最新研究表明，据信总部位于哈萨克斯坦的黑客正在针对独立国家联合体的其他成员开展广泛的间谍活动。

思科的 Talos 小组花了数月时间跟踪 YoroTrooper，这是一个于 2022 年 6 月首次出现的专注于间谍活动的黑客组织。研究人员表示，该组织的目标、使用哈萨克斯坦货币以及流利的哈萨克语和俄语是导致他们相信黑客的部分原因。总部设在哈萨克斯坦。

YoroTrooper 似乎采取了防御行动来保护哈萨克斯坦国有电子邮件服务，并且只攻击过哈萨克斯坦政府的反腐败机构。

思科 Talos 威胁研究员 Asheer Malhotra 告诉 Recorded Future News，该组织积极试图掩盖其行动，使攻击看起来像是来自阿塞拜疆，试图“生成虚假标记并误导归因”。

“就他们的作案手法而言，他们的战术和工具并不是很复杂，但是，由于他们的侵略性尝试，过去两年来，YoroTrooper 仍然在独联体国家的目标上取得了巨大的成功。以他们的受害者为目标。此外，尽管 Cisco Talos 在今年早些时候首次披露了 YoroTrooper 的活动细节，但威胁行为者并没有表现出放缓的迹象。”Malhotra 说。

Cisco Talos追踪了涉及阿塞拜疆、塔吉克斯坦、吉尔吉斯斯坦、乌兹别克斯坦的机构和官员的攻击，这些攻击使用 VPN 服务使其看起来像是来自阿塞拜疆的黑客攻击。

2023 年 5 月至 2023 年 8 月期间，黑客入侵了多个国有网站和属于政府官员的账户。

大多数攻击都是从网络钓鱼电子邮件开始，并部署定制的恶意软件，使该组织能够窃取数据和凭据。

受到 YoroTrooper 袭击的国家。图片：思科 Talos

研究人员发现，黑客在尝试调试工具时使用俄语，同时还访问了许多用哈萨克语编写的网站。六月，黑客开始在他们的代码中使用乌兹别克语，这是哈萨克斯坦广泛使用的另一种语言。

黑客使用加密货币来支付域名和服务器等运营基础设施的费用，同时还在谷歌上检查“哈萨克斯坦坚戈（KZT）、哈萨克斯坦官方货币和比特币（BTC）之间的货币兑换率”。

该组织还对哈萨克斯坦国有电子邮件服务 mail[.]kz 进行安全扫描，并监控该平台是否存在潜在的安全漏洞。虽然大部分活动都是通过阿塞拜疆进行的，但思科 Talos 发现的证据表明，黑客不会说阿塞拜疆语言——他们定期访问翻译网站并检查从阿塞拜疆语到俄语的翻译。

思科 Talos 指出，自2023 年 3 月发布有关 YoroTrooper 的报告（详细介绍了该组织对欧盟医疗机构、世界知识产权组织和几个独联体国家的攻击）以来，他们已经大大扩展了自己的工具和策略。

该组织使用新的定制植入程序，并放弃了之前使用的其他恶意软件菌株。

研究人员表示：“YoroTrooper 针对这些国家的政府实体可能表明运营商是出于哈萨克斯坦国家利益的动机或在哈萨克斯坦政府的指导下工作。”

该组织使用漏洞扫描程序和来自 Shodan 等搜索引擎的开源数据来查找目标基础设施中的漏洞。今年夏天，他们使用这些工具入侵了塔吉克和吉尔吉斯斯坦的三个国有网站，并在其上托管了恶意软件负载，截至 2023 年 9 月，一些恶意软件仍在托管。

妥协的对象包括塔吉克斯坦商会、该国毒品管制局和吉尔吉斯斯坦国有煤炭企业的网站。吉尔吉斯斯坦交通和道路部的一名官员以及乌兹别克斯坦能源部的其他政府工作人员也成为攻击目标。

思科 Talos 还发现该组织根据 3 月份关于黑客活动的报告调整了策略，这些活动使他们能够窃取凭据、浏览器历史记录、系统信息和屏幕截图。

马尔霍特拉表示，虽然独联体国家相互攻击的情况并不常见，但网络安全研究人员发现该地区的网络攻击最近有所增加。

“考虑到独联体国家靠近欧洲、中亚、俄罗斯和中国，独联体国家似乎很自然地发展由网络空间行动驱动的情报能力，以支持其政治、经济和军事进步，”马尔霍特拉解释道。