微軟本週揭露新興俄羅斯駭客組織Void Blizzard(Laundry Bear),當中特別提及他們與荷蘭情報暨安全總局(Netherlands General Intelligence and Security Service,AIVD)、荷蘭軍事情報暨安全局(Netherlands Defence Intelligence and Security Service,MIVD)聯手調查,而這些軍情機構調查此事的動機,源於去年當地執法單位遭遇的資安事故。
去年9月荷蘭警察局(Politie)證實,駭客入侵其中一名警察的帳號,從而取得有業務往來的警務人員的聯絡方式,後續透露可能是國家級駭客所為,當時我們就有注意到相關消息並進行追蹤,但因為Politie並未透露其他資訊,而無從得知進一步的情形。
直到本週微軟公布Void Blizzard發起的網釣攻擊,並提及荷蘭當局也公布相關調查結果,指出上述Politie遭駭事故的兇手,就是這個俄羅斯駭客組織。5月27日AIVD指出,根據他們與MIVD聯手調查的結果,俄羅斯駭客組織Void Blizzard於去年9月針對Politie與當地各種組織從事網路攻擊,並指出這些事故其實是駭客大規模攻擊的其中一部分。
AIVD指出,這些駭客至少從2024年開始活動,針對西方政府與其他機構的網路環境下手,其中又對於武裝部隊、政府機關、國防供應商、公共服務組織、IT服務供應商特別感興趣。
他們提及這些駭客使用的手法相當難以識別,而能長時間躲過各式資安系統的偵測。MIVD提及,這些駭客疑似尋求西方政府購買、生產軍事裝備的資訊,以及向烏克蘭提供武器的情報,而且,這些駭客對於軍事物資的生產及交付,有一定程度的了解。
而對於AIVD和MIVD兩個情報單位調查此組人馬的動機,就是該國警方發生的資安事故。當時Void Blizzard成功存取其中一名員警的帳號,隨後透過全域信箱名單(Global Address List,GAL)存取員警的工作聯絡資訊,他們研判駭客是透過Pass-the-Cookie的攻擊手法,假冒該名員警的身分而得逞。究竟駭客如何得到Cookie檔案?可能是另一組人馬使用竊資軟體偷得,然後透過地下市集賣給Void Blizzard。
他們也提及駭客的攻擊活動的節奏相當快,因此認為駭客採用某種程度的自動化,此外,這些駭客並未自行打造惡意程式,而是採取寄生攻擊(LOTL)成功掩人耳目。
比較特別的是,這些駭客也採用了密碼潑灑(Password Spraying)攻擊,但做法與過往的出現的手段有所不同:這些駭客通常會使用單一密碼,對不同的帳號嘗試存取。有別於對單一帳號短時間嘗試不同密碼,這麼做往往不太會觸發資安系統的警報。附帶一提,Void Blizzard試圖將行為限縮在微軟帳號能夠存取的範圍,並未進一步取得底層網路或是系統的存取權限,而這樣的策略也較能長時間避開管理員的監視。
熱門新聞
2025-07-07
2025-07-07
2025-07-03
2025-07-04
2025-07-07
2025-07-07
2025-07-07