背景
自2020年12月首次披露以来,涉及太阳风的供应链事件已被关联起来媒体报告俄罗斯情报机构,尤其是俄罗斯的情报机构外国情报机构(SVR)。作为之前报道通过DomainTools,尽管似乎多个政府来源将该事件与SVR联系起来,这已经导致了一种“传递”归因将该活动链接到APT29,也被称为舒适的熊或钇这是与俄罗斯对外情报局(SVR)有关的唯一一个经商业确认的威胁人物名字。
然而,没有任何商业实体响应事件链接SUNBURST恶意软件(或更广泛的Solorigate活动),包括FireEye,微软,Volexity,CrowdStrike,到svr相关的APT29。随后美国政府关于该事件的信息,来自两个网络安全和基础设施安全局报告其中没有明显的归因陈述,到更近期政府声明他们只评估了责任实体“很可能来自俄罗斯”,也没有做出SVR的声明。最初,与俄罗斯情报活动(特别是SVR)的唯一实质性联系是通过向媒体机构泄露信息,私人安全公司基本上不参与讨论。
2021年1月11日,卡巴斯基发布的一份报告改变了这种情况。的报告确认功能和代码级别之间的重叠阳光后门与太阳风病毒感染载体和。net为基础的后门恶意软件有关Kazuar.值得注意的是,Kazuar的活动(根据Kasperksy的分析,该活动一直持续到2020年12月)只与一个威胁集团有关:一个实体被称为Turla.卡巴斯基细致入微的分析暗示,SUNBURST活动和Turla小组可能(尽管还远未得出结论,正如卡巴斯基研究人员指出的那样)相关。
Turla是谁?
Turla-也被称为Snake,Uroburos,有毒的熊,Waterbug据评估,该组织早在2004年就以某种形式活跃。该组织以攻击政治、军事和某些敏感技术领域而闻名,经常与复杂的工具集和大胆的行动有关,如为指挥与控制中心提供卫星互联网连接(C2)活动。
图拉与俄罗斯的利益和活动有关,但从未成为详细报告或权威文件的主题,如美国司法部(DoJ)的起诉书或类似的主要来源。几个实体,例如爱沙尼亚而且捷克情报部门将图拉与俄罗斯联邦安全局(FSB)联系起来。然而,尽管来自美国的多份历史报告报道了Turla活动国家安全局(NSA),中钢协(然后是US-CERT)和英国的国家网络安全中心(NCSC),这些实体只强调图拉“被广泛报道与俄罗斯演员有关”,而避免任何具体的归因。
虽然不能完全忽视爱沙尼亚和捷克的评估,但值得注意的是,美国和英国政府此前对其他与俄罗斯有关的实体进行了非常具体的归因,如APT28而且沙虫-避免类似的评估。虽然Turla-FSB链接是可能的,但目前它不像类似的评估,如GRU链接APT28和Sandworm那样可靠。
检查的可能性
卡巴斯基的分析得出的最直接结论是,SUNBURST与Turla行动有关,这可能会将该行动与俄罗斯联邦安全局(FSB)而不是俄罗斯对外情报局(SVR)联系在一起。然而,卡巴斯基的分析师在他们的报告而且社交媒体的沟通强调虽然SUNBURST-Turla连接是可能的,但这不是唯一的可能性。存在多种可能性,下面将对此进行讨论。
Turla参与
第一种也是最直接的可能性是,图拉确实要为太阳风和相关入侵活动负责。这将为卡巴斯基的发现提供一个非常简单和有效的解释。然而,这一评估和其他数据点存在问题,不支持这一结论。
首先,FSB(可能,尽管不是绝对的,与Turla相关)与SVR(由多个直接来源指出,包括DomainTools可用的一些,可能负责)的区别。与其他与俄罗斯有关的威胁行为者不同,Turla的具体归因很难完全或确定,但人们一致认为,存在的有限声明集中在FSB身上。与此同时,多个消息来源继续强调,SVR对SUNBURST和相关活动负有最终责任。下面将讨论单个参与者在组织之间移动的可能性,但作为一对一映射,如果我们信任多个政府和机密来源,SUNBURST-Turla链接似乎是有问题的。
