據(jù)國(guó)防部官員透露，上周一個(gè)由俄羅斯所支持的黑客組織攻擊了位于華盛頓，重點(diǎn)關(guān)注俄羅斯的智庫(kù)團(tuán)，該機(jī)構(gòu)還曾是攻擊民主黨計(jì)算機(jī)網(wǎng)絡(luò)的成員之一。犯罪者所在小組稱為COZY BEAR，或APT29，根據(jù)兩大網(wǎng)絡(luò)安全公司之一的CrowdStrike創(chuàng)始人Dmitri Alperovitch的發(fā)言，DNC黑客組織需要對(duì)此次襲擊事件負(fù)責(zé)。 CrowdStrike發(fā)現(xiàn)了來自DNC的攻擊并為智庫(kù)提供安全服務(wù)。

Alperovitch表示少于五個(gè)組織機(jī)構(gòu)和10名研究俄羅斯的工作人員遭受到來自“極具針對(duì)性行動(dòng)”的襲擊。出于客戶利益考慮及避免泄露工具技術(shù)或其他數(shù)據(jù)給黑客，他拒絕透露具體是哪些智庫(kù)和研究人員遭襲。

Alperovitch表示稱，公司一但檢測(cè)到漏洞及入侵者無法潛帶的任何信息，立即會(huì)向受侵組織發(fā)出警告。國(guó)防部向幾個(gè)參與俄羅斯研究項(xiàng)目的智庫(kù)伸以援手，其中之一就是戰(zhàn)略與國(guó)際研究中心（CSIS）。

“上周，我們受到攻擊，但我們?yōu)閿?shù)不多的工作人員對(duì)此及時(shí)作出反應(yīng)。除此之外，我不打算討論任何細(xì)節(jié)，因?yàn)槭录诜e極調(diào)查中，” CSIS對(duì)外關(guān)系高級(jí)副總裁H. Andrew Schwartz在電子郵件中寫到。

戰(zhàn)略技術(shù)項(xiàng)目高級(jí)副總裁兼董事James Andrew Lewis在CSIS表示道：“這就像一個(gè)榮譽(yù)徽章--任何有聲望的智庫(kù)都已經(jīng)被黑客入侵。俄羅斯人只是還不了解獨(dú)立機(jī)構(gòu)，所以他們正在尋找奧巴馬的秘-密指示。另一個(gè)好處是，他們可以去向他們的老板炫耀并證明他們作為間諜的價(jià)值。”

一位國(guó)防部人士接觸了幾個(gè)參與俄羅斯項(xiàng)目的智庫(kù)團(tuán)?；貜?fù)中大部分直接稱，他們并沒有被專門針對(duì)。哈佛大學(xué)貝爾弗科學(xué)中心和國(guó)際事務(wù)談道，“我們有政策對(duì)中心安全不予評(píng)論。”如果我們從別處聽到消息，會(huì)更新這個(gè)帖子。

黑客可能已經(jīng)試圖從擔(dān)任華盛頓智庫(kù)團(tuán)的董事會(huì)官員那得到數(shù)據(jù)和信息，Alperovitch這樣推測(cè)到。

“這些人很多都是前政府官員，并仍指導(dǎo)現(xiàn)任政府官員，”Alperovitch說道。我們的目標(biāo)本來就是“通過觀察他們與政府官員的溝通，來判斷他們是否可能已掌握偷來的信息并分享這些信息，或者將它們作為一種針對(duì)政府的方式。”

Alperovitch談到，智庫(kù)正在使用的是CrowdStrike公司的獵鷹網(wǎng)絡(luò)安全軟件，這是一個(gè)2MB的端點(diǎn)管理工具，可使CrowdStrike監(jiān)控其客戶的入侵網(wǎng)絡(luò)，包括對(duì)先進(jìn)的遠(yuǎn)程訪問工具的監(jiān)控，其簽名不會(huì)出現(xiàn)在常規(guī)網(wǎng)絡(luò)流量中。

