信息化觀察網

近日，據Wired報道，英國、美國和加拿大情報機構聲稱俄羅斯國家黑客組織(APT29)針對新冠病毒疫苗項目發(fā)起針對性攻擊。

上述三國情報官員聲稱，有證據表明黑客組織APT29成員攻擊了參與疫苗開發(fā)的制藥企業(yè)和學術機構。這三個國家的官員認為，這是試圖竊取知識產權和有關潛在疫苗候選者的信息的嘗試。

黑客使用了以前未與俄羅斯關聯的“自定義惡意軟件”，以及其他廣泛使用的軟件（例如VPN）中的許多眾所周知的漏洞。這些攻擊采用了魚叉式釣魚攻擊方式，試圖將登錄詳細信息收集到目標組織系統(tǒng)的聯網存儲器中。

三國情報機構對俄羅斯發(fā)動攻擊的證據充滿信心，以至于英國的國家網絡安全中心（NCSC），加拿大通信安全機構和包括美國國家安全局和國土安全部在內的各種美國安全機構罕見地決定公開譴責APT29為幕后黑手，與此同時，英國政府也認定俄羅斯試圖影響2019年大選。

西方情報機構普遍認為APT29與俄羅斯情報部門有關，并且近年來參與大量網絡攻擊，其中包括在2016年美國總統(tǒng)大選之前對民主黨全國委員會的黑客攻擊。在針對美國的黑客攻擊中，APT29與俄羅斯黑客組織Fancy Bear和APT28協同工作。

NCSC運營總監(jiān)保羅·奇切斯特（Paul Chichester）表示：“我們譴責對那些為打擊冠狀病毒大流行所做的重要工作的卑鄙攻擊。”NCSC還發(fā)布了一份咨文，詳細說明了APT29在攻擊疫苗開發(fā)過程中所付出的努力。官員們沒有評論攻擊是否得手，但也沒有排除這種情況。

網絡安全機構發(fā)布的建議暗示攻擊取得了一定的成功。NCSC在指南指出：

在針對Covid-19疫苗研發(fā)的最新攻擊中，APT29針對目標組織擁有的特定外部IP地址進行了基本漏洞掃描。然后，該小組針對發(fā)現的脆弱服務部署了公共漏洞利用。

NCSC還指出，APT29已成功利用公開的漏洞“獲得了它所攻擊的大學和企業(yè)的最初立足點”。該通報列出了APT29希望利用的許多眾所周知的漏洞。這些包括Citrix網絡系統(tǒng)和VPN中的漏洞。據悉，一旦公開披露了這些漏洞的詳細信息，由國家支持的黑客組織就會迅速嘗試利用它們，以試圖在安全專家可以實施修復之前進行攻擊。

NCSC在其警告通知中說：

在獲得對系統(tǒng)的訪問權限后，APT29可能會放棄進一步的工具利用或尋求獲得受感染系統(tǒng)的合法賬戶憑證，以隱藏并保持持久的訪問權限。攻擊者在使用被盜的憑據時可能會使用匿名服務。

NCSC及美國和加拿大情報機構公布的資料顯示，APT29已部署了自定義惡意軟件。上述情報機構認為這是WellMess惡意軟件和一個名為WellMail的新版本。NCSC說，該惡意軟件至少從2018年就已開始使用。“WellMess是一種輕型惡意軟件，旨在執(zhí)行任意的shell命令，上傳和下載文件。該惡意軟件支持HTTP、TLS和DNS通信方法。”