据路透社消息,研究人员周一(1月11日)表示,上月发现全球网络间谍活动背后的组织部署了与俄罗斯黑客先前使用的间谍工具有关的恶意计算机代码。
总部位于莫斯科的网络安全公司卡巴斯基(Kaspersky)的调查人员表示,美国软件制造商SolarWinds使用的“后门”软件,与一个名为“图拉”(Turla)的黑客组织使用的恶意软件非常相似。爱沙尼亚当局表示,该组织是代表俄罗斯联邦安全局(FSB)安全部门运作的。
这些发现是首次公开的证据可以支持美国关于俄罗斯策划了这次黑客袭击的说法。此次袭击危及了大量敏感的联邦机构,是迄今披露的最雄心勃勃的网络行动之一。莫斯科一再否认这些指控。联邦技术规范局(FSB)没有回应记者的置评请求。
卡巴斯基全球研究与分析主管科斯廷·拉尤(Costin Raiu)表示,太阳风黑客与“图拉”使用的名为“Kazuar”的黑客工具有三个明显的相似之处。相似之处在于,这两款恶意软件都试图掩盖自己的功能,不让安全分析师发现,黑客们如何识别受害者以及用来计算病毒休眠周期以避免被发现的公式。
“一个这样的发现可能会被驳回,”拉尤说。有两件事绝对让我感到惊讶,三件就不仅仅是巧合。”精确地确定网络攻击的原因是极其困难的,而且充满迷惑性陷阱。例如,当俄罗斯黑客扰乱2018年冬奥会开幕式时,他们故意模仿一个朝鲜组织,试图推卸责任。拉尤说,他的团队发现的数字线索并没有直接将图拉与太阳风事件联系起来,但确实表明了这两种黑客工具之间存在尚未确定的联系。
他说,它们有可能是同一个组织使用的,但也有可能是Kazuar工具启发了太阳风黑客,这两种工具都是从同一个间谍软件开发商那里购买的,甚至还有可能是攻击者植入了“假旗”来误导调查人员。
美国和其他国家的安全团队仍在努力确定太阳风黑客攻击的全部范围。调查人员表示,可能需要几个月的时间来了解泄密的程度,甚至需要更长的时间将黑客从受害者网络中驱逐出去。美国情报机构表示,黑客“很可能源自俄罗斯”,并将少数高知名度的受害者作为情报收集行动的一部分。