APT28趋势：针对非洲的钓鱼攻击威胁

发布时间:2015-05-22 16:31 作者:lazynms 来源:360安全播报点击:加载中...次

本月初，据称，某安全公司宣称他们已经阻断了俄罗斯某网络罪犯团伙的攻击计划，这帮罪犯团伙计划是向美国多个银行发动网络攻击。但是仔细看看报告背后的细节，而这些攻击者仅仅只是来自尼日利亚的初级网络钓鱼攻击者，而且他们只是简单地注册了一堆虚假的银行网站而已。

报告是由位于科罗拉多斯州普林斯市的安全供应商root9B公司发表的，公司的员工基本上都是由前任美国国家安全局的特工和国防部的网络安全专家。该报告一经发布便引起了多家媒体的争相报道，包括福克斯新闻，Politico，SC杂志和The Hill等多家新闻媒体。root9B公司称其已经发现了俄罗斯黑客团伙的计划，该团伙被人们称为Sofacy或APT28。

Eric Hipkins 是root9B公司的CEO，他在日志中写到：“当我们对root9B的客户端进行监控时，公司发现那些恶意软件往往与跨国网络攻击有联系。”他还说此类攻击针对的是各种金融机构，例如美国银行，区域银行和TD银行等金融机构。

Hipkins说：“这是我们所发现的第一个Sofacy的攻击事件，我们在攻击发生之前就对其进行了识别和报告。我们的团队做了一件非常了不起的事情，我们发现了一件对国际金融界来说非常有意义的事件。我们在过去三天的时间内通知了华盛顿和阿联酋的相关部门，还包括金融组织的首席信息安全官。”

然而，根据一份对犯罪分子在攻击中计划使用的域名所进行的分析来看，也许root9B公司应该向大家解释清楚，APT到底是什么意思。除非公司对他们的研究保留了某些关键信息，那么他们对APT的定义应当精确地描述为“African Phishing Threat(非洲钓鱼攻击威胁)”。

报告中所识别的几个关键的电子邮件地址和诈骗分子在所有假冒银行网站中共同使用的物理地址都是正确的。但是root9B公司似乎缺少证据去证明，到底是谁注册了Sofacy APT黑客团伙所使用的那些域名。实际上，对他们的分析可以解读为，他们唯一的联系就是某些虚假银行网站所使用的域名服务器:carbon2u[dot]com(警告：恶意主机很有可能会引起反病毒警报)与之前Sofacy组织的攻击活动有某种关联。

尽管域名carbon2go[dot]com曾经的确表现出与Sofacy APT组织的攻击活动有某种联系，但问题就在于，Sofacy绝对不是唯一使用那个虚假域名服务器的罪犯团伙。还有大量与Sofacy组织无关的犯罪分子会调用Carbon2go进行DNS解析，包括这些罪犯。

我可以告诉你的是，绝大多数有文件报告记载的犯罪活动都是源于尼日利亚的犯罪分子的，他们已经实施了将近十年的银行网络钓鱼诈骗，并且留下了清晰的犯罪痕迹。

例如，root9B公司在关于虚假域名使用方便的电子邮件地址进行注册的报告中，所使用的域名大多数都是“adeweb2001@yahoo.com,” adeweb2007@yahoo.com,”和“rolexzad@yahoo.com”。

这些电子邮件地址一直都与尼日利亚犯罪分子们的钓鱼网站有联系。这些电子邮件绑定了Showunmi Oluwaseun的Facebook简介，简介中写到他的工作是一个听起来相当可疑的公司的CEO，公司名为Rolexzad Fishery Nig有限责任公司。

域名rolexad[dot]com早在2008年就被aa419.com注册了，这是一个致力于打击钓鱼网站的志愿者组织——尤其是那些尼日利亚的犯罪分子们所注册的钓鱼网站(参考尼日利亚刑法第419条，禁止以各种形式的诈骗和欺诈)。那个域名还与上述提到的电子邮件地址有关联。这些是一些由相同的犯罪分子注册的其他的银行钓鱼网站，这些网站可以追溯到2005年了!

Bob Zito是root9B公司的一名新闻发言人，他说“公司的研究团队所得出的研究报告100%准确，并且它已经被华盛顿多家相关机构(和其他的网络社区，包括网络公司)所认可，并得到一致赞扬。”

我想要知道我是否是唯一一个在寻找root9B公司报告中的错误的人，所以我与Jaime Blasco进行了接触，他是Alien Vault公司的副总裁兼首席科学家，这是一家安全公司，该公司在2014年10月发布了第一个关于Sofacy/APT28组织的研究。Blasco认为root9B公司所发表的研究报告非常的烂。(完整披露：Alien Vault是这篇博文中的广告商之一)

他说：“实际上，root9B所发表的报告与Sofacy组织的活动没有任何的联系。唯一的联系就是Sofacy组织网站所使用的DNS服务器和root9B报告中银行所使用的服务器之间的联系。但这并不意味着它们之间就一定可以相关联。他们这份毫无意义的研究报告竟然可以受到这么多媒体的关注，我表示十分的惊讶，而且报告中所使用的一些词汇真的是看得我头都大。除开这些，这份报告看起来真的很像一份‘市场营销报告’，自从他们发表了这份报告之后，公司第一季度的财政报告显示公司的股票价格上涨了不少。”

Blasco的评论听起来一定很刺耳，但是事实就是root9B公司的主席Joe Grano在报告发表之前的一周内购买了大量的公司股票。在2015年5月14日，root9B公司发布了其2015年第一季度的财政报表。

有一句古老的谚语：当你手中唯一的工具是一把锤子的时候，世界上所有的东西在你看来都变成了铁钉。在这个事件中，如果你一直在对APT进行研究，那么很有可能你会觉得你所见到的每个人都是APT组织的罪犯。

(责任编辑：安博涛)