俄羅斯黑客攻擊法國(guó)總統(tǒng)大選,但似乎無(wú)果而終,馬克龍的競(jìng)選團(tuán)隊(duì)通過(guò)預(yù)警及響應(yīng),進(jìn)行了針對(duì)攻擊的混淆回?fù)簟?/span>
巴黎,大家都知道黑客來(lái)了
美國(guó)國(guó)家安全局NSA發(fā)現(xiàn)了黑客的動(dòng)向,Emmanuel Macron的核心技術(shù)團(tuán)隊(duì)同樣也知道了。團(tuán)隊(duì)敏銳地察覺(jué)到美國(guó)大選中的暗潮后,迅速制造了幾十個(gè)虛假的郵箱賬號(hào)及偽造文件,用以混淆攻擊者。而俄羅斯方面,卻稍顯急躁,留下了一些蹤跡。這些證據(jù)雖然不能確鑿地證明他們是受雇于普京總統(tǒng)的,但卻明確表現(xiàn)出他們屬于“信息戰(zhàn)爭(zhēng)”行動(dòng)的中堅(jiān)力量。
此次事件由美國(guó)官員、安全專家及馬克龍選舉團(tuán)隊(duì)共同參與。這是一次試圖擾亂法國(guó)近十年來(lái)最為重大的選舉活動(dòng),卻以無(wú)疾而終的黑客攻擊行動(dòng)。盡管在伊朗核威脅、烏克蘭電網(wǎng)事件中,網(wǎng)絡(luò)攻擊表現(xiàn)的如此有效,事實(shí)上并沒(méi)有一勞永逸的銀彈。這種被俄羅斯所偏愛(ài)的信息戰(zhàn)爭(zhēng),現(xiàn)在能被預(yù)先警報(bào)及對(duì)應(yīng)措施擊敗。
預(yù)警
在周五晚上突如其來(lái)的“大規(guī)模”黑客攻擊,讓馬克龍陷入岌岌可危的狀態(tài)之時(shí),誰(shuí)都不知道結(jié)果會(huì)變得怎樣。但對(duì)于法國(guó)和美國(guó)的官員而言,他們?cè)缇椭懒恕?/span>
美國(guó)國(guó)家安全局局長(zhǎng)、海軍上將Michael S. Rogers周二在華盛頓參議院軍事委員會(huì)作證時(shí)表示,美國(guó)情報(bào)機(jī)構(gòu)當(dāng)時(shí)看到了這場(chǎng)攻擊行動(dòng),他們立刻通知了法國(guó)相關(guān)部門。
釣魚(yú)郵件
而位于巴黎外部第15區(qū)的馬克龍臨時(shí)總部,其實(shí)并不需要NSA來(lái)告訴他們已經(jīng)被盯上了——早在12月,那時(shí)馬克龍剛以前投資銀行家和前經(jīng)濟(jì)部長(zhǎng)的身份,以及最反對(duì)俄羅斯、最支持北約和歐盟的特點(diǎn),一躍成為總統(tǒng)候選人時(shí),團(tuán)隊(duì)就開(kāi)始收到了網(wǎng)絡(luò)釣魚(yú)郵件。
1.釣魚(yú)軟件具有“很高的質(zhì)量”,郵件中包含了競(jìng)選團(tuán)隊(duì)中真實(shí)的成員姓名,第一眼看上去就像是從他們那邊發(fā)來(lái)的。
2.而在周日大選的前幾天,競(jìng)選團(tuán)隊(duì)收到了最后也是最特別的一封釣魚(yú)郵件,這封郵件自稱來(lái)自Mahjoubi本人,最后的這封郵件呼吁我們下載一些文件以“保護(hù)我們自己”。(并不會(huì)上當(dāng)。)
應(yīng)對(duì)與反擊,戰(zhàn)爭(zhēng)早已開(kāi)始
在此之前,馬克龍選舉團(tuán)隊(duì)就開(kāi)始尋找方法給俄羅斯人增加一點(diǎn)“難度”,把希拉里·克林頓總統(tǒng)選舉時(shí)未能施展的能力和才智表現(xiàn)出來(lái)。那時(shí)的民主黨希拉里團(tuán)隊(duì)只采用了最簡(jiǎn)單安全保障措施,并在數(shù)月內(nèi)持續(xù)忽視來(lái)自FBI的安全警報(bào)——計(jì)算機(jī)系統(tǒng)已被滲透。
我們進(jìn)行了反擊,因?yàn)椴荒?00% 保障不受到攻擊的影響,所以我們思考了可以做的事情。
Mahjoubi采取了一種經(jīng)典的“網(wǎng)絡(luò)模糊”(cyber-blurring)策略——建立虛假電子郵件賬戶和偽造文件,這種策略銀行和企業(yè)會(huì)很熟悉,正如銀行出納員為了應(yīng)對(duì)搶劫的發(fā)生會(huì)在抽屜中放一些假鈔一樣。
1.建立虛假帳戶,在其中補(bǔ)充了虛假內(nèi)容作為陷阱。
