一场针对性极强的网络情报活动为这两个前苏联国家之间日益复杂的关系火上浇油。
一个疑似俄罗斯附属威胁行为体一直在对哈萨克斯坦的外交实体实施令人信服的鱼叉式网络钓鱼攻击。 UAC-0063 至少从 2021 年开始活跃,乌克兰计算机应急响应小组 (CERT-UA) 于 2023 年首次记录了它。 CERT-UA 将其与 APT28(又名 "花式熊"、"森林暴风雪"、"锶"、"Sofacy")联系起来,该组织来自总参谋部情报总局(GRU)军事单位 26165。 APT28 以其针对西方政府的高调攻击而闻名:2016 年的民主党全国委员会(DNC)黑客攻击,针对德国、挪威和荷兰议会机构的攻击活动等等。 具体而言,UAC-0063 曾利用网络操作系统从东欧(最著名的是乌克兰)以及中亚(包括哈萨克斯坦、吉尔吉斯斯坦、塔吉克斯坦)的政府实体、非政府组织(NGO)、学术机构、能源和国防组织以及以色列和印度等周边国家收集情报。
Sekoia公司的研究人员在一篇博客文章中称,该公司最近正在进行的活动至少可以追溯到2022年,这可能是普京政府的一项更广泛的努力,目的是获得对这个前苏联国家的战略洞察力和优势,而这个国家近年来一直在努力拓宽自己的外交视野。
哈萨克外交官的网络钓鱼 2024 年 10 月 16 日,也就是该病毒在野外部署一个月后,研究人员发现了一份上传到 VirusTotal 的外交文件。 Sekoia Threat Detection & Research (TDR) 公司的网络威胁情报(CTI)分析师 Amaury Garçon 回忆说:"当你打开这份文件时,第一步就是要求你启用宏,"他补充说,乍一看,这份文件被 "形状 "遮挡住了。 "他指出:"有些网络钓鱼文档[初看]非常丑陋或形状不佳--它们会提示用户启用宏,因为如果不启用宏,就无法在文档中写入文本,也无法移动图片等。 点击 "启用 "后,目标设备上就会触发各种看不见的恶意命令。 在用户看到完整、纯净的诱骗文档的同时,他们的安全设置也会在后台被降级,从而不再需要 "启用宏 "的提示。 接下来,微软 Word 的一个隐藏实例创建并打开了第二个空白文档。 与这个隐藏文档相关联的 Visual Basic (VB) 代码(当然,现在是默认启用的)丢弃并执行了一个恶意 HTML 应用程序 (HTA),其中包含一个名为 "HatVibe "的后门。
HatVibe 的目的是接收和执行来自远程服务器的代码。 虽然 Sekoia 无法确定与该网络钓鱼活动相关的有效载荷,但 CERT-UA 此前曾观察到 HatVibe 下载并执行了一个名为 "CherrySpy "的更复杂 Python 后门。 这对哈萨克斯坦和俄罗斯意味着什么 在研究人员发现与该活动相关的 VirusTotal 首次上传后六周,普京于 11 月 27 日对他视为俄罗斯 "真正盟友 "的国家哈萨克斯坦进行了为期两天的国事访问。 他与哈萨克斯坦总统卡西姆-若马尔特-托卡耶夫(Kassym-Jomart Tokayev)利用集体安全条约组织(CSTO)峰会的机会讨论了经济合作的各个领域,尤其是围绕能源领域,并签署了能源、教育和交通方面的协议。 "中亚是俄罗斯影响力的真正兴趣点,"Sekoia TDR 的 CTI 高级分析师马克西姆-阿尔基里耶尔(Maxime Arquillière)解释说。 "我们知道,哈萨克斯坦是俄罗斯的亲密盟友,但自乌克兰战争爆发以来,哈萨克斯坦与俄罗斯的关系有些疏远,试图与西方国家和中国建立新的联系。
哈萨克斯坦在亚洲大陆的中心位置使其成为中国与欧洲之间的贸易桥梁,尤其是在乌克兰和俄罗斯饱受战争蹂躏的时候。 正如 Sekoia 在博客中指出的那样,哈萨克斯坦逐渐扩大的地缘政治关系体现在最近与蒙古和阿富汗塔利班新政府达成的协议上,最值得注意的是,哈萨克斯坦在乌克兰战争问题上的平衡立场--既支持乌克兰的领土完整权,又不直接谴责俄罗斯的入侵。 因此,最新的网络活动正好与俄罗斯针对其中亚邻国的更广泛举措相吻合。 Sekoia 一共发现了 11 份引诱文件,每一份都是合法的,很可能来自哈萨克斯坦外交部,涉及哈萨克斯坦与潜在伙伴国之间的外交事务。 威胁行为者究竟是如何获得这些文件的,目前尚不得而知。 例如,这些文件包括:哈萨克斯坦驻阿富汗和比利时大使馆关于外交和经济发展的信函;2024 年 9 月 16 日阿斯塔纳峰会后德国与中亚国家的联合声明草案;哈萨克斯坦总统访问蒙古和纽约的行政报告和简报。 "这确实符合俄罗斯情报部门进行此类网络间谍活动的[需要],以了解哈萨克斯坦与欧洲国家之间的战略利益。
信息来源:https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-phishes-kazakh-govt-strategic-intel