• 关于我们 联系我们
当前位置:安全行业动态 → 正文

APT28黑客组织租用英国服务器,8台用途不明

责任编辑:editor005 |来源:企业网D1Net  2017-11-26 17:57:20 本文摘自:E安全

俄罗斯黑客组织APT28在英国注册企业IDC服务商Crookservers处消费超过6000美元,曾租其服务器,并因此留下大量线索。

APT28曾利用相关计算机设备攻击德国议会、劫持尼日利亚政府网站流量,并实施针对苹果设备的攻击活动。

APT28购买英国服务器

Crookservers公司曾在发现相关恶意活动之后采取行动以驱逐APT28黑客组织。该公司提供的技术与财务记录显示,APT28获得了大量资金并曾使用在线金融服务,其中一部分操作在此后的反洗钱行动中遭到封锁。

俄罗斯黑客组织APT28频繁利用“热点新闻事件”发起DDE攻击-E安全

APT28——又名Sofacy、Fancy Bear 、Iron Twilight、Tsar Team、Pawn Storm、Strontium、Sednit——与俄罗斯情报部门有所关联。

网络安全企业Crowdstrike公司此前曾发现“APT28的一系列恶意举动,该组织曾经在2016年针对美国民主党全国委员会(简称DNC)的攻击活动当中发挥关键性作用,这一事件中黑客使用的攻击代码包含某个曾归属于Crookservers公司的一台专有服务器的IP地址。

根据网站历史注册记录,早在2012年,Crookservers公司就公布了其位于奥尔德姆的办公地点——身处一条不起眼的公路旁边。在不久之后,其经营地点转向巴基斯坦。BBC方面并没有发现该公司或其员工与这一经营地址相关的任何证据,Crookservers公司与这里使用同一地址的某家报刊经销商也似乎没有任何交集。

Crookservers公司是一家所谓服务器经销商,且仅提供在线业务。其负责转租的计算机实际上归另一家在法国及加拿大经营的公司所有。

俄罗斯黑客组织APT28曾立足英国开展恶意活动-E安全

英国广播公司BBC将Crookservers背后的实际运营者确定为Usman Ashraf(乌斯曼·阿什拉夫)。根据社交媒体及其它在线帐户的信息来看,此人在2010年至2014年居住在奥尔德姆地区,而他如今似乎身在巴基斯坦。Ashraf回应称自己并不清楚客户当中存在黑客组织,毕竟太关注客户如何使用服务器这又是一个问题。2015年,他收到了黑客方面的警报,并迅速采取行动以关闭APT28所持有的帐户。他还建立起一项“核查”流程,对全部被怀疑遭到滥用的帐户中的60%到70%进行了剔除,但“滥用情况并没有带来任何安全问题。”

使用虚假身份掩盖行踪

过去三年以来,APT28从Crookservers手中租用计算机,并在过程当中使用虚假身份、虚拟专用网络(简称VPN)以及难以追踪的支付系统。

Secureworks公司的Mike McLellan(迈克·迈克莱伦)指出,黑客们采用的交易工具相当粗劣,黑客们显示出糟糕的“交易能力”。

在一条通信内容中,化名为Roman Brecesku的黑客抱怨称他的服务器已经遭到“破解”。一名使用假名字的APT28黑客抱怨他的服务器遭到入侵。Crookservers 公司此前与德国议会遭遇攻击有关。

根据BBC方面的记录,这台被用于控制恶意软件的服务器是由一位化名为Nikolay Mladenov的黑客从Crookservers公司处租下,并使用比特币与完美货币进行支付。这名黑客到2015年6月之前一直持续使用这台服务器,直到攻击活动被媒体曝光后这台服务器遭到Crookservers公司的清理。2014年范堡罗航空展上被用于定位某些与会者的恶意软件当中,包含该服务器的IP地址。被用于攻击英国电视台的APT28恶意软件中同样包含此条IP地址,不过该服务器在这些攻击发生时已经不再由APT28所实际使用。

Mladenov所使用的某个财务帐户亦被另一位化名为Klaus Werner的黑客掌握,旨在通过Crookservers启用更多计算机设备。根据Secureworks方面的分析,Werner所租用的其中一台服务器被用于接收来自合法尼日利亚政府网站的“重新定向”流量。

