據(jù)哈薩克斯坦媒體報(bào)道，疑似與克里姆林宮有關(guān)的黑客在中亞國(guó)家，包括哈薩克斯坦，發(fā)起了大規(guī)模收集戰(zhàn)略信息的行動(dòng)。

《信息安全雜志》援引數(shù)字安全公司Sekoia的報(bào)告指出，針對(duì)哈薩克斯坦和吉爾吉斯斯坦外交官的網(wǎng)絡(luò)入侵工具UAC-0063由俄羅斯開發(fā)。該行動(dòng)利用被感染的微軟Word文檔，傳播惡意軟件HatVibe和CherrySpy，以收集哈薩克斯坦外交和經(jīng)濟(jì)關(guān)系的戰(zhàn)略信息。

Sekoia公司于2024年10月開始調(diào)查，在VirusTotal數(shù)據(jù)庫(kù)中發(fā)現(xiàn)了一個(gè)可疑文件。該文件包含一個(gè)宏，用于在收件人的設(shè)備上激活惡意軟件。首先在受感染的計(jì)算機(jī)上安裝后門HatVibe，然后是更復(fù)雜的惡意軟件CherrySpy，用于后續(xù)的信息收集。據(jù)悉，同樣的手法也曾被用于針對(duì)烏克蘭科研機(jī)構(gòu)。

被泄露的文件包括2021年至2024年間的外交信件和外交部的行政文件，這些文件可能是在更早的黑客攻擊中被感染的。作案手法與俄羅斯APT28組織相似，該組織被認(rèn)為與俄總參謀部情報(bào)總局有關(guān)聯(lián)，并受克里姆林宮資助。可以推測(cè)，黑客已對(duì)哈薩克斯坦外交官監(jiān)視多年。

APT28多次將歐洲和亞洲國(guó)家的外交、國(guó)防和科研部門作為目標(biāo)，經(jīng)常使用隱蔽的網(wǎng)絡(luò)釣魚手段，結(jié)合惡意宏和計(jì)劃任務(wù)的植入。

Sekoia公司的報(bào)告指出，UAC-0063過去也曾被用于針對(duì)烏克蘭、以色列、印度、吉爾吉斯斯坦和塔吉克斯坦。在受感染的文檔中，通過宏使用特殊密碼解除保護(hù)，并更改注冊(cè)表項(xiàng)，以允許后續(xù)默認(rèn)執(zhí)行宏。分析師共發(fā)現(xiàn)18個(gè)“被入侵”的文件。

幾乎所有文件都屬于哈薩克斯坦外交部，無論是通信、文件草稿還是內(nèi)部行政便箋。最近的文件是兩封外交信件：一封來自哈薩克斯坦駐阿富汗大使館，另一封來自哈薩克斯坦駐比利時(shí)大使館。兩者都發(fā)給哈薩克斯坦外交部的中央領(lǐng)導(dǎo)層，涉及外交互動(dòng)和經(jīng)濟(jì)問題，標(biāo)注為2024年9月初。

一些受感染的文件涉及托卡耶夫總統(tǒng)的工作，包括關(guān)于國(guó)家元首對(duì)蒙古的國(guó)事訪問以及他在紐約與美國(guó)公司代表會(huì)面的內(nèi)部備忘錄和簡(jiǎn)報(bào)。

唯一一個(gè)不直接涉及哈薩克斯坦的受感染文件是吉爾吉斯斯坦國(guó)防部的一封信，涉及中亞國(guó)家之間的軍事合作，其中還包括了“中國(guó)對(duì)臺(tái)灣的特別行動(dòng)”的信息。

頗具諷刺意味的是，最早的受感染文件之一是一份2021年7月創(chuàng)建的內(nèi)部備忘錄，發(fā)給哈薩克斯坦海外外交機(jī)構(gòu)的負(fù)責(zé)人，建議使館工作人員特別警惕日益頻繁的網(wǎng)絡(luò)攻擊。然而，這個(gè)有用的建議似乎并未起到作用。

哈薩克斯坦媒體編輯部將向哈薩克斯坦外交部和多邊合作與國(guó)際反恐中心發(fā)送正式詢問，并向網(wǎng)絡(luò)攻擊分析和調(diào)查中心尋求評(píng)論。

這已不是外國(guó)黑客首次竊取有關(guān)哈薩克斯坦的有價(jià)值信息。2024年初，曾爆發(fā)一場(chǎng)大規(guī)模數(shù)據(jù)泄露丑聞，包括哈薩克斯坦安全部隊(duì)人員的個(gè)人信息，但哈薩克斯坦官方從未正式承認(rèn)。

您的點(diǎn)贊、支持、關(guān)注和轉(zhuǎn)發(fā)是我們持續(xù)更新的動(dòng)力！