【安全资讯】与克里姆林宫有关的黑客针对哈萨克斯坦进行间谍活动

概要：

近期，研究人员发现与克里姆林宫有关的黑客组织APT28可能正在针对哈萨克斯坦的外交机构进行间谍活动，旨在收集该地区的经济和政治情报。这一事件不仅揭示了网络攻击的复杂性，也反映了国家间的网络战愈演愈烈。

主要内容：

黑客组织UAC-0063自2021年以来活跃，曾多次针对乌克兰、以色列、印度及多个中亚国家的外交、非营利、学术、能源和国防机构。乌克兰计算机应急响应小组（CERT-UA）在对乌克兰科研机构的攻击分析中，将UAC-0063与APT28（又称Fancy Bear或BlueDelta）以“中等信心”关联，后者与俄罗斯军事情报局（GRU）有关联。

在网络安全公司Sekoia的报告中，研究人员发现黑客利用来自哈萨克斯坦外交部的合法文件，如信函和内部备忘录，向受害者传播恶意软件。尽管这些文件的获取方式尚不明确，但研究人员推测可能是通过早期的网络攻击、公开信息收集或实地操作获得的。

此次攻击中使用的恶意软件包括Cherryspy和Hatvibe，这两种恶意代码曾在针对亚洲和乌克兰的网络间谍活动中被使用。Cherryspy后门允许攻击者执行从指挥控制服务器接收的Python代码，而Hatvibe则能在感染设备上下载和执行其他文件。研究人员指出，尽管使用了熟悉的工具，但此次攻击的感染链具有“相当独特”的特征，强调了其绕过安全解决方案的能力。

该活动被认为是针对中亚国家，尤其是哈萨克斯坦外交关系的全球网络间谍行动的一部分，旨在收集关于哈萨克斯坦与西方及中亚国家关系的战略和经济情报，以维护俄罗斯在该地区的影响力。