英國政府在7月16日公開向俄羅斯情報局(GRU)喊話,要求他們應停止指使駭客集團APT29針對武漢肺炎(COVID-19)疫苗的研究組織發動網路攻擊,企圖竊取相關組織的研究機密。
根據英國國家網路安全中心(National Cyber Security Centre,NCSC)與加拿大通訊安全局(Communications Security Establishment,CSE)的調查,從2020年初以來,APT29就鎖定了美國、英國與加拿大的各個武漢肺炎疫苗研發中心展開網路攻擊行動,意圖竊取與疫苗相關的開發及測試資訊。
同時不管是NCSC、CSE或美國網路安全及基礎設施安全局(Cybersecurity and Infrastructure Security Agency,CISA)都相信,APT29隸屬於俄羅斯情報局。APT29還有其它的名稱,例如Cozy Bear或The Dukes。
NCSC與CSE的調查顯示,APT29經常利用公開的攻擊程式,來掃描與開採含有安全漏洞的系統,以取得相關系統的存取憑證,遭到該集團鎖定的漏洞包括Citrix產品上的CVE-2019-19781、Pulse Secure的CVE-2019-11510、FortiGate的CVE-2018-13379,以及Zimbra的CVE-2019-9670等,在擄獲系統的存取權之後,APT29會進一步植入其它惡意程式,諸如客製化的WellMess與WellMail。
其中,2018年問世的WellMess是以Go語言或 .NET撰寫,它是個小型惡意程式,主要用來執行任意的Shell命令,或是上傳與下載檔案;WellMail也是個輕量工具,可與C&C伺服器通訊,並執行命令與腳本程式。
NCSC表示,對於APT29身為GRU的一部份,他們有95%的把握,而對於APT29的攻擊行動是為了蒐集與武漢肺炎相關的研究及疫苗研發,則有80%~90%的把握。
英國外交大臣Dominic Raab指出,他們完全無法接受GRU鎖定這些致力於對抗疫情的組織發動攻擊,正當英國與其聯盟正在努力尋找疫苗以維護全球健康之際,竟然有人透過粗魯的行為來追求自身的利益,英國將會繼續對抗這類的網路攻擊,並與盟國共同追究肇事者的責任。
熱門新聞
2024-11-18
2024-11-20
2024-11-12
2024-11-15
2024-11-15
2024-11-19