俄羅斯關聯黑客組織舒適熊(Cozy Bear)曾發起臭名昭著的 SolarWinds 間諜活動,而現在又利用 Google Drive 將魔爪伸向了新的受害者。根據 Palo Alto Networks 旗下 Unit 42 威脅情報團隊本周二的報告,有俄羅斯對外情報局(SVR)背景、被美國聯邦政府歸類為高級持續威脅 APT29 的舒適熊組織利用 Google 的雲存儲服務隱藏它們的惡意軟件和活動。
根據 Unit 42 披露的信息,APT29 在近期的活動中使用了全新的策略,在今年 5 月初至 6 月期間對葡萄牙和巴西的外交使團和外國使館發起了攻擊。
研究人員表示:“攻擊者採用了全新的策略,利用 Google 雲存儲服務的普遍性以及基於全球數百萬用戶對其的信任傳播惡意軟件,而意味着如何檢測出這些惡意軟件面臨著巨大的挑戰。在使用經過加密且值得信任的服務時,大多數人都會直接打開文件,而要檢測黑客活動中的所有惡意軟件是極端困難的”。
事實上這並非是 ATP29 組織首次濫用合法的網絡服務。在今年 5 月,根據安全機構 Mandiant 披露的報告,該組織利用 Dropbox 針對各種政府機構傳播各種帶命令和控制的惡意文件。不過 Dropbox 發言人表示在發現這些動機之後立即禁用了這些賬號。
Unit 42 披露了 ATP29 在 Google Drive 和 Dropbox 上的活動情況。目前 Google 並未做出回應。