俄羅斯黑客組織APT28在英國注冊企業IDC服務商Crookservers處消費超過6000美元，曾租其服務器，并因此留下大量線索。

APT28曾利用相關計算機設備攻擊德國議會、劫持尼日利亞政府網站流量，并實施針對蘋果設備的攻擊活動。

APT28購買英國服務器

Crookservers公司曾在發現相關惡意活動之后采取行動以驅逐APT28黑客組織。該公司提供的技術與財務記錄顯示，APT28獲得了大量資金并曾使用在線金融服務，其中一部分操作在此后的反洗錢行動中遭到封鎖。

俄羅斯黑客組織APT28頻繁利用“熱點新聞事件”發起DDE攻擊-E安全

APT28——又名Sofacy、Fancy Bear 、Iron Twilight、Tsar Team、Pawn Storm、Strontium、Sednit——與俄羅斯情報部門有所關聯。

網絡安全企業Crowdstrike公司此前曾發現“APT28的一系列惡意舉動，該組織曾經在2016年針對美國民主黨全國委員會(簡稱DNC)的攻擊活動當中發揮關鍵性作用，這一事件中黑客使用的攻擊代碼包含某個曾歸屬于Crookservers公司的一臺專有服務器的IP地址。

根據網站歷史注冊記錄，早在2012年，Crookservers公司就公布了其位于奧爾德姆的辦公地點——身處一條不起眼的公路旁邊。在不久之后，其經營地點轉向巴基斯坦。BBC方面并沒有發現該公司或其員工與這一經營地址相關的任何證據，Crookservers公司與這里使用同一地址的某家報刊經銷商也似乎沒有任何交集。

Crookservers公司是一家所謂服務器經銷商，且僅提供在線業務。其負責轉租的計算機實際上歸另一家在法國及加拿大經營的公司所有。

俄羅斯黑客組織APT28曾立足英國開展惡意活動-E安全

英國廣播公司BBC將Crookservers背后的實際運營者確定為Usman Ashraf(烏斯曼·阿什拉夫)。根據社交媒體及其它在線帳戶的信息來看，此人在2010年至2014年居住在奧爾德姆地區，而他如今似乎身在巴基斯坦。Ashraf回應稱自己并不清楚客戶當中存在黑客組織，畢竟太關注客戶如何使用服務器這又是一個問題。2015年，他收到了黑客方面的警報，并迅速采取行動以關閉APT28所持有的帳戶。他還建立起一項“核查”流程，對全部被懷疑遭到濫用的帳戶中的60%到70%進行了剔除，但“濫用情況并沒有帶來任何安全問題。”

使用虛假身份掩蓋行蹤

過去三年以來，APT28從Crookservers手中租用計算機，并在過程當中使用虛假身份、虛擬專用網絡(簡稱VPN)以及難以追蹤的支付系統。

Secureworks公司的Mike McLellan(邁克·邁克萊倫)指出，黑客們采用的交易工具相當粗劣，黑客們顯示出糟糕的“交易能力”。

在一條通信內容中，化名為Roman Brecesku的黑客抱怨稱他的服務器已經遭到“破解”。一名使用假名字的APT28黑客抱怨他的服務器遭到入侵。Crookservers 公司此前與德國議會遭遇攻擊有關。

根據BBC方面的記錄，這臺被用于控制惡意軟件的服務器是由一位化名為Nikolay Mladenov的黑客從Crookservers公司處租下，并使用比特幣與完美貨幣進行支付。這名黑客到2015年6月之前一直持續使用這臺服務器，直到攻擊活動被媒體曝光后這臺服務器遭到Crookservers公司的清理。2014年范堡羅航空展上被用于定位某些與會者的惡意軟件當中，包含該服務器的IP地址。被用于攻擊英國電視臺的APT28惡意軟件中同樣包含此條IP地址，不過該服務器在這些攻擊發生時已經不再由APT28所實際使用。

Mladenov所使用的某個財務帳戶亦被另一位化名為Klaus Werner的黑客掌握，旨在通過Crookservers啟用更多計算機設備。根據Secureworks方面的分析，Werner所租用的其中一臺服務器被用于接收來自合法尼日利亞政府網站的“重新定向”流量。

仍有8臺服務器用途不明

APT28黑客組織成員Mladenov與Werner(二者還曾分別使用Bruno Labrousse與Roman Brecesku等化名)所使用的財務帳戶也曾被用于從Crookservers處租用其它服務器。

俄羅斯黑客組織APT28曾立足英國開展惡意活動-E安全

其中一臺服務器與郵箱地址似乎與專門針對iOS設備的“高級間諜”惡意軟件有所關聯。該惡意軟件能夠開啟錄音功能并竊取短信信息。另一個被用于租用服務器的郵箱地址則與保加利亞國家安全局遭遇攻擊事件有關。除此之外，另有8臺被綁定至同一財務信息的專用服務器尚不明確具體用途——這可能意味著APT28還有其它未被公開披露的攻擊活動存在。

APT28通過洗錢平臺進行交易

APT28先后通過匿名支付服務向Crookservers支付了至少4534英鎊(約合人民幣39870元)費用。具體支付手段包括比特幣、自由儲備銀行與完美貨幣銀行。自由儲備銀行在經過國際洗錢調查后遭到關閉。

英國專門負責研究與比特幣相關的‘非法活動’的Elliptic公司的Tom Robinson(湯姆·羅賓遜)對APT28組織的比特幣支付活動開展調查，并追蹤到了APT28支付活動中的一些蛛絲馬跡。

Robinson及其團隊表示已經確定了這些資金所對應的錢包，其中的比特幣總價值約10萬美元，并將錢包中的一部分資金追溯至數字貨幣交易平臺BTC-e。今年7月，BTC-e被英國當局關閉，理由是俄羅斯方面指控該平臺創始人涉嫌洗錢。

盡管BTC-e廣受俄羅斯網絡犯罪分子歡迎，但BBC方面并沒有發現其對包括APT28在內的客戶管理證據。

財務與技術記錄與此前同APT28相關的幾輪攻擊活動聯系起來。更進一步的財務追蹤很可能會帶來其它結論。英國IDC服務商Crookservers公司已于今年10月10日關閉。APT28組織的活動仍在繼續。