背景介绍
俄罗斯网络间谍活动经常会占据新闻版面的头条位置,有时候是作为肇事者,有时候是作为受害者,甚至有时候可能同时是肇事者又是受害者。
以最近比较受关注的"坏兔子"勒索软件为例,2017年10月24日,多家网络安全公司称检测到一个从俄罗斯和乌克兰地区蔓延开来的新型勒索软件,攻击者入侵了多家俄罗斯的新闻网站,以此为基础散播恶意软件。此次"坏兔子"勒索软件活动对俄罗斯政府机构、乌克兰地区多个重要基础支撑系统的影响较为显著。有些网络专家分析认为"坏兔子"勒索软件与Petya有相似之处。不过,近日乌克兰国家安全局(SBU)声称该活动的幕后操纵者是俄罗斯著名的间谍组织APT28。
另外一件比较热门的事件是关于俄罗斯知名的网络安全企业卡巴斯基实验室的,最近发布的证据表明,俄罗斯政府利用卡巴斯基实验室的技术窃取美国的机密文件,卡巴斯基公司的运营基础是秘密地渗透俄罗斯各类地下论坛,并搜集有关俄罗斯网络犯罪的相关情报。
网络犯罪和网络攻击的发生和发展绝不仅限于俄罗斯地区,世界各地所有与互联网有连接的政府或组织,几乎都在不同程度上参与了网络空间的间谍活动,无论是敌是友,均会相互监控、相互渗透。然而,尽管许多新闻文章对这一情况和一些热门事件进行了非常详细的报道,但所有这些报告并没有深入探究当下这种网络安全状态形成的历史因素。
为了了解目前网络空间的网络犯罪和间谍活动日益普及的原因,需要了解参与方在网络安全方面采取的战略和运营动机,这样做有助于更好的理解威胁演员以及他们的战术,技术和程序(TTP)。
本文,就以俄罗斯为例,进行全方位的深入探讨,主要内容包括:
-
当前的政治、经济、安全形势
-
国家网络战略
-
有组织犯罪活动
-
民间团体及其"不满"
俄罗斯联邦概况
俄罗斯联邦(俄语:Российская Федерация,英语:The Russian Federation),简称俄联邦、俄罗斯或俄国,是由22个自治共和国、46个州、9个边疆区、4个自治区、1个自治州、3个联邦直辖市组成的联邦共和立宪制国家。位于欧亚大陆北部,地跨欧亚两大洲,国土面积为1707.54万平方公里,是世界上面积最大的国家,也是一个由194个民族构成的统一多民族国家,主体民族为俄罗斯人,约占全国总人口的77.7%。国旗为白、蓝、红三色旗。国徽主体为双头鹰图案。
政府首脑:弗拉基米尔・弗拉基米罗维奇・普京 (Владимир Владимирович Путин)
首都:莫斯科
国庆节:6月12日
国内生产总值(按部门计算):农业(4.7%);工业(33.1%);服务业(62.2%)
出口伙伴:荷兰11.9%;中国8.3%;德国7.4%;意大利6.5%;土耳其5.6%;白俄罗斯4.4%;日本4.2%
进口伙伴:中国19.2%;德国11.2%;美国6.4%;白俄罗斯4.8%;意大利4.6%
最主要的出口商品:矿物燃料,包括石油(47.2%);钢铁(4.9%);宝石和贵金属(3.1%);包括计算机在内的机器设备(2.4%);肥料(2.3%);木材(2.3%);铝(2.1%);谷类食品(2%)
冲突地区:叙利亚、乌克兰、北约及盟国、车臣、格鲁吉亚
主要宗教:基督教、伊斯兰教
目前的景观
(一)国际关系(外交)
自从独立以来,相比之前的苏联,俄罗斯联邦表现得更加自信,典型的实例包括:
- 2008,俄罗斯-格鲁吉亚战争(2008年8月8日至18日),因争夺南奥塞梯的控制权而与格鲁吉亚爆发的战争;
- 2014,俄罗斯夺取并吞并克里米亚,随后全面干预乌克兰;
- 2015,俄罗斯军队介入叙利亚冲突,为阿萨德(Bashar al-Assad)政权提供援助。这是俄罗斯自独立以来的第一次"区域外"军事行动;
对于不合作的国家的报复措施也比较大胆、激进,例如,2017年,为了报复美国国会通过的对俄罗斯的新的制裁法案,俄罗斯方面驱逐了755名美国外交官;多次对欧洲领空进行防御性试验;举行海军庆祝日,其中包括了中国军舰。
