目前已經有多家安全企業提出證據,顯示此前發生的“壞兔子(Bad Rabbit)”勒索軟件攻擊事件與今年6月底出現的NotPetya勒索軟件存在關聯。
包括Bitdefender、思科Talos、ESET、Group IB、Intezer Labs、卡巴斯基實驗室以及Malwarebytes等廠商在內的各安全企業,外加安全研究人員巴特·佩里斯(Bart Parys)皆發布報告強調稱,“壞兔子”與NotPetya在源代碼層面存在顯著的相似之處。
思科的安全專家們在報告中稱,“[壞兔子]似乎與[NotPetya]存在一些相似之處,而后者同樣基于Petya勒索軟件所衍生。其中代碼的主要部分似乎已被重寫。”同樣的觀點亦在其它報告當中得到反復重申。
“壞兔子”很可能屬于TeleBots APT的“杰作”
就在今年6月,ESET方面將NotPetya勒索活動與曾在2015年12月同2016年12月攻擊烏克蘭電網的TeleBots網絡間諜組織聯系起來。
該組織自2007年即開始活動,且曾經使用Sandworm、BlackEnergy以及如今的TeleBots等多個名稱。此外,其它一些鮮為人知的名稱還包括Electrum、TEMP.Noble以及Quedagh。
TeleBots以針對烏克蘭開展攻擊而廣為信息安全專家們所熟知,很多人懷疑該組織在俄羅斯境外活動,但接受俄羅斯政府當局的控制——這是因為該批黑客在俄羅斯入侵前烏克蘭領土克里米亞半島之后,轉而將行動重點放在打擊烏克蘭目標上。
在2017年1月至3月期間,TeleBots攻擊者破壞了烏克蘭的一家軟件公司(與ME Doc無關),并利用其中的VPN隧道訪問了幾家金融機構的內部網絡。到了6月,NotPetya勒索病毒重創歐美國家,當時NotPetya勒索軟件對烏克蘭用戶的感染規模最大,占全部感染案例中的60%到70%。
不過這一次爆發的“壞兔子”攻擊則與此前完全不同,此次大多數受害者身處俄羅斯(約為70%)。但盡管俄羅斯本土感染數量更高,但大多數高價值目標仍然集中在烏克蘭——包括該國的機場、地鐵系統與政府機構等等。
該組織投入數個月建立基礎設施
除了對“壞兔子”的源代碼進行研究之外,還有報告對攻擊活動背后所使用的基礎設施作出了探尋。
根據RiskIQ與卡巴斯基實驗室專家們的觀點,這批黑客投入數個月入侵多個網站,旨在托管其用于推送偽造Flash播放器更新以進行勒索軟件傳播的惡意腳本。在這項工作完成之后,“壞兔子”網絡移動模塊才會介入并執行后續攻擊。
只有TeleBots這類國家支持下的黑客組織才有可能投入三到四個月的時間,為自己的勒索軟件構建基礎設施體系。
此外,根據RiskIQ公司的報告,一部分受到入侵的網站可以追溯到2016年——這再次證明其此前就很可能曾被用于其它攻擊行為。
研究人員將“壞兔子”視為障眼法
正因為如此,不少專家才更傾向于把目前的勒索軟件攻擊視為掩蓋其它更為險惡的攻擊行為的一種障眼法。
專家們認為,就在調查人員將精力集中在控制該勒索軟件感染的同時,TeleBots方面很可能會悄悄竊取來自敏感目標的數據。再有,TeleBots還可以利用勒索軟件摧毀可能導致以往攻擊活動曝光的行動痕跡與證據。
以部署勒索軟件的方式進行自我隱匿無疑是種新穎的攻擊概念,但事實證明其當下已經真正發生。
京公網安備 11010502049343號