9月4日,乌克兰CERT发布消息称,乌克兰军方人员遭遇假冒军事应用的网络攻击,黑客通过分发伪装成“GRISELDA”和“Eyes”系统的恶意链接,窃取士兵的身份认证信息和GPS数据。CERT-UA 联合乌克兰军方发现并阻止了这两次攻击。假冒的“GRISELDA”应用实际上是“HYDRA”后门程序,能远程访问设备并窃取敏感数据;而“Eyes”系统的修改版则嵌入恶意代码,能够窃取登录信息和实时GPS数据。这些信息可能被用于追踪士兵位置,危及战场安全。此次攻击凸显了移动设备在现代战争中的重要性,同时也暴露了其成为国家级黑客攻击目标的潜在风险。乌克兰网络安全团队及时应对,联合云服务商如谷歌云和Cloudflare,成功减轻了潜在威胁。
随着基辅和莫斯科再次陷入敌对状态,每天向边境发射数十枚导弹,网络空间也变得紧张起来。攻击者冒充合法来源,诱骗乌克兰军事人员下载带有恶意软件的假军事应用程序,目的是窃取士兵手机的身份验证凭据和GPS坐标——此举可能会危及战场上的生命。
乌克兰计算机应急响应小组(CERT-UA)发现并化解了两起旨在入侵军人移动设备的网络攻击。攻击者分发伪装成关键军事系统合法应用程序的欺诈链接,包括基于人工智能的GRISELDA系统和被称为“Eyes”的军事跟踪系统。
CERT-UA与军事单位A0334和国防部及武装部队的联合响应小组密切合作,调查网络攻击。他们迅速识别和分析攻击,大大降低了造成长期损害的可能性。他们还寻求Google Cloud和Cloudflare等私营部门的帮助,以消除网络威胁。
实时检测和应对网络攻击的能力至关重要。CERT-UA及其合作伙伴迅速采取行动,将攻击的潜在后果降至最低。
武器化应用程序成为主要攻击媒介。黑客已经进化,从以网络为目标转向利用士兵携带的设备。在本案中,攻击者使用安全的端到端加密消息应用程序Signal来分发模仿乌克兰军事系统官方网站的链接。一旦点击,这些链接就会触发恶意软件的下载,这些恶意软件伪装成GRISELDA和Eyes的移动应用程序。
GRISELDA是一种基于人工智能的信息处理系统,乌克兰利用该系统以闪电般的速度处理战场信息。本案中的恶意链接将用户引导至一个虚假网站,该网站提供所谓的GRISELDA应用程序的移动版本,但实际上并不存在。士兵们实际下载的是HYDRA—一种旨在窃取数据并远程访问受感染设备的后门恶意软件。该恶意软件可以窃取从身份验证令牌到按键的一切信息。
与此同时,用于军事追踪的Eyes系统也成为另一个目标。黑客修改了其合法软件,嵌入了能够窃取登录凭据和设备GPS坐标的恶意代码。这又增加了一层危险——GPS位置追踪可用于实时识别和定位士兵。
使用“Eyes”程序修改后的 APK 文件进行一系列失败的示例
移动设备是现代战争的核心,士兵可以利用它进行通信并访问关键任务系统。国家黑客意识到了这一点,并将攻击重点放在智能手机上,因为他们知道,入侵设备可以让他们获得更为敏感的军事信息。
这些设备通常用于访问专门的军事系统,这使它们成为网络间谍活动的主要目标。从这些设备窃取GPS数据或登录凭据可能使攻击者能够跟踪部队的动向,甚至拦截机密通信。在战场上,这可能导致灾难性的后果,直接危及士兵的生命。
像GRISELDA这样的人工智能系统可以帮助军事单位快速处理大量数据,使其成为现代战斗场景中必不可少的工具。但这些系统的价值所在也让它们成为攻击者极具吸引力的目标。
在这种情况下,HYDRA后门恶意软件成为了首选攻击工具。安装后,HYDRA允许攻击者访问会话数据、按键等。该恶意软件甚至允许捕获HTTP cookies(用于维护用户和网站之间身份验证的小块数据),从而进一步将敏感的军事数据暴露给窃取者。
对于Eyes跟踪系统,攻击更加隐蔽。黑客通过嵌入第三方Java类来修改合法程序,从而使该应用程序能够窃取GPS坐标和登录信息。如果这一小改动未被发现,可能会造成灾难性的后果,可能让对手了解部队的动向。