2.大規(guī)模地制造虛假信息,讓黑客需要為此作很多驗(yàn)證工作,來(lái)判斷這些信息的真實(shí)性。
3.雖然不能阻止了他們的入侵,但可以延緩了黑客入侵的速度。即便讓他們浪費(fèi)了一分鐘,我們也覺(jué)得愉快。
Mahjoubi拒絕披露他們所創(chuàng)建的虛假文件的類型,但他表示周五泄露的文件的來(lái)源復(fù)雜,確實(shí)夾雜著一些真實(shí)的文件,一些來(lái)自黑客的虛假的文件,一些從其他企業(yè)盜取的文件,還有一些競(jìng)選團(tuán)隊(duì)捏造的郵件內(nèi)容。在他們的整個(gè)攻擊過(guò)程中,團(tuán)隊(duì)都在放入虛假文件。由于技術(shù)團(tuán)隊(duì)中只有18個(gè)人,他們中的許多負(fù)責(zé)制作如視頻之類的選舉材料,并沒(méi)有時(shí)間去追蹤黑客的來(lái)源。他說(shuō)雖然自己的團(tuán)隊(duì)沒(méi)有時(shí)間追蹤黑客身份,但對(duì)黑客的身份有著自己的猜測(cè)。在遭遇釣魚(yú)攻擊的時(shí)候,俄羅斯媒體就開(kāi)始針對(duì)馬克龍競(jìng)選團(tuán)隊(duì)進(jìn)行大肆抨擊。
蛛絲馬跡與真相
無(wú)獨(dú)有偶,黑客團(tuán)隊(duì)留下了痕跡,顯示來(lái)自俄羅斯。早在在美國(guó)大選事件之后,一些安全公司就開(kāi)始追蹤和調(diào)查這些信息。
字符錯(cuò)誤
在三月中旬的時(shí)候,來(lái)自東京的安全巨頭Trend Micro的研究員,觀察到了與入侵美國(guó)民主黨時(shí)相同的俄羅斯團(tuán)隊(duì),發(fā)現(xiàn)他們開(kāi)始開(kāi)發(fā)工具攻擊馬克龍團(tuán)隊(duì)。他們建造了與馬克龍黨派(En Marche! Party)相似的域名,并開(kāi)始傳播帶有惡意鏈接和和虛假登陸頁(yè)面以誘使團(tuán)隊(duì)成員泄露用戶名和密碼,或者點(diǎn)擊一個(gè)鏈接讓他們進(jìn)入內(nèi)部網(wǎng)絡(luò)。安全專家稱這是俄羅斯黑客的經(jīng)典做法,但這次被攻擊者已經(jīng)準(zhǔn)備好了。硅谷安全公司FireEye網(wǎng)絡(luò)間諜分析主管John Hultquist表示這次俄羅斯黑客攻擊表現(xiàn)得有些倉(cāng)促,留下了一些字符上的錯(cuò)誤。
有一段時(shí)間俄羅斯黑客以謹(jǐn)慎完美著稱,但他們出現(xiàn)錯(cuò)誤時(shí),他們會(huì)抹消整次行動(dòng)的記錄,然后重新開(kāi)始。但自從他們?nèi)肭譃蹩颂m和克里米亞之后,我們就看到他們肆無(wú)忌憚地實(shí)施大規(guī)模攻擊,也許因?yàn)檫^(guò)去的攻擊行為沒(méi)有讓他們?cè)馐苋魏螕p失。
泄露郵件
黑客也犯下了另一個(gè)錯(cuò)誤,泄露的文件,從任何選舉的標(biāo)準(zhǔn)而言,都沒(méi)什么吸引人的地方。從馬克龍團(tuán)隊(duì)中竊取的郵件及文件多達(dá)9G本來(lái)是用作丑聞素材的,現(xiàn)在卻成為了混亂的競(jìng)選過(guò)程中團(tuán)隊(duì)成員乏味的普通生活的寫照。泄露的郵件中一封詳細(xì)記錄了團(tuán)隊(duì)成員如何處理一輛拋錨的汽車的經(jīng)歷,另一份文件展示了員工因?yàn)橥浗o咖啡開(kāi)發(fā)票而遭到責(zé)備。
文件修改
也許是這些信息讓黑客失去了謹(jǐn)慎。一部分文件上的元信息(顯示文件來(lái)源的代碼)顯示,文件曾經(jīng)進(jìn)入俄羅斯的電腦并被用戶修改過(guò)。一些Excel文件被微軟系統(tǒng)中俄羅斯特有版本的軟件修改過(guò)。
其他文件顯示最后一次修改是由俄羅斯用戶完成的,包括一名被研究員辨識(shí)出是來(lái)自Eureka CJSC的32歲員工。這家位于莫斯科的俄羅斯技術(shù)公司與俄羅斯國(guó)防部關(guān)系密切,并獲得了FSB特別許可證,以協(xié)助保護(hù)國(guó)家機(jī)密。這家公司尚未回復(fù)意見(jiàn)請(qǐng)求。
而關(guān)于俄羅斯攻擊組織的身份,而馬克龍團(tuán)隊(duì)的Hultquist則認(rèn)為可能是此前出過(guò)差錯(cuò)的APT28組織,撲朔迷離的真相還有待時(shí)間揭秘!
| 
