据国防部官员透露，上周一个由俄罗斯所支持的黑客组织攻击了位于华盛顿，重点关注俄罗斯的智库团，该机构还曾是攻击民主党计算机网络的成员之一。犯罪者所在小组称为COZY BEAR，或APT29，根据两大网络安全公司之一的CrowdStrike创始人Dmitri Alperovitch的发言，DNC黑客组织需要对此次袭击事件负责。 CrowdStrike发现了来自DNC的攻击并为智库提供安全服务。

　　Alperovitch表示少于五个组织机构和10名研究俄罗斯的工作人员遭受到来自“极具针对性行动”的袭击。出于客户利益考虑及避免泄露工具技术或其他数据给黑客，他拒绝透露具体是哪些智库和研究人员遭袭。

　　Alperovitch表示称，公司一但检测到漏洞及入侵者无法潜带的任何信息，立即会向受侵组织发出警告。国防部向几个参与俄罗斯研究项目的智库伸以援手，其中之一就是战略与国际研究中心（CSIS）。

　　“上周，我们受到攻击，但我们为数不多的工作人员对此及时作出反应。除此之外，我不打算讨论任何细节，因为事件正在积极调查中，” CSIS对外关系高级副总裁H. Andrew Schwartz在电子邮件中写到。

　　战略技术项目高级副总裁兼董事James Andrew Lewis在CSIS表示道：“这就像一个荣誉徽章--任何有声望的智库都已经被黑客入侵。俄罗斯人只是还不了解独立机构，所以他们正在寻找奥巴马的秘-密指示。另一个好处是，他们可以去向他们的老板炫耀并证明他们作为间谍的价值。”

　　一位国防部人士接触了几个参与俄罗斯项目的智库团。回复中大部分直接称，他们并没有被专门针对。哈佛大学贝尔弗科学中心和国际事务谈道，“我们有政策对中心安全不予评论。”如果我们从别处听到消息，会更新这个帖子。

　　黑客可能已经试图从担任华盛顿智库团的董事会官员那得到数据和信息，Alperovitch这样推测到。

　　“这些人很多都是前政府官员，并仍指导现任政府官员，”Alperovitch说道。我们的目标本来就是“通过观察他们与政府官员的沟通，来判断他们是否可能已掌握偷来的信息并分享这些信息，或者将它们作为一种针对政府的方式。”

　　Alperovitch谈到，智库正在使用的是CrowdStrike公司的猎鹰网络安全软件，这是一个2MB的端点管理工具，可使CrowdStrike监控其客户的入侵网络，包括对先进的远程访问工具的监控，其签名不会出现在常规网络流量中。

　　“你可以把它看成是一个正在记录所发生的一切的摄像机，”他提道，“你打开Word，打开Outlook和其他启动网络连接的进程，它都会被被记录下来，被传输到我们的云中，在那里我们对其进行机器学习及行为分析...那就是在这所发生的事。我们识别出spearphish网络钓鱼攻击，并立即发出了警报。我们的人员联系 [客户] 说，好吧，这真的很严重，你需要马上将安全软件覆盖到这台机器中。”

　　网络安全公司FireEye首次发现COZY BEAR小组，其早在2014年就被称为APT29。

　　“APT29是我们所跟踪的黑客小组中能力最强的，”FireEye在去年发表的博客中写道，“当其他APT小组试图掩盖他们的踪迹以阻挠调查时，APT29就从中脱颖而出。他们在减少或消除法庭证据，对待监控的应变能力以及在规避网络维护者的各项补救措施中表现出相当的纪律性和一致性。”

　　CrowdStrike和其他网络安全研究人员认为COZYBEAR与俄罗斯联邦安全局（FSB）有着密切联系。已发动过成功袭击的美国实体名单包括白宫，国务院和非涉-密系统职工的联席会议。

　　CrowdStrike和其他网络安全研究人员称另一躲在DNC黑客小组背后的俄罗斯黑客组织称为FANCY BEAR，或APT28，很多网络安全界人士认为其和俄罗斯军方有联系。研究人员还怀疑FANCY BEAR是维基解密中泄露DNC文件的幕后黑手。

　　重要的是，尽管FANCY BEAR在今年四月脱离了DNC组织，CrowdStrike研究仍显示自2015年夏天起COZY BEAR就是在网络上成长最快的黑客小组，其可能允许访问的信息呈指数级增长。研究人员认为这是目前运行中最具先进持续性威胁的组织之一。

　　根据Alperovitch的调查，由于那些广为人知的黑客手段的出现，COZY BEAR已经大幅地提升了其使用工具和技术手段，增强了其躲避检测的能力及在最初的妥协后进一步扩大网络中快速移动的能力。在这种情况下，攻击者通过伪造来自知名智库团和地缘政治顾问组的邮件来诱骗受害者打开电子邮件。

　　Alperovitch告诉一位国防部人士CrowdStrike能够立刻检测到入侵行为，但它要花费30分钟将一个受感染的机构从网络上的其他机器中系统隔离，“到那时，好几个系统已经被感染。”

　　即使在检测之后机器之间的快速，横向移动，也和COZY BEAR的操作方式保持一致。在目标对象打开一个链接到错误域名的电子邮件后，目标公司的机器将下载一个远程访问工具或RAT（在这种情况下，通常是Microsoft的Excel和Word文件）。这使黑客得以进入系统。在感染COZY BEAR病毒的情况下，黑客在进行初步检测后试图了解网络映射以寻找机会进入其他系统。黑客“开始打字，比如OK;网络是什么样子？我可以从这台机器上跳到其他机器上吗？我有什么权限，”Alperovitch解释道。