七年的恶意软件链接到俄罗斯国有 络间谍活动

The attack pattern of OnionDuke, one of the many tools in the Russian cyberespionage group The Dukes’ tookit.

F-Secure

过去的七年，俄罗斯间谍团伙 — — 显然在俄罗斯政府的命令下 — — 进行了一系列针对政府、 政治智囊团和其他组织的恶意软件运动。在今天，发布在 F 安全提供深入看看他们所称为”公爵”，至少到 2008 年以来活跃，已经演变成一个有条不紊的开发商的”零日”攻击，组织研究人员的 告拉在一起他们自己的研究提供更详细的图片后面一个长时间运行的恶意软件的家庭的人的其他保安公司出版的作品。

作为一个”好资源、 高度敬业、 有组织的 络间谍活动小组”，表现为 F 安全研究人员公爵掺有全跨越，公然”粉碎和抢”攻击，在 络上的收获了大量的数据从他们的目标，范围从外国政府到俄罗斯联邦境内的犯罪组织的更微妙，长期入侵。F 安全团队写了”公爵主要目标西方各国政府和相关的组织，如政府部门和机构、 政治智囊团以及政府的分包商，”。”他们的目标还包括政府成员的独立国家联合体;亚洲、 非洲和中东地区的各国政府;组织与车臣恐怖主义;和讲俄语的人从事受控物质和毒品的非法贸易。

公爵的最早检测到恶意软件，称为 PinchDuke，是第一个已知目标的一些第一次已知的目标均与车臣分离主义运动，到 2009 年公爵正要后西方各国政府和组织寻找有关美国的外交活动的信息和北大西洋公约组织。虽然大多数的攻击手段，注入到目标系统上的恶意软件地使用了矛 络钓鱼电子邮件，他们袭击之一有传播恶意软件，通过恶意的 Tor 出口节点，在俄罗斯，针对用户的匿名 络的恶意软件注入他们的下载。

公爵恶意软件家庭，他们有被发现的恶意软件研究员 F-secure、 卡巴斯基、 帕洛阿尔托研究和其他的顺序的已知的组件包括:

很多因素导致信仰由研究者公爵集团是总部设在俄罗斯和至少四角切圆燃烧与俄罗斯政府有关。第一，目标与俄罗斯政府利益保持一致。也有许多俄罗斯语言构件在一些恶意程序，在 PinchDuke 中包括的错误消息:”Ошибка названия модуля!НАЗВАНИЕ СЕКЦИИ ДАННЫХ ДОЛЖНО БЫТЬ 4 БАЙТА!” (翻译本质上是作为”模块名错误!标题数据部分必须至少 4 字节!”)。GeminiDuke 还用于进行调整，以匹配莫斯科标准时间的时间戳。

还有一些建议至少俄罗斯国家赞助了组之后的攻击的时机。在 2013 年，乌克兰危机，开始前组开始涉及乌克兰的矛 络钓鱼攻击中使用的诱饵文件数包括”信署名由乌克兰，荷兰驻乌克兰大使馆向乌克兰外交部和文档标题为部的一封信外交部第一副部长 ‘ 乌克兰的搜索区域的外交政策”研究人员指出。”它是…重要地注意到，违反什么可能会被假定，我们实际观察而不是增加在乌克兰相关的运动，从该国的政治危机之后的公爵一滴.”这将表明，运动是导致危机的情 收集工作的一部分。

“基于组的主要任务，我们设立”F 安全研究者写道，”我们相信主的恩人 (或恩人) 他们的工作是政府。一个团队或部门内部政府机构是公爵吗?外部承包商?犯罪团伙卖给出价最高者吗?一群精通科技爱国者?我们不知道。它可能是谁，基于多长时间一直经营集团，它似乎公爵有坚固、 可靠的财政支持。因为他们的竞选活动似乎没有明显的情况下攻击或恶意软件，F 安全小组得出的结论，之间的干扰之间的重叠随着时间的推移已经协调良好”因此，我们认为公爵是一个单一的、 大的、 协调良好的组织，明确分离的责任和目标”。

在俄经营的这类组织，极可能需要国家承认，如果不是完全支持。