对抗 Ursa：电子邮件爆炸：俄罗斯网络间谍活动攻击北约 | 技术

在远离战争前线的地方，还有另一场针对俄罗斯的战争，每天都在进行。 它是通过受感染的电子邮件在数字战壕中进行的，北约成员国已经处于戒备状态并参与其中。 西方情报机构和网络安全公司打击恐怖组织。 黑客 例如战斗 Ursa (APT28) 和 Cloacked Ursa (APT29)， 美国 和英国与俄罗斯国家相连。 其密集的活动意味着大西洋联盟公共和私营部门的工作人员只需点击恶意消息，就有可能为克里姆林宫的网络间谍打开大门。

北约发言人向《国家报》解释说：“网络空间时刻都在经受考验，邪恶行为者试图影响北约成员国的基础设施、干扰政府服务、提取情报并窃取知识产权。” 该发言人证实，俄罗斯国家与 APT28 和 APT29 等组织的关系“有据可查”，并且该联盟毫不犹豫地指出他们与俄罗斯情报部门保持的联系。 该联盟补充道：“盟国还将一系列网络事件归咎于与俄罗斯国家有关的团体，并对与他们有关的个人实施了制裁。”

根据该组织的数据，自 2022 年以来，大约有 13 起网络攻击被正式归因于（或至少在“可能”的情况下）Fighting Ursa 发起的攻击，其中 2 起网络攻击是 Cloacked Ursa 发起的。 网络和平研究所收集的数据是一个专门研究网络威胁的非政府组织，由微软和万事达卡等公司资助。 这些组织的主要目标是位于乌克兰（主要是基辅）的实体，但也记录了针对位于波兰、美国和比利时（布鲁塞尔）的机构的行动。 据该非政府组织称，其中八次攻击的目的是数据提取或间谍活动。 在大多数情况下，电子邮件是主要的渗透手段。

“所有网络间谍组织的目的都是窃取信息，使各自国家获得某种地缘政治或战略优势，”该组织的发言人向本报解释道。 国家密码中心（CCN），隶属于国家情报中心。 该组织认为，可能这些 黑客 考虑到与俄罗斯军事和情报机构的联系，寻求支持俄罗斯战争努力的信息。 “在 APT28 和 APT29 的具体案例中，公共部门的通常目标是政府机构和关键基础设施。 在私营部门，共同目标是国防、技术、能源、金融和运输公司，”国家密码学中心详细介绍道。

展望、汽车销售和有毒 PDF

然而，网络安全公司 Palo Alto Networks 的一项调查估计，北约国家中至少 30 个军事、外交、政府和私人实体成为 Fighting Ursa 在 14 个国家（包括 2022 年和 2023 年）恶意电子邮件活动的目标。该公司向《国家报》独家透露，其中六人是军人，三人是外交官，其余人属于公共或私营部门。 具体来说，其中 26 个目标是欧洲的，包括大使馆和国防部、外交部、内政部和经济部，以及至少一支北约快速部署部队。

在这次行动中，乌克兰、约旦和阿拉伯联合酋长国（尽管不是大西洋联盟成员，但属于 14 个受影响国家）的机构也受到了攻击。 “这些攻击的主要目的是获取冒充所需的信息。 这使得攻击者能够在网络内非法访问和操纵，”该网络安全公司的发言人告诉本报。 Palo Alto Networks 强调，他们不知道这些活动是否已成功提取任何类型的关键信息。

该公司警告说，在某些情况下，这些电子邮件甚至不必打开即可污染计算机。 事实上，最新的“Fighting Ursa”活动中使用的那些攻击是基于 Microsoft Outlook 程序中的一个“漏洞”，当受害者收到“特制”电子邮件时，该程序会自动激活。 该公司强调，该缺陷 软件 无需用户交互即可泄露目标信息，从而允许 黑客 欺骗凭据并随后对您的网络进行身份验证。

就“Cloacked Ursa”事件而言，网络和平研究所专家向本报解释称，官方认定的两次攻击是针对北约多个国家位于比利时的总部，但也针对欧盟政府实体。 网络和平研究所发言人表示：“针对两个交战国以外目标的网络攻击表明，行动可以扩展到他们通过军事或人道主义援助、金融制裁或政治支持所支持的国家。”

该组织还曾多次试图渗透北约驻乌克兰外交使团（包括西班牙、丹麦、希腊和荷兰）。 事实上，Palo Alto Networks 的调查记录了 2022 年至 2023 年间的两次行动，其中通过包含恶意文件的虚假电子邮件冒充了外交官的身份。 第一种格式包含宝马汽车销售广告的受污染版本，当时一名波兰官员正在提供该广告。 第二个模拟来自葡萄牙或巴西大使馆的邀请，其中包含被能够提取存储在 Google Drive 和 Dropbox 中的信息的程序污染的 PDF 文件。

