几天前，“坏兔子”(BadRabbit)勒索软件攻击影响了乌克兰和俄罗斯数百家组织机构的经营活动。多家俄罗斯新闻媒体、乌克兰和俄罗斯的政府机构以及乌克兰交通系统均沦为受害对象。乌克兰国家安全局(SBU)表示，“坏兔子”(BadRabbit)勒索软件攻击是俄罗斯知名黑客组织APT28所为，SBU官员指责APT28发起大规模协调攻击。

乌克兰一名国家网络警察本周四接受路透社的采访时表示，“坏兔子”背后的黑客意通过勒索软件施展障眼法，同时向多家组织机构发送具有高度针对性的网络钓鱼电子邮件，而这些邮件旨在获取财务和保密信息。但这名网警未提及黑客组织的具体名称。

FireEye、思科Talos团队和卡巴斯基实验室均认为，“坏兔子”通过被感染的网站进行传播，而这些网站将恶意软件传送给不知情的网页访客。

APT28与俄罗斯军事情报机构有何关联?

SBU致信美国一家媒体时表示，考虑到这起攻击创建的基础设施规模(超过50个预先感染的网站，大量租用服务器和域名)SBU有理由怀疑APT28就是幕后黑手。SBU并未提供进一步的证据支撑这一说法。

网络安全研究人员普遍认为，APT28与俄罗斯军事情报机构(GRU)有关联。斯洛伐克网络安全公司ESET先前认为，“坏兔子”与黑客组织“Telebots”(也被称为Sandworm)有关。曾参与Sandworm身份讨论的两名美国情报官员表示，Sandworm是APT28旗下一个组织，APT28曾被指在2016美国大选期间入侵美国民主党委员会。

网络攻击的归因相当难寻，但专家表示，情报机构之类的组织机构有能力找到归因，因为他们有能力收集各类信息。