仍有8台服务器用途不明

APT28黑客组织成员Mladenov与Werner(二者还曾分别使用Bruno Labrousse与Roman Brecesku等化名)所使用的财务帐户也曾被用于从Crookservers处租用其它服务器。

俄罗斯黑客组织APT28曾立足英国开展恶意活动-E安全

其中一台服务器与邮箱地址似乎与专门针对iOS设备的“高级间谍”恶意软件有所关联。该恶意软件能够开启录音功能并窃取短信信息。另一个被用于租用服务器的邮箱地址则与保加利亚国家安全局遭遇攻击事件有关。除此之外,另有8台被绑定至同一财务信息的专用服务器尚不明确具体用途——这可能意味着APT28还有其它未被公开披露的攻击活动存在。

APT28通过洗钱平台进行交易

APT28先后通过匿名支付服务向Crookservers支付了至少4534英镑(约合人民币39870元)费用。具体支付手段包括比特币、自由储备银行与完美货币银行。自由储备银行在经过国际洗钱调查后遭到关闭。

英国专门负责研究与比特币相关的‘非法活动’的Elliptic公司的Tom Robinson(汤姆·罗宾逊)对APT28组织的比特币支付活动开展调查,并追踪到了APT28支付活动中的一些蛛丝马迹。

Robinson及其团队表示已经确定了这些资金所对应的钱包,其中的比特币总价值约10万美元,并将钱包中的一部分资金追溯至数字货币交易平台BTC-e。今年7月,BTC-e被英国当局关闭,理由是俄罗斯方面指控该平台创始人涉嫌洗钱。

尽管BTC-e广受俄罗斯网络犯罪分子欢迎,但BBC方面并没有发现其对包括APT28在内的客户管理证据。

财务与技术记录与此前同APT28相关的几轮攻击活动联系起来。更进一步的财务追踪很可能会带来其它结论。英国IDC服务商Crookservers公司已于今年10月10日关闭。APT28组织的活动仍在继续。

关键字:服务器英国租用黑客

本文摘自:E安全

x APT28黑客组织租用英国服务器,8台用途不明 扫一扫
分享本文到朋友圈
当前位置:安全行业动态 → 正文

APT28黑客组织租用英国服务器,8台用途不明

责任编辑:editor005 |来源:企业网D1Net  2017-11-26 17:57:20 本文摘自:E安全

俄罗斯黑客组织APT28在英国注册企业IDC服务商Crookservers处消费超过6000美元,曾租其服务器,并因此留下大量线索。

APT28曾利用相关计算机设备攻击德国议会、劫持尼日利亚政府网站流量,并实施针对苹果设备的攻击活动。

APT28购买英国服务器

Crookservers公司曾在发现相关恶意活动之后采取行动以驱逐APT28黑客组织。该公司提供的技术与财务记录显示,APT28获得了大量资金并曾使用在线金融服务,其中一部分操作在此后的反洗钱行动中遭到封锁。

俄罗斯黑客组织APT28频繁利用“热点新闻事件”发起DDE攻击-E安全

APT28——又名Sofacy、Fancy Bear 、Iron Twilight、Tsar Team、Pawn Storm、Strontium、Sednit——与俄罗斯情报部门有所关联。

网络安全企业Crowdstrike公司此前曾发现“APT28的一系列恶意举动,该组织曾经在2016年针对美国民主党全国委员会(简称DNC)的攻击活动当中发挥关键性作用,这一事件中黑客使用的攻击代码包含某个曾归属于Crookservers公司的一台专有服务器的IP地址。

根据网站历史注册记录,早在2012年,Crookservers公司就公布了其位于奥尔德姆的办公地点——身处一条不起眼的公路旁边。在不久之后,其经营地点转向巴基斯坦。BBC方面并没有发现该公司或其员工与这一经营地址相关的任何证据,Crookservers公司与这里使用同一地址的某家报刊经销商也似乎没有任何交集。

Crookservers公司是一家所谓服务器经销商,且仅提供在线业务。其负责转租的计算机实际上归另一家在法国及加拿大经营的公司所有。

俄罗斯黑客组织APT28曾立足英国开展恶意活动-E安全

英国广播公司BBC将Crookservers背后的实际运营者确定为Usman Ashraf(乌斯曼·阿什拉夫)。根据社交媒体及其它在线帐户的信息来看,此人在2010年至2014年居住在奥尔德姆地区,而他如今似乎身在巴基斯坦。Ashraf回应称自己并不清楚客户当中存在黑客组织,毕竟太关注客户如何使用服务器这又是一个问题。2015年,他收到了黑客方面的警报,并迅速采取行动以关闭APT28所持有的帐户。他还建立起一项“核查”流程,对全部被怀疑遭到滥用的帐户中的60%到70%进行了剔除,但“滥用情况并没有带来任何安全问题。”