必须承认,这些资料来源并非没有缺点或批评。爱沙尼亚和捷克的报告将图拉与俄联邦安全局联系起来,没有引用任何重要证据,这些说法也没有得到任何其他报告的支持。与此同时,SVR对SUNBURST的参与并不是基于公开的、有文件记录的报道,而是来自对媒体的泄露和私人对话(如果是可信的)。迄今为止,美国政府实体发表的唯一公开声明都是强调“可能”与俄罗斯有关联,而没有点名具体实体,也没有暗指任何行业威胁行为者。
值得注意的是,自从该组织最初被发现以来,Turla就与复杂的、高度安全的操作入侵有关。因此,像SUNBURST这样的多阶段隐身入侵和相关活动似乎与图拉的行动一致。但是,受害环境中的后续操作,包括广泛使用凭据捕获和重放以及自定义钴罢工功能如文档所示FireEye而且微软,与APT29相关的行为一致。从谍报技术的角度来看,证据是不确定的。
签约演员负责
一种可能是,支持两个不同实体的共享的签约开发人员资源,这可能解释了代码与用于不同参与者的turla链接工具的重叠。在这种情况下,恶意软件开发人员资源不是专门用于或驻留在单个实体中,而是作为提供给实际入侵集的外部服务驻留。
如果使用这种方法,恶意软件样本代码级和功能级的重叠将是通用开发人员环境和趋势的产物,并且将与使用工具的实际参与者无关。以恶意软件为中心的威胁分析面临陷阱和陷阱分析对象代表对手使用的工件或工具,而不一定是对手本身固有的项目。
尽管以恶意软件为重点的威胁情报方法最明显面临的问题是,工具是公开可用的、开源的,或以其他方式不专属于特定威胁行为者的,但网络行动中的分工意味着,在其他“非公开”工具中也可能出现重叠。在这些情况下,单个开发人员或开发人员资源被多方依赖或雇佣来支持工具开发。基于编码的“怪癖”和其他倾向,在与工具功能没有直接或关键关系的工具中出现了微妙的相似之处。
不幸的是,如果不深入了解威胁行为者的操作和资源管理,就很难证明这种类型的归因。然而,我们不能忽视恶意工具创作者的存在——甚至共享的可能性。”数字军需官资源支持不同的团队。如果这是真的,与Turla的重叠将是这种安排的产物,而Solorigate的犯罪者可以完全代表另一个运营实体。
联合行动
围绕Solorigate的总体活动和SUNBURST的部署,一个有趣的场景是联合或分头行动。在这个场景中,网络杀伤链不是由一个整体实体执行或管理的。相反,不同的元素在操作上负责不同的操作阶段,不同的“访问”、“入侵”和“执行”团队承担特定的角色。
如果这是有效的,SUNBURST中的turla链接功能可能是turla(一个已知的、有能力的入侵行为体)的产物,负责对受害网络的初始访问操作。与此同时,后续的开发和横向移动将移交给另一个团队,使用自己的方法、工具和间谍技术来执行操作。
如前所述,SUNBURST似乎至少在表面上与turla相关的能力和操作相似,而后开发活动似乎与APT29相关的行为更密切相关。这种分歧可能不是一种反常现象,但实际上代表了参与同一操作的两个不同的团队。
虽然有限,但公开信息将这些活动与俄罗斯情报界的两个不同部门(分别是FSB和SVR)联系起来,这两个组织合作或以互补方式开展工作的可能性不大,但也不是不可能的。两者都起源于同一个组织——国家安全委员会(KGB)是否有相同的报告和指挥体系隶属于俄罗斯总统委员会这些组织——通常分为(虽然不是完全)内部(FSB)和外部(SVR)——可能会合作,这比任何一个组织与俄罗斯另一个主要情报实体——军方的主要情报总局(GRU)合作更有意义。
尽管这一理论具有挑衅性,但它需要大量的证据来支持。表示初始访问向量的其他工具或能力,类似于SUNBURST,以及后续能力和利用的进一步细节,都需要有足够的信息来证明在不同实体之间划分业务是合理的。尽管如此,我们不能简单地将其视为一种可能性,作为网络威胁情报分析师,我们应该警惕假设所有行动本质上都是“单一”的,而不是在专家团队中划分的复合乐动体育下载链接行动。
