认识多产的俄罗斯间谍组织黑客间谍大师和立法者

一个据称与俄罗斯情报部门有联系的臭名昭著的黑客组织声称其最新的受害者是英国议员斯图尔特·麦克唐纳。

麦克唐纳是格拉斯哥南部选区的议员，他告诉BBC 新闻，他担心在他的个人电子邮件帐户“被俄罗斯黑客入侵”后，他成为了“虚假信息”运动的受害者。麦克唐纳说，黑客发送了一份文件，声称包含有关乌克兰的军事更新，但打开后包含一个钓鱼页面，诱使他输入他的电子邮件地址和密码。

很明显，这次黑客攻击中使用的策略反映了最近 NCSC 关于针对学术界、国防、政府组织、非政府组织、智库以及政治家、记者和活动家的鱼叉式网络钓鱼电子邮件的咨询通知。 https://t.co/dN0pHaY4iN

– 斯图尔特麦克唐纳议员 (@StewartMcDonald) 2023 年 2 月 8 日

据信，此次入侵与多产的“Seaborgium”黑客组织有关，该组织也被称为“Cold River”和“Calisto”。

Seaborgium 可能不像俄罗斯的Fancy Bear或Sandworm黑客那样出名，但它正在迅速为自己赢得名声。英国政府警告说，该组织“无情地”追捕受害者，安全研究人员表示，该团伙不断增加的目标清单——包括政治家、国防和政府组织——表明 Seaborgium 与俄罗斯政府关系密切。

谁是 Seaborgium？

Seaborgium 黑客组织至少从 2017 年开始活跃，以针对北约国家（尤其是美国和英国）以及更远的波罗的海国家、北欧国家和东欧国家开展长期网络间谍活动而闻名。

微软的威胁情报中心 (MSTIC) 自该组织成立以来一直对其进行跟踪，评估认为 Seaborgium 是一个总部设在俄罗斯的组织，其“目标和受害者学”与俄罗斯国家利益密切相关。

“虽然我们不能排除该组织的支持分子目前或之前可能与犯罪或其他非国家生态系统有联系，但 MSTIC 评估在 Seaborgium 入侵期间收集的信息可能支持传统的间谍活动目标和信息操作，而不是出于经济动机，”微软研究人员表示。

法国威胁情报初创公司 Sekoia.io 将该组织追踪为“Calisto”，在 12 月表示，虽然没有技术证据表明 Seaborgium 与已知的俄罗斯黑客组织有关，但它发现该黑客组织“有助于俄罗斯情报收集有关确定了与战争罪有关的证据和/或国际司法程序。”

Seaborgium 的目标是谁？

Seaborgium 历来针对的行业包括学术界、国防、政府组织、非政府组织和智囊团，以及政治家、记者和活动家。

2022 年 5 月，谷歌的威胁分析小组将 Seaborgium 称为“冷河”，将其归因于一次黑客和泄密行动，该行动导致大量电子邮件和文件被盗，并从英国脱欧的高级支持者那里泄露，其中包括理查德·迪尔洛夫爵士，英国对外情报局军情六处前负责人。被盗文件在社交媒体上传播，以放大英国退欧支持者阴谋罢免当时在任总理的虚假叙述。

今年 1 月，据透露，Seaborgium 去年还针对美国三个核研究实验室（布鲁克海文实验室、阿贡实验室和劳伦斯利弗莫尔实验室）的科学家。

微软的威胁情报部门 MSTIC 表示，在 2022 年 2 月俄罗斯入侵之前的几个月里，它还看到 Seaborgium 以及参与乌克兰战争支持角色的组织以乌克兰政府部门为目标。 Seaborgium 以前情报官员、俄罗斯事务专家和海外俄罗斯公民为目标，表明该黑客组织也参与了国内监视活动。

微软表示，大约 30% 的 Seaborgium 活动针对个人电子邮件帐户。

Seaborgium 的动机是什么？

Seaborgium 入侵的主要目标——通常是冒充真人并使用网络钓鱼诱饵来窃取受害者的电子邮件帐户密码——是为了间谍活动和信息操作。那时，出于某些原因，被盗信息被战略性地泄露，以塑造特定国家/地区的叙述。微软研究人员表示，该组织不太可能出于经济动机。

作为英国网络威胁技术权威的英国国家网络安全中心在最近的一份咨询报告中表示，Seaborgium 倾向于根据他们对黑客感兴趣的信息的感知程度来选择目标，例如政客，记者和活动家。

NCSC 发言人在给 TechCrunch 的一份声明中表示，它正在调查涉及麦当劳电子邮件帐户泄露的事件。 “已向我们报告了一起事件，我们正在为该人提供支持，”这位未透露姓名的发言人说。 “NCSC 定期向议员提供安全简报和指导，以帮助他们抵御最新的网络威胁。这包括在 NCSC 网站上为国会议员及其工作人员提供的专家建议。”

麦克唐纳和 SNP 没有回应 TechCrunch 的问题。

原文： https://techcrunch.com/2023/02/08/seaborgium-cold-river-hacking/