“你可以把它看成是一個(gè)正在記錄所發(fā)生的一切的攝像機(jī)，”他提道，“你打開Word，打開Outlook和其他啟動(dòng)網(wǎng)絡(luò)連接的進(jìn)程，它都會(huì)被被記錄下來，被傳輸?shù)轿覀兊脑浦?，在那里我們?duì)其進(jìn)行機(jī)器學(xué)習(xí)及行為分析...那就是在這所發(fā)生的事。我們識(shí)別出spearphish網(wǎng)絡(luò)釣魚攻擊，并立即發(fā)出了警報(bào)。我們的人員聯(lián)系 [客戶] 說，好吧，這真的很嚴(yán)重，你需要馬上將安全軟件覆蓋到這臺(tái)機(jī)器中。”

網(wǎng)絡(luò)安全公司FireEye首次發(fā)現(xiàn)COZY BEAR小組，其早在2014年就被稱為APT29。

“APT29是我們所跟蹤的黑客小組中能力最強(qiáng)的，”FireEye在去年發(fā)表的博客中寫道，“當(dāng)其他APT小組試圖掩蓋他們的蹤跡以阻撓調(diào)查時(shí)，APT29就從中脫穎而出。他們?cè)跍p少或消除法庭證據(jù)，對(duì)待監(jiān)控的應(yīng)變能力以及在規(guī)避網(wǎng)絡(luò)維護(hù)者的各項(xiàng)補(bǔ)救措施中表現(xiàn)出相當(dāng)?shù)募o(jì)律性和一致性。”

CrowdStrike和其他網(wǎng)絡(luò)安全研究人員認(rèn)為COZYBEAR與俄羅斯聯(lián)邦安全局（FSB）有著密切聯(lián)系。已發(fā)動(dòng)過成功襲擊的美國(guó)實(shí)體名單包括白宮，國(guó)務(wù)院和非涉-密系統(tǒng)職工的聯(lián)席會(huì)議。

CrowdStrike和其他網(wǎng)絡(luò)安全研究人員稱另一躲在DNC黑客小組背后的俄羅斯黑客組織稱為FANCY BEAR，或APT28，很多網(wǎng)絡(luò)安全界人士認(rèn)為其和俄羅斯軍方有聯(lián)系。研究人員還懷疑FANCY BEAR是維基解密中泄露DNC文件的幕后黑手。

重要的是，盡管FANCY BEAR在今年四月脫離了DNC組織，CrowdStrike研究仍顯示自2015年夏天起COZY BEAR就是在網(wǎng)絡(luò)上成長(zhǎng)最快的黑客小組，其可能允許訪問的信息呈指數(shù)級(jí)增長(zhǎng)。研究人員認(rèn)為這是目前運(yùn)行中最具先進(jìn)持續(xù)性威脅的組織之一。

根據(jù)Alperovitch的調(diào)查，由于那些廣為人知的黑客手段的出現(xiàn)，COZY BEAR已經(jīng)大幅地提升了其使用工具和技術(shù)手段，增強(qiáng)了其躲避檢測(cè)的能力及在最初的妥協(xié)后進(jìn)一步擴(kuò)大網(wǎng)絡(luò)中快速移動(dòng)的能力。在這種情況下，攻擊者通過偽造來自知名智庫(kù)團(tuán)和地緣政治顧問組的郵件來誘騙受害者打開電子郵件。

Alperovitch告訴一位國(guó)防部人士CrowdStrike能夠立刻檢測(cè)到入侵行為，但它要花費(fèi)30分鐘將一個(gè)受感染的機(jī)構(gòu)從網(wǎng)絡(luò)上的其他機(jī)器中系統(tǒng)隔離，“到那時(shí)，好幾個(gè)系統(tǒng)已經(jīng)被感染。”

即使在檢測(cè)之后機(jī)器之間的快速，橫向移動(dòng)，也和COZY BEAR的操作方式保持一致。在目標(biāo)對(duì)象打開一個(gè)鏈接到錯(cuò)誤域名的電子郵件后，目標(biāo)公司的機(jī)器將下載一個(gè)遠(yuǎn)程訪問工具或RAT（在這種情況下，通常是Microsoft的Excel和Word文件）。這使黑客得以進(jìn)入系統(tǒng)。在感染COZY BEAR病毒的情況下，黑客在進(jìn)行初步檢測(cè)后試圖了解網(wǎng)絡(luò)映射以尋找機(jī)會(huì)進(jìn)入其他系統(tǒng)。黑客“開始打字，比如OK;網(wǎng)絡(luò)是什么樣子？我可以從這臺(tái)機(jī)器上跳到其他機(jī)器上嗎？我有什么權(quán)限，”Alperovitch解釋道。