“错误旗帜”操作
SUNBURST中与turla相关功能的重叠可能表示威胁行为者试图通过“假标记”误导操作来摆脱归因。所记录的其他研究人员, Solorigate和相关事件可能映射到以前针对高针对性供应链活动注意到的完全不同的威胁。
然而仔细一看,尽管仍然可能的在美国,这似乎不太可能。例如,SUNBURST和相关活动在一个相对模糊的程序功能或趋势水平上运行,例如,它需要一个第三方,不知道在受害者环境中从事任何积极的调查,通过非常详细的恶意软件逆向工程来建立连接。虽然有人会说这样的努力是一个非常精明的、操作安全的操作的一部分,但这种程度的努力和不明显的相似之处(相比于,例如,最终明显的“告诉”嵌入到奥运驱逐舰事件)则表明情况并非如此。将这种(仍然微弱的)链接到Turla的能力依赖于对SUNBURST和Kazuar代码之间不明显的、技术上模糊的重叠的识别,这使得这成为一种非常困难和潜在不可靠的转嫁责任的机制。
其次,尽管就Solorigate的归因而言,现有的信息来源质量已被描述为不太理想,但多个美国政府机构仍公开宣布,与俄罗斯有关的实体“可能”要为此次事件负责。虽然我们可能会谴责缺乏额外的细节和技术指标,使情况更加完整,但这些机构公开发表这样的声明本身就表明,他们对评估的信心程度可能高于附加的“可能”修饰词。
当然,“我们来自政府,相信我们”的立场是有问题的,也不太理想,但总的来说,美国公开归因声明最终被证明完全或灾难性错误的例子并不多见。事实上,之前的研究,比如确认Turla已经破坏了APT34这表明美国和英国政府有能力在虚假旗帜事件发生时将其拆解。因此,虽然不理想,宣言来自CISA、NSA、美国联邦调查局(FBI)和国家情报总监办公室(ODNI)的报告应该让我们作为分析人士三思,不要再用同样毫无根据的“那是什么”来宣称SUNBURST可能是由一个实体执行的假旗行动,比如APT41.
巧合
最后,卡巴斯基确定的问题项目可能最终是巧合的结果。编程重叠可能是开发人员拥有类似的指导人员、查看相同的支持论坛或对类似的问题得出类似的结论的结果。由于缺乏额外的证据支持SUNBURST的开发与Turla有关,作为分析师的我们可能只能从这个角度来解释为什么SUNBURST与Kazuar以微妙的方式重叠,但训练有素的眼睛仍然可以注意到。
尽管令人失望和乏味,但这种解释可能是这种重叠发生的最有可能的原因。然而,导致这些巧合的潜在原因——编程相似性和其他奇怪之处——可能表明Kazuar和SUNBURST之间的背景或开发方法相似,即使在操作上这些项目是由完全不同的实体使用的。这样的洞察可能会为恶意软件开发人员的倾向和类似的观察结果提供有趣的线索,即使这并没有进一步提供谁负责SUNBURST部署的细节。
结论
调查Solorigate的活动,包括其组成部分如SUNBURST和最近披露太阳黑子仍在继续。正如卡巴斯基的研究人员所指出的,在将该活动与任何已知的、被追踪的实体联系起来之前,需要更多的证据,尽管提供的技术分析表明,该活动与历史参与者之间存在微妙的、诱人的联系。尽管如此,作为网络威胁分析师和网络捍卫者,我们必须保持怀疑态度,并处理已识别活动的替代方案,以确保我们不参与可能不利于未来调查的假设或类似的智力捷径。
总的来说,当处理不完整的信息或从外部角度看待入侵时,具体归因的过程仍然是一项异常困难的任务。虽然Solorigate的活动和组件,如SUNBURST和SUNSPOT,是目前密切关注和兴趣的项目,但准确的归属可能取决于额外的信息收集和利用非网络来源,以澄清某些疑问和遗留问题。因此,尽管这在许多层面上让CTI专业人员感到沮丧,但我们可能需要等待数月(如果不是数年的话),才能确定必要的额外信息,以了解在当前威胁行为体的情况下,究竟是谁对这一事件负责。这并不是说这样的任务是不可能的,而是强调需要耐心、冷静的分析和持续的信息收集来确保准确性。