武器库进行扩充披露。
在dukes一系列的攻击活动中,除了2015年夏季至2016年末美国总统大选期间对民主党派为主政府机构的定向攻击活动之外,dukes攻击目标主要集中在俄罗斯西南方向的欧洲邻国。其攻击方式主要为鱼叉网络攻击,通过伪造特定时政话题内容、携带恶意钓鱼外链或恶意附件投递初始攻击载荷。如2014.07使用了“office monkeys”视频诱饵,2015.08鱼叉邮件主题“选举结果可能会被修改”。
dukes也存在一些“异常”的攻击行为。2014年10月,levithan安全团队披露dukes通过控制部分tor网络出口节点进行中间人攻击,劫持用户流量后投递dukes特马,此种发散式的攻击迅速组建了一个超过千余台pc主机的僵尸网络(肉机主要分布在蒙古和印度)。对于这种一反常态的发散式攻击行为,攻击动机存在较大争议,其中一种观点是dukes攻击目标为与俄罗斯相关的毒贩等犯罪团伙。除此之外,2015年1月至2016年年底,dukes发动了多起针对美国政府机关、智库、非政府单位的鱼叉邮件钓鱼攻击,具体攻击目标达到数千数量级别。在该系列鱼叉邮件攻击活动的早期,dukes向超过一千个目标邮箱发送了同一封钓鱼邮件,邮件内容并未像之前那样伪装时政热点这类诱骗性更高的话题内容,反而采用了勒索团伙常用的“电子传真”这类具备垃圾邮件特点的话题,这种对千余个目标采用完全相同的钓鱼邮件而且内容粗糙的行为特点在apt攻击案件中较为罕见。当然,从攻击者角度来看,这种大批量的攻击只是用于前期甄别有价值目标,服务于前期社工阶段。
wellmess系列
wellmess系列攻击组件最早于2018年7月由jpcert在“针对linux和windows的恶意软件wellmess”一文中披露,该木马采用golang和.net环境进行开发设计,实现基础的窃密监听恶意功能,并存在针对windows、linux平台的攻击样本。当时只是作为恶意软件进行披露,并未关联归因,所以并未引起公众关注,直到两年后的2020年7月,正值全球新冠疫情紧张时期,英国国家网络安全中心(national cyber security centre(united kingdom),简称ncsc)联合nsa(美国国家安全局)、cisa(美国网络安全和基础设施安全局)、cse(加拿大通信安全机构)披露了apt29使用wellmess组件(还包括新命名的wellmail同源组件)攻击全球covid-19疫苗研制机构(主要国家为英国、美国、加拿大),随后英国普华永道公司披露了wellmess组件归因至apt29的部分细节。
区别于the dukes时期的攻击活动,wellmess系列攻击活动主要通过远程网络渗透形式发起攻击,期间使用了多个nday漏洞,其中包括国内某安全厂商的vpn升级包未验证漏洞。随着wellmess的曝光度增加,国内外的调查行动显示wellmess的攻击目标覆盖医疗、政府、科研、高校、高科技企业等行业,除了欧美地区国家之外,部分亚洲国家也是wellmess的主要攻击目标。wellmess活动的基本渗透流程如下图所示,攻击者通过网络渗透手段成功实现单点登录之后,会下发wellmess系列木马组件建立c&c通信通道,随后会结合第三方工具(如网络代理、端口转发、密码爬取、信息收集等工具)辅助进行深层的域环境渗透攻击,最终目的为寻找高价值主机窃取情报。
nobelium(solarwinds)系列
2020年12月13日,fireeye安全公司披露了solarwinds供应链攻击事件,攻击者通过攻击solarwinds软件供应商实现solarwinds orion管理软件构建编译过程中投毒。该供应链攻击事件至少可追溯到2020年春季,受害者至少包括北美、欧洲、亚洲和中东的政府、咨询、技术、电信和采掘等行业机构,全球超过18000多个具体单位可能受到此起供应链攻击活动影响。英美政府将solarwinds供应链攻击事件归因至apt29,但是并未提供具体归因证据。2021年3月,瑞士安全公司prodaft发布对silverfish(prodaft命名的组织名称,可关联到solarwinds供应链攻击事件)进行为期近三个月的调查报告,该调查报告为solarwinds供应链攻击事件归因至apt29提供了较为有力的佐证(本文后续的nobelium关联归因部分将展开介绍)。
mstic在2021年一二季度持续披露了solarwinds供应链攻击事件中sunburst木马之后的其他组件,基于microsoft defender提供的pc端数据支持,mstic关联到2021年多起鱼叉式网络攻击活动,该系列活动最早可以追溯到2018年12月份。mstic将包括solarwinds供应链攻击在内的一系列攻击活动的幕后组织命名为nobelium(译为锘’一种放射性金属元素’,采用微软系的化学元素命名法命名)。
据crowdstrike团队和volexity团队披露信息,nobelium疑似采用microsoft exchange 0day(根据sunspot木马编译时间为2020年2月推测)漏洞渗入solarwinds供应商产品构建系统,植入sunspot木马。该木马劫持orion软件编译过程、植入恶意代码,导致恶意的sunburst后门被编译到orion产品发布版本中。此后该携带后门的orion软件将通过供应链渠道合法下发到用户环境,nobelium借助sunburst后门模块筛选有价值目标实施后续攻击行为。
