Pawn Strom间谍活动揭秘：乌克兰和美国均为全球顶级目标

admin

Pwan Storm是一个长期进行的间谍活动，为什么这个间谍活动会将注意力放在了俄罗斯朋克摇滚乐队的身上？当然了，因为Pussy Riot乐队一直都受到大家的广泛争议。这个女权主义的乐队成员在此前曾对俄罗斯的正统教会以及俄罗斯的父权制发表过批判性的言论，因此而被关进过监狱。但是，为什么黑客会对她们感兴趣呢？她们与其他的攻击目标之间有什么联系吗？

今年年初的时候，我们曾报道过Pawn Storm的幕后操作者有可能涉及到北大西洋公约组织（北约），美国白宫，以及德国国会的成员。在此之前，他们曾将间谍活动的重点放在了许多国家的大使馆以及军事驻地上。实际上，Pawn Storm的攻击目标大多数都是俄罗斯以外的外部政治实体。但在经过我们的分析和研究之后，我们发现还有很大一部分的攻击目标都处于俄罗斯的国界之内。

俄罗斯国内的间谍活动

Pawn Storm行动幕后的俄罗斯间谍们显然不会对国内的组织或个人进行区别对待。他们甚至还会监视他们自己本国的公民。针对俄罗斯本国公民的网络钓鱼攻击甚至成为了俄罗斯国内的一次备受争议的间谍事件。图片1所显示的是各个行业的间谍活动目标占比。

图片1：俄罗斯国内主要的间谍活动监视目标（工业／部门）

俄罗斯的很多和平倡导者，网络博客的博主，以及政治家们都成为了此间谍活动的目标。在各个行业中，有些监视目标则更加引人注意：

• 政治家－其中包括一位俄罗斯的前总理，以及俄罗斯政府的一位重要成员；

• 艺术家－Pussy Riot乐队的两名成员，以及一个俄罗斯的著名摇滚明星；

• 新闻媒体－slon.ru，The New Times，TV Rain，Novaya Gazeta， Jailed Russia，以及其他批判了俄罗斯现政府的媒体平台的记者们；

• 软件开发人员－一家专门开发加密软件的公司的CEO，以及mail.ru的一名开发人员；

  
  

看着上面这份名单，我们可以很容易地得出结论，这项间谍活动的幕后操纵者正在密切关注着当前俄罗斯政权下的那些持有不同意见的人。如果真是这样的话，那么Pussy Riot乐队对政府所持有的批判言论也就理所当然地让她们成为了间谍活动的监视目标。但是软件开发人员和Apostol媒体集团就有点意思了，而且这个组织与俄罗斯政府有着密切的联系。事实上， 在北约国家，至少有一个活跃的俄罗斯军队也成为了这一间谍活动的监视目标，这一事实使得这个间谍活动的动机更加的有趣了。

乌克兰与美国之间的联系

在图片2中，我们可以看到Pawn Storm的10个首要目标国家。乌克兰占了此间谍活动的很大一部分，达到了25%，甚至超过了美国和俄罗斯。由于政治利益的冲突，这三个国家目前的关系处于一个非常不稳定的状态。

图片2：前十位首要目标国家

乌克兰的军事，媒体，政府，以及政治人物都受到了这个间谍活动的针对，这四个领域几乎占了乌克兰国内受监视目标数量的三分之二：

图片3：乌克兰国内主要的间谍活动监视目标（工业／部门）

至于美国，首要的攻击目标就是安全防御公司和军队（美国的空军，海军和陆军）。我们还认为政府的智囊团以及美国的学术界也是该间谍活动的监视目标。除此之外，Pawn Storm对石油研究人员以及核能源也非常的感兴趣。

图片4：美国国内主要的间谍活动监视目标（工业／部门）

从这些数据中我们可以看出，该间谍活动还会对目标国家的公民进行大量的网络钓鱼攻击，目的就是为了窃取那些著名人物的个人凭证，黑客们可以从乌克兰，伊朗，挪威，甚至中国的电子邮件服务提供商那里窃取数据，而且这些邮件服务的提供商包括Gmail，雅虎，Hushmail，Outlook以及其他的大型服务提供商。

除此之外，英国也是Pawn Storm的目标之一。但绝大多数的间谍活动针对的都是居住在英国的东欧人。

以用户凭证为目的的网络钓鱼攻击

进行网络钓鱼攻击的方式是五花八门的。有的间谍活动会使用恶意软件和系统漏洞。Pawn Storm曾使用了至少六个0 day漏洞，包括非常严重的CVE－2015－2590 java漏洞。一种最先进的攻击方法就是使用高级凭证钓鱼攻击。在2014年和2015年，我们可以使用这种凭证式网络钓鱼攻击成功地从超过一万两千名的目标用户那里收集到数据，这样一来，我们就可以得到Pawn Storm在全球范围内的监视目标了，而且数据是非常可靠的。

2015年7月初曾发生过一起针对雅虎邮箱用户的网络攻击事件，为了演示Pawn Storm对其监视目标所发动的凭证式网络钓鱼攻击，我们将会对这起事件进行分析。

图片5：针对雅虎邮箱的凭证式网络钓鱼电子邮件

这种网络钓鱼攻击会试图诱导用户去赋予Pawn Storm完整的邮箱访问权。值得一提的是，得到访问权限需要通过OAuth，这是一个雅虎公司提供给应用开发人员使用的开放标准认证协议。Pawn Storm会发送一封钓鱼邮件给用户，并使用“邮件发送服务”来保证这封电子邮件成功送达。实际上，这个服务可以允许Pawn Storm的背后操纵者使用OAuth协议来获取目标邮箱账号的访问权。当雅虎邮箱的用户们选择了之后，Pawn Storm就会得到目标邮箱不受限制的访问权限。

现在的问题是，钓鱼链接指向的是一个合法的雅虎站点。在这样的情况下，网络钓鱼邮件的收件人才有可能会认为这个URL地址是安全的。

图片6：这是网络钓鱼网站。Pawn Storm的目标会被诱导，并给予攻击者完整的邮箱访问权。

尽管我们对于这些间谍活动的目的并不能十分地肯定，但鉴于这个间谍活动的目标如此之多，这一切看起来就好像他们正在建立一个大型的信息数据库，也有可能是为了持续地监视那些针对俄罗斯的网络威胁行为。我们还会继续监视这个网络间谍行为，并关注相关事件的发展动态。