俄罗斯谋求成为不属于北约阵营的国家的领袖,并利用经济和军事力量对某些西方国家施加压力。俄罗斯天然气工业股份公司Gazprom是全世界最大的天然气开采企业,为中欧、东欧和独联体各国提供所需的几乎全部天然气,已然能够对许多欧洲国家的政治和经济产生影响。
(二)国内安全态势
总统普京上台以后,可以明显地看到俄罗斯政府在加强内部监督和控制方面的努力。在国内,采用立法的形式,"削弱公民的独立意识,尤其是可能会威胁到社会安定的力量","有意的抹黑或者诋毁外国的企业"、"促进亲政府组织及相关基金的发展"。美国的社会组织自由之家最新发布年度自由排行榜中,俄罗斯一如既往的被列入"不自由国家"的行列,典型的例子有针对记者的暴力事件,这被视为是为对媒体自由的严重侵犯。新反恐法《Yarovaya Law》被外界称为"老大哥法",对网友在网上发表意见和评论也进行了严格的限制,例如2016年,名为Alexsei Kungurov的人因发表批零俄罗斯在叙利亚的行动的言论,而被判流放两年。
(三)经济形势
世界银行于2017年5月23日发布了《俄罗斯经济报告――从衰退走向复苏》(Russia Economic Report No.37 — From Recession to Recovery),报告中称:"在外部不利因素逐渐弱化、石油价格不断上涨和宏观稳定性持续增加的背景下,俄罗斯经济显示出令人鼓舞的迹象,逐渐摆脱了2014年以来的衰退境况。俄罗斯主要经济、金融趋势和指标正在改善。预计2017年俄罗斯经济增长率为1.3%,2018和2019年增长率均为1.4%。俄罗斯经济中期向好,但长期增长前景仍受生产率较低的制约。"
2016年底,低油价和对乌克兰的制裁对俄罗斯经济产生了负面影响,但在年底从衰退开始转向复苏。俄罗斯是世界上主要的能源输出国之一,大宗商品价格的下跌和高通胀对普通家庭来说尤其困难。英国《金融时报》报道,俄罗斯经济走出衰退,预测其2017年国内生产总值(GDP)增长将达到1.5%。
普京多次公开表达了在"大数据、人工智能和虚拟现实"等领域建立"数字经济"的兴趣。
德国总理Angela Merkel最近访问俄罗斯,强调两国在经济方面的合作的重要性。德国是俄罗斯的主要进出口伙伴。
俄罗斯目前正面临美国新制裁的威胁,新的制裁可能进一步阻挠最近刚刚恢复的俄罗斯经济。
俄罗斯的国家网络战略
其实俄罗斯的军事理论家们惯于使用术语"informatsionnaya voyna"即"信息战"的意思,而不是使用更为普遍的"网络战"(英文是Cyberwarfare")。俄罗斯最近在发表或讨论"国家安全战略"相关的内容时,根本不使用"网络"这个词,相反,它使用诸如"信息领域"、"信息安全"和"信息基础设施"等词汇。俄罗斯发表过很多类似"承认信息和通信技术是国家安全风险的来源,以及需要加强信息管制"方面的言论和法律条目。2015年,崇尚"军事主义的"的俄罗斯联邦强调了"增强信息战"的能力和手段的必要性和重要性,并指出有"颠覆性的活动,尤其是针对年轻一代人的,旨在破坏于人们保卫祖国的传统的爱国主义精神"。可以说,俄罗斯由于民族主义意识强盛,其对信息战有着更广泛的了解,是由其他更传统的武器相生相伴而来的,诸如"造谣、心理战、电子战和政治颠覆"等。
瑞典国防机构曾发布过一份报告,称 "俄罗斯有一些专门的机构负责发展信息战的能力,其中以GRU、FSB和SVR为典型代表。
俄罗斯格鲁乌总局(GRU)
格鲁乌(GRU)是俄罗斯军事情报总局简称,是俄情报机构中最机密的1个部门。
负责人:Korobov Igor Valentinovich
隶属:国防部
总部:119160、莫斯科(国防部),Khodynka Airfield (GRU) ,"Aquarium"
业务类型:武装部队中央情报局
关注的领域:军事;军事政治;军事技术;军事经济和环境领域