使用虚假身份掩盖行踪

过去三年以来,APT28从Crookservers手中租用计算机,并在过程当中使用虚假身份、虚拟专用网络(简称VPN)以及难以追踪的支付系统。

Secureworks公司的Mike McLellan(迈克·迈克莱伦)指出,黑客们采用的交易工具相当粗劣,黑客们显示出糟糕的“交易能力”。

在一条通信内容中,化名为Roman Brecesku的黑客抱怨称他的服务器已经遭到“破解”。一名使用假名字的APT28黑客抱怨他的服务器遭到入侵。Crookservers 公司此前与德国议会遭遇攻击有关。

根据BBC方面的记录,这台被用于控制恶意软件的服务器是由一位化名为Nikolay Mladenov的黑客从Crookservers公司处租下,并使用比特币与完美货币进行支付。这名黑客到2015年6月之前一直持续使用这台服务器,直到攻击活动被媒体曝光后这台服务器遭到Crookservers公司的清理。2014年范堡罗航空展上被用于定位某些与会者的恶意软件当中,包含该服务器的IP地址。被用于攻击英国电视台的APT28恶意软件中同样包含此条IP地址,不过该服务器在这些攻击发生时已经不再由APT28所实际使用。

Mladenov所使用的某个财务帐户亦被另一位化名为Klaus Werner的黑客掌握,旨在通过Crookservers启用更多计算机设备。根据Secureworks方面的分析,Werner所租用的其中一台服务器被用于接收来自合法尼日利亚政府网站的“重新定向”流量。

仍有8台服务器用途不明

APT28黑客组织成员Mladenov与Werner(二者还曾分别使用Bruno Labrousse与Roman Brecesku等化名)所使用的财务帐户也曾被用于从Crookservers处租用其它服务器。

俄罗斯黑客组织APT28曾立足英国开展恶意活动-E安全

其中一台服务器与邮箱地址似乎与专门针对iOS设备的“高级间谍”恶意软件有所关联。该恶意软件能够开启录音功能并窃取短信信息。另一个被用于租用服务器的邮箱地址则与保加利亚国家安全局遭遇攻击事件有关。除此之外,另有8台被绑定至同一财务信息的专用服务器尚不明确具体用途——这可能意味着APT28还有其它未被公开披露的攻击活动存在。

APT28通过洗钱平台进行交易

APT28先后通过匿名支付服务向Crookservers支付了至少4534英镑(约合人民币39870元)费用。具体支付手段包括比特币、自由储备银行与完美货币银行。自由储备银行在经过国际洗钱调查后遭到关闭。

英国专门负责研究与比特币相关的‘非法活动’的Elliptic公司的Tom Robinson(汤姆·罗宾逊)对APT28组织的比特币支付活动开展调查,并追踪到了APT28支付活动中的一些蛛丝马迹。

Robinson及其团队表示已经确定了这些资金所对应的钱包,其中的比特币总价值约10万美元,并将钱包中的一部分资金追溯至数字货币交易平台BTC-e。今年7月,BTC-e被英国当局关闭,理由是俄罗斯方面指控该平台创始人涉嫌洗钱。

尽管BTC-e广受俄罗斯网络犯罪分子欢迎,但BBC方面并没有发现其对包括APT28在内的客户管理证据。

财务与技术记录与此前同APT28相关的几轮攻击活动联系起来。更进一步的财务追踪很可能会带来其它结论。英国IDC服务商Crookservers公司已于今年10月10日关闭。APT28组织的活动仍在继续。

关键字:服务器英国租用黑客

本文摘自:E安全

电子周刊
回到顶部
网站地图

企业网D1Net 信众智-CIO社交平台 第1培训-企业数字化培训平台 会展活动

CIO 数字化转型 云计算 数据中心 大数据 元宇宙 物联网 人工智能 安全

移动办公 服务器 存储 访谈 区块链 数据网络 智慧城市 视频会议 芯片

统一通信 企业应用软件 创新技术 新闻中心

联系我们:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

投稿信箱:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^