信息来源:Free Buf
微软表示,APT28的目标是“至少16个国家和国际体育和反兴奋剂组织”。
在2020年东京奥运会前夕,一群知名的俄罗斯政府黑客已经盯住了至少16个国家和国际体育及反兴奋剂组织。攻击就发生在上个月,彼时世界反兴奋剂机构(WADA)宣布:可能禁止所有俄罗斯运动员参加所有体育赛事(包括即将举行的世界锦标赛和奥林匹克运动会)。
微软表示,这次攻击涉及了鱼叉式网络钓鱼,密码喷洒,利用互联网连接的设备以及使用了开源代码和自定义恶意软件。
组织这次攻击的是一群由俄罗斯政府资助的黑客,微软将其称为Strontium,而它更广为人知的名称是APT28或Fancy Bear。
APT28过去曾针对WADA
该组织针对体育和反兴奋剂组织的历史由来已久,第一次攻击可以追溯到三年前,也就是2016年。
APT28以“匿名黑客团体”(Anonymous hacker collective)的一个分支自居,在2016年入侵了世界反兴奋剂机构(WADA),并泄露了内部电子邮件、文件,还有患病运动员为了服用违禁物质而提交的治疗用药豁免(TUEs)相关文件。
两年后,APT28在2018年韩国平昌冬季奥运会开幕式上发布了OlympicDestroyer恶意软件。在活动期间,该恶意软件导致部分路由器瘫痪,虽然没有让直播完全中断,但也影响非常大。
两次黑客攻击都是在国际奥委会和WADA禁止一些俄罗斯运动员参加2016年夏季奥运会和2018年平昌冬季奥运会之后发生的,因此,很多人认为这两次黑客攻击都是俄罗斯当局的某种报复行为。
一些成功的攻击
由于对俄罗斯运动员的新禁令远比前两个禁令还要严厉,很多人认为APT28非常有可能按照老招数发动攻击,微软甚至表示有证据。
2018年底,美国当局追踪到一些APT28黑客成员和被指控的FSB(俄罗斯情报)官员,他们认为这些人正是2016 WADA黑客的幕后黑手。不过,这些人员还未被逮捕,现在处于在逃状态。
这并不是微软第一次追踪APT28黑客活动。他们曾使用物联网设备发现APT28入侵企业网络;在2018年欧盟议会选举前发现该组织以欧洲政治实体为目标;追踪到APT28计划用于瞄准2018年美国中期选举的未知域名。
微软客户安全与信任公司副总裁Tom Burt表示,“其中一些攻击是成功的,但大多数攻击没有成功。”目前微软已经通知了所有受到这些攻击的客户,并努力保护被入侵的帐户或系统。