APT组织:APT28,也被称为 "Sofacy"、"STRONTIUM"、 "Pawn Storm"、"Tsar Team"、"Fancy Bear"等。虽然也有人怀疑APT28与FSB有关,但更可能归属于GRU。
其他组织:Yemen网络部队、CyberBerkut、Cyber Caliphate
俄罗斯联邦安全局(FSB)
俄罗斯联邦安全局,全称Федеральная служба безопасности,英译Federal Security Bureau,简称FSB 。苏联解体后,由原来的克格勃改制为俄罗斯联邦安全局,是俄罗斯国家反间谍与情报侦察机构,在职权范围内为俄联邦安全保障领域实施国家管理任务,并有权协调从事反间谍行动的各联邦执行权力机构的活动。
负责人:Alexander Vasilievich Bortnikov
总部:卢比扬卡广场,莫斯科,俄罗斯
业务类型:俄罗斯国内安全和反情报服务
关注的领域:反恐;边境安全;海事安全;经济和资源安全;信息安全
APT组织:APT29,也被称为 "Cozy Bear"
俄罗斯联邦对外情报局(SVR)
俄罗斯联邦对外情报局是俄罗斯联邦的情报机关之一,
【国际资讯】 Tor浏览器中存在TorMoil漏洞 导致用户真实IP地址遭泄露 阅读原文»【国际资讯】 Tor浏览器中存在TorMoil漏洞 导致用户真实IP地址遭泄露
翻译:360代码卫士
投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿
前言
Tor项目团队为Mac和Linux发布了Tor浏览器的安全更新,修复了泄露用户真实IP地址的一个漏洞。
这个漏洞是由意大利网络安全和道德黑客公司We Are Segment的首席执行官Filippo Cavallarin发现的。Cavallarin将该漏洞命名为TorMoil,并于上上周私下告知Tor项目团队。Tor项目的开发人员和火狐团队(Tor浏览器基于火狐浏览器)共同发布了修复方案。
目前,Tor团队发布了版本7.0.9解决这个漏洞问题。该版本仅适用于Mac和Linux用户。Windows版本的Tor浏览器并未受影响。
IP泄露由 "file://" 链接造成
Cavallarin指出,这个问题实际上是一个火狐bug,它存在于火狐浏览器处理file:// URL的方式。虽然这个问题对于火狐而言没有影响,但对于Tor浏览器而言是灾难性的。
Cavallarin表示,当受影响的Tor浏览器用户导航至一个特殊构造的网页时,操作系统可能会直接连接到远程主机,绕过Tor浏览器。这种直接连接到页面的方式并不会通过Tor中继网络,于是泄露了用户的真实IP地址。
TorMoil漏洞尚未被利用
Tor项目团队在一份声明中指出,尚未发现TorMoil被利用的迹象。然而,攻击者能够逆向Tor浏览器二进制并删除已修复的漏洞。精通编程的人员能非常轻易地了解这个bug是如何发生的并创建一个利用代码。
虽然多数Linux用户受影响,但Tor项目团队表示在Tails OS发行版本上运行Tor浏览器的Linux用户并未受影响,以及使用(仍在起步阶段的)沙箱版本的Tor浏览器的用户也未受影响。
Tor开发人员表示,修复IP地址泄露的补丁是个应急措施,也只是匆匆忙忙拼凑用来尽快解决问题的补丁,在某些情况下file://的URL功能可能会崩溃。
本文由 安全客 翻译,转载请注明"转自安全客",并附上链接。
原文链接:https://www.bleepingcomputer.com/news/security/tormoil-vulnerability-leaks-real-ip-address-from-tor-browser-users/
黑客技术官网地址:http://www.hackdig.com/
没有评论:
发表评论