转载

俄罗斯黑客组织CozyDuke：入侵白宫、窃取奥巴马通信的幕后黑手？

卡巴斯基实验室发现另一名为CozyDuke的APT攻击组织，可能就是此前入侵美国国务院和白宫的黑手，当时该组织窃取了美国总统奥巴马的通信、日程安排等非公开敏感信息。

钓鱼邮件是CozyDuke APT组织攻击的主要方式，虽然没什么新鲜感，但是其内容却花样繁多，如邮件中可能附一个受攻击者控制的恶意网站链接，或者会附上下面含有恶意程序的Flash视频……

一旦成功安装在受害者机器，它首先会检查设备上当前安装的一些防护软件，如卡巴斯基、 Avira、 Comodo、Crystal Security、Dr. Web和Sophos，然后找出逃避方法。它通常会使用假冒的Intel和AMD数字证书来逃避杀毒软件的检测。

通过调查发现，CozyDuke和CosmicDuke、MiniDuke、OnionDuke等APT组织很相似，可能是来自于同一家族或者同一国度的缘故。

卡巴斯基的专家发现CozyDuke使用的一个二级模块Show.dll和OnionDuke使用的一样。这是不是说明CozyDuke和OnionDuke的作者是同一个人或者在一起工作？另外恶意代码和C&C服务器之间的通信方式也一样。

俄罗斯黑客组织CozyDuke：入侵白宫、窃取奥巴马通信的幕后黑手？

卡巴斯基实验室全球研究分析小组的首席研究员Baumgartner坚持认为： CozyDuke肯定和入侵美国国务院和白宫有关，并且他们使用的间谍工具是由说俄语的黑客开发出来。（PS：会说俄语的未必是俄罗斯人吧）

目前各媒体及其相关专家们却对美国国务院和白宫是由俄罗斯黑客入侵深信不疑。

* 参考来源 securityaffairs ，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）

正文到此结束

所属分类：编程技术

本站定位：个人技术类博客

本站作用：写博客、记日志、闲聊扯淡鼓捣技术。