多年来,俄罗斯政府黑客一直使用多个虚构的角色来隐藏行踪,并试图诱骗安全研究人员和政府机构将责任推给错误的方向。
当他们入侵民主党全国委员会时,他们假装是一个名叫 Guccifer 2.0 的孤独的罗马尼亚黑客活动家;释放了 一种破坏性的恶意软件,其设计看起来像普通的勒索软件;隐藏在伊朗黑客组织使用的服务器中;自称是一个名为 Cyber Caliphate 的伊斯兰黑客组织;入侵 2018 年冬季奥运会,留下指向朝鲜和中国的面包屑;并在据称由名为 Cyber Berkut 的黑客组织实施的黑客和泄密行动发布的文件中加入虚假证据。
现在,安全研究人员声称发现了一个新的俄罗斯政府虚假旗帜。
根据 BlackBerry 的安全研究人员的说法,名为Cuba Ransomware 的网络犯罪组织之前与一种名为 RomCom RAT 的恶意软件相关联,它根本不是网络犯罪组织。研究人员说,这实际上是一个为俄罗斯政府工作的团体,目标是乌克兰军事单位和地方政府。
“这是一种误导性归因,”黑莓网络威胁情报团队高级主管 Dmitry Bestuzhev 说,他指的是 RomCom RAT 与古巴之间的联系。 “看起来这只是另一个为俄罗斯政府工作的部门,”他说。
俄罗斯驻华盛顿大使馆没有回应置评请求。
RomCom RAT 是一种远程访问木马程序,由帕洛阿尔托网络安全研究小组 Unit 42 于 2022 年 5 月首次发现。该公司的安全研究人员将该恶意软件与古巴帮派联系起来,该帮派使用勒索软件对付“金融服务”领域的目标、政府设施、医疗保健和公共卫生、关键制造和信息技术,”美国网络安全机构 CISA 表示。
这个名字来自该组织本身,该组织在其黑暗网站上使用了菲德尔卡斯托和切格瓦拉的插图,尽管没有研究人员发现任何证据表明该组织与这个岛国有任何关系。
据报道,RomCom RAT 使用流行应用程序的伪造版本来瞄准其受害者,例如密码管理器 KeePass、IT 管理工具 SolarWinds、Advanced IP Scanner 和 Adobe Acrobat reader。根据 Bestuzhev 及其同事的说法,在过去几个月中,RomCom RAT 还针对乌克兰军事单位、地方政府机构和乌克兰议会。
别斯图热夫解释说,他们的结论不仅基于目标,还基于黑客行动的时机。
他的团队已经追踪该组织一年,并通过互联网追踪其踪迹。作为调查的一部分,研究人员观察到黑客使用不同的数字证书来注册他们用来在目标上植入恶意软件的假域名。
在一个案例中,研究人员目睹了黑客在 3 月 23 日创建了一个奥地利出示的数字证书来签署一个诱杀的网站,一周前乌克兰总统 Volodymyr Zelensky 通过视频电话向奥地利议会发表讲话。
同样的模式也发生在其他时候。当 RomCom RAT 黑客在 2022 年 11 月模仿 SolarWinds 网站时,正是乌克兰军队进入被围困的赫尔松市的时候。当黑客在 2022 年 7 月模仿 Advanced IP Scanner 时,恰逢乌克兰开始部署美国政府提供的 HIMARS 火箭。然后在 2023 年 3 月,黑客模仿了远程桌面管理器,当时乌克兰飞行员正在接受驾驶 F-16 战斗机的训练,波兰和斯洛伐克决定向乌克兰提供军事技术。
“所以每次重大事件发生时,比如地缘政治中的大事件,尤其是在军事领域,RomCom RAT 就在那里,就在那里,”Bestuzhev 说。
然而,其他安全研究人员以及乌克兰政府本身仍不完全相信 RomCom RAT 和 Cuba Ransomware 实际上是俄罗斯政府的黑客。
Palo Alto Networks Unit 42 的高级研究员 Doel Santos 表示,RomCom RAT 恶意软件背后的组织“比传统的勒索软件组织更复杂”,因为它使用了自定义工具。
“第 42 部队看到了针对乌克兰的活动。这存在间谍角度,因此,他们可能会从一个民族国家获得指导,”桑托斯告诉 TechCrunch。 “但是,我们不知道这种关系的程度。它超出了勒索软件组织的正常活动范围。”
不过,桑托斯补充说,“一些团体为了获得额外的工作而兼职——这可能就是我们在这种情况下看到的情况。”
别斯图热夫表示,他和他的团队考虑过这种可能性,但根据黑客的坚持、攻击的时间和目标排除了这种可能性,这表明他们的真正目标是间谍活动,而不是犯罪。
“但没有足够的证据将其与俄罗斯联系起来(除了俄罗斯是对此类信息最感兴趣的政府这一事实),”SSSCIP 发言人补充说。
一直在追踪黑客组织的谷歌威胁情报团队发言人马克卡拉扬表示,“我们的团队在没有看到 [BlackBerry] 的完整研究之前无法自信地确认或否认这些发现。”
Bestuzhev 表示,他的团队不打算公布他们发现的所有技术细节,以试图不向 RomCom RAT 黑客展示他们的手,并阻止他们改变他们的策略和技术。 Bestuzhev 解释说,这样一来,他们就可以继续跟踪黑客,看看他们接下来会做什么。
RomCom RAT 和 Cuba Ransomware 的真正幕后黑手尚无定论,但 Bestuzhev 和其他公司的研究人员将继续关注该组织。
“那些家伙,比方说,他们知道我们知道。我们爱彼此。所以这就像一种长期的关系,”Bestuzhev 笑着说。
你有关于这个黑客组织的更多信息吗?或者其他参与乌克兰战争的黑客组织?我们很乐意听取您的意见。您可以通过 Signal 安全地联系 Lorenzo Franceschi-Bicchierai,电话 +1 917 257 1382,或通过 Wickr、Telegram 和 Wire @lorenzofb,或发送电子邮件至 [email protected]。您还可以通过SecureDrop联系 TechCrunch。
研究人员称,以乌克兰为目标的网络犯罪分子实际上是俄罗斯政府黑客