黑客组织Anonymous和其他针对俄罗斯数据的组织
研究人员发现,俄罗斯数据库的目标是删除文件,并用亲乌克兰的信息重命名文件夹。
我们与网站星球研究团队一起深入研究了著名组织“匿名”针对俄罗斯网站、技术和网络资产实施的网络攻击。在俄罗斯无端攻击乌克兰的同一天,一个与“匿名”黑客集体有关的Twitter账户呼吁来自全球的黑客以俄罗斯为目标,似乎黑客正在接听电话。记录在案;我是一名在乌克兰生活和工作了近十年的美国公民。2月24日凌晨,俄罗斯开始入侵乌克兰。我收拾了一些物品、电脑、硬盘和个人物品,尽快逃离基辅市。到早上7点,通往加油站的队伍已经排了几个小时的长队,主要道路几乎被堵住。仅仅在头三天,就有超过11.5万乌克兰人越过波兰边境,花了4天的时间才抵达。
现在暂时驻扎在波兰克拉科夫,回到网上,我开始搜索网上发生了什么活动,以及在匿名电话后暴露了哪些俄罗斯信息。作为道德安全研究人员,我们一直在寻找暴露的数据和信息,从不针对任何特定的组织或地理位置。在我们为本报告所做的研究中,我们正在寻找位于俄罗斯联邦的IP上托管的、使用无密码保护的云存储库的公开数据,以了解“真实世界事件”的“网络影响”。在过去的几年里,亲俄黑客一直以乌克兰为目标,自从匿名电话以来,我们可以看到现在针对俄罗斯的网络活动出现了转机,我们想进一步调查一下。
我们看到的最经常发生的事件是多个数据集,其中文件名被更改为“乌克兰荣耀”(СааааУаа?)——指1918-1920年乌克兰的独立战争。2014年,乌克兰总统维科维奇的“威严呼声”也进一步削弱了亚努科维奇的威严。很明显,黑客已经访问了这些数据库,删除了文件,并发起了一场网络破坏活动,在文件夹中留下了诸如“普京停止这场战争”、“停止战争”、“不战争”、“哈克德布库兰尼”等许多亲乌克兰的信息。
似乎对于我们查看的大多数数据库,文件夹中的大多数文件都已被删除,不再出现在数据集中。反俄黑客使用了与臭名昭著的“MeowBot”类似的脚本,该脚本更改了文件夹的名称并删除了文件的内容。2020年8月,安全发现公司的鲍勃·迪亚琴科(BobDiachenko)对Meowbot攻击进行了分析,该攻击在几天内清除了数千个数据库,并对丢失数据且无法取回数据的受害者造成了严重破坏。与加密数据并要求付款的勒索软件不同,MeowBot没有任何要求。自动脚本似乎除了清除数据之外没有其他用途。俄罗斯数据库中的一些活动似乎与2020年的MeowBot攻击非常相似(除了这次要求停止战争)。
并非所有文件都从每个数据库中删除,有些文件包含个人身份信息。一个风险数据库包含了被列为“用户”的272394人的信息。我们无法确定这个数据库的所有者,但它也包含亲乌克兰的信息。这些记录包括电子邮件地址、姓名、内部ID和管理信息。知道这些人的姓名和电子邮件帐户可能会让匿名组织和其他组织的成员在网络钓鱼活动中以他们为目标,或者直接向目标发送恶意软件,试图感染他们的设备。
我们使用多个来源来查找这些配置错误的数据库,包括物联网引擎。合法的安全研究人员用来查找数据的方法也可以被黑客使用。这些数据集是由黑客活动人士(或“黑客活动人士”)发现的,根据俄罗斯数据库被攻击的时间线,我们只能假设他们与匿名组织有关联或支持匿名组织。
在云存储数据库的抽样中,我们发现了大量密钥和引用邮件。俄罗斯最大的电子邮件提供商之一ru作为主机服务器。公开私钥或秘密密钥的危险在于,它可以用于解锁或解密加密信息,并以物理密钥解锁门的方式公开任何敏感数据或信息。该数据库还包含消息和文件夹,表明它已成为黑客的目标。目前尚不清楚这些钥匙是否已经被使用,或者它们可能会泄露哪些数据。
我们在研究中发现的其他值得注意的暴露数据集包括俄罗斯互联网提供商“绿点”(GreenDot),该公司在俄罗斯18个城市提供互联网和数字电视服务,包含220万条记录。有少量文件被重命名,但没有像在其他数据库中那样被删除。我们认为这可能是由于各个数据库的权限设置。从理论上讲,黑客拥有足够的内部信息,可以尝试破坏服务或攻击网络的其他区域。我们还发现了一个基于俄罗斯的数据集,其中包含法国家居装饰和园艺零售商LeroyMerlin的信息。该数据库包含分析、安全、授权日志数据、管理员凭据和内部密码。与其他文件一样,文件也被重命名为亲乌克兰的信息。
***我们试图通知受影响或有风险的组织,当我们无法确定所有者时,我们联系了托管提供商,试图保护和保护暴露的数据。
Anonymous有网络行动主义的历史
Anonymous成立于2003年,声称其宗旨是反网络监视、反网络审查、网络行动主义和网络警戒主义。过去,“匿名”组织的目标是美国、以色列、突尼斯、乌干达和其他国家的政府机构。该集团还收购了PayPal、MasterCard、Visa和索尼等公司。有几个附属团体,如LulzSec、AntiSec、NB65和许多其他团体。据信,许多匿名成员参与了基于他们各自支持的问题或原因的多个活动。自2009年以来,只有少数匿名成员因黑客或其他网络犯罪而被捕或受审。俄罗斯的互联网审查制度在国内几乎没有反对的余地,但居住在国外的俄罗斯人已经表达了对乌克兰袭击的不满。网络攻击是匿名组织等非正式团体产生重大影响或造成重大破坏的一种方式,无论它们位于世界何处,同时限制影响(无论是法律上的还是“物理上的”)。讲俄语的黑客可以通过提供内部知识和使用俄语,成为任何针对俄语网络资产的组织的宝贵资产。让这些网络攻击的防御变得更加复杂的是,它们不能与任何国家、国家或特定团体相连接。事实证明,Anonymous是一个非常有能力的组织,已经渗透到俄罗斯联邦的一些高价值目标、记录和数据库中。
O