“斗篷熊表演 网络钓鱼 利用诱饵迫使目标点击电子邮件，通常会激发人们的好奇心。 无论是针对外交官的廉价宝马广告，还是使用土耳其地震或 Covid-19 的主题。 他们使用这些电子邮件主题行来吸引目标点击链接。”Palo Alto Networks 发言人详细介绍道。 该公司声称，Cloaked Ursa 使用“公开”的大使馆电子邮件地址来实现宝马行动中约 80% 的目标，而其余 20% 则作为其他俄罗斯情报行动的一部分而被收集。

北约发言人回应《国家报》称，她没有证据表明大西洋联盟的机密网络在这些行动中受到了与这些组织有联系的参与者的破坏。 同样，她强调，“最近几天”，盟国单独采取了新措施，以停用与 APT28 相关的“网络盗版网络”。 同样，西班牙外交部发言人回应本报称，“迄今为止，包括基辅在内的任何总部，通过此电子邮件机制或任何其他机制进行的攻击都没有成功”； 并且这些类型的威胁会被“企业防病毒解决方案”自动过滤和消除。

作者身份问题

尽管还有其他组织 黑客 俄罗斯人（比如 康蒂 或人民网络军队），只有“战斗熊”和“隐形熊”与俄罗斯国家有直接联系。 具体来说，CCN、Palo Alto Networks 和网络和平研究所的专家都认为，Cloaked Ursa 将与俄罗斯情报部门（SVR）相关，而 Fighting Ursa 则与总参谋部主要情报局相关俄罗斯（格鲁乌）。 专家强调，这些联系也遭到了美国和美国政府的公开谴责。 英国以及微软等技术领域的公司。

那么，如果有这么多实体将这些攻击归咎于克里姆林宫，为什么没有对克里姆林宫进行报复呢？ 问题是有足够的确定性来提出直接指控。 埃尔卡诺皇家研究所俄罗斯、欧亚大陆和巴尔干地区高级研究员米拉·米洛舍维奇解释说，这些案件的专家意见往往需要很长时间，而且很难找到确凿的证据。 “作者身份是此类网络战争中最大的问题之一。 一个好的 黑客 隐藏他的行动。 例如，实际领土通常与开展活动的人群所在的国家/地区不一致。 如果攻击来自委内瑞拉或古巴，这并不一定意味着他们的政府是幕后黑手。 没有人能够证明弗拉基米尔·普京下令对北约发动网络攻击。 没有任何国家谈论 黑客 它有什么，”专家说。 沿着这些思路，她指出 黑客 他们留下“面包屑”，目的是迷惑任何想要调查攻击的人。

就 CCN 而言，他们认为完全基于技术证据的网络攻击归因是“当今最复杂的任务之一”。 然而，他们补充说，无论这两个网络间谍组织实施的攻击的地理来源如何，似乎很清楚的是它们必须得到国家的支持。 “他们使用的基础设施和工具，以及攻击的复杂性和目标，只有拥有大量资源和广泛技术知识的高度敬业的团体才能做到。 只有当它们作为该结构的一部分或在情报部门的支持下运作时，这才有可能，”国家密码学中心的发言人向本报保证。

盟军的回应

CCN表示，西班牙及其盟国近年来监测和检测能力显着增强。 该实体表示：“越来越多的有关敌对行为者的信息被分享，因为它们是只能共同应对的全球威胁。”

“北约已将网络空间指定为作战领域，并认识到不利的网络活动可能触发联盟的集体防御条款。 虽然盟国负责其国家网络的安全，但该组织通过交换有关威胁的实时信息以及提供培训和专业知识来支持其网络防御，”北约发言人向本报解释道。

该发言人补充说，大西洋联盟还开展了世界上最大规模的网络防御演习，并设有专家团队，准备在发生网络攻击时帮助盟友。 “由于大多数网络都是私营的，我们也在扩大与该行业的联系。 网络空间是联盟将继续像在空中、陆地和海上一样有效地运作和保卫自己的领域，”他们在该组织中指出。

米洛舍维奇则补充说，在网络攻击之后 2007年爱沙尼亚，北约已经在考虑对这些事件采取军事反应。 然而，他认为技术能力的发展“如此迅速”，以至于法律通常滞后，从而造成官僚障碍。 “混合战争的第一阶段是网络空间和信息的控制。 就俄罗斯而言，这一点已经非常发达。 瓦莱里·格拉西莫夫俄罗斯总参谋长有一篇文章说，与以往战争的不同之处在于对这个空间的控制。”该专家向本报解释道。

尽管如此，埃尔卡诺皇家研究所的研究人员认为，网络安全链中最薄弱的环节始终是人为因素，除了电子邮件之外，俄罗斯人还开发出了一整套手段来 黑客 移动电话并以数字方式访问机密或敏感信息。 “俄罗斯人从不睡觉，总是从事间谍活动。 转述一句众所周知的短语 斯坦尼斯拉夫·列夫琴科这位专家开玩笑说：“如果你寻找技术漏洞，你就会发现克格勃的继承人。”

您可以关注 EL PAÍS 技术 在 Facebook y X 或在这里注册以接收我们的 时事通讯。

_