【安全资讯】克里姆林宫黑客入侵并泄露非政府组织邮箱

概要：

最近，俄罗斯的一个亲民主非政府组织（NGO）报告称，克里姆林宫关联的COLDRIVER组织可能是上个月黑客入侵并泄露文件和邮箱的幕后黑手。该事件引发了广泛关注，特别是因为其潜在的政治影响和对非政府组织的威胁。

主要内容：

Free Russia Foundation在Citizen Lab的报告发布后，开始调查上个月针对俄罗斯和白俄罗斯非政府组织的两次鱼叉式网络钓鱼攻击。初步调查结果表明，至少其中一次攻击是由COLDRIVER组织策划的。该组织在声明中表示，他们正在密切监控非法传播的文件，并已启动调查以确定此次泄露的来源、范围和性质，以尽量减少对员工、合作伙伴和受益人的风险。

Citizen Lab指出，这些钓鱼攻击高度个性化，通常来自被攻陷的目标组织账户或假冒受害者熟悉的个人账户。攻击目标通常是像Free Russia Foundation这样的非政府组织成员。邮件通常包含一个看似锁定的PDF文件附件，并提供一个链接帮助解锁，实际上该链接会引导至一个凭证收集页面。

如果攻击成功，受害者的凭证可能被盗用以访问其邮箱账户。这对俄罗斯和白俄罗斯的组织和独立媒体可能造成巨大危害，因为他们的邮箱账户可能包含关于员工身份、活动、关系和行踪的敏感信息。任何与西方组织的联系都可能被俄罗斯政府曲解，作为将其指定为“外国代理人”或“不受欢迎组织”的借口，甚至可能导致个人被刑事指控和监禁。

COLDRIVER自2019年以来一直活跃，通常针对非政府组织、政府、关键基础设施，甚至西方选举。Google的威胁分析小组（TAG）在2022年1月揭露，COLDRIVER在攻击中使用了一种名为SPICA的定制后门恶意软件，具备执行shell命令、窃取浏览器cookie和文件外传等功能。