一、概要
這兩年,互聯(lián)網(wǎng)上涌現(xiàn)了很多政府和企業(yè)的敏感數(shù)據(jù)泄露,但這些由不明行為者泄漏的信息是否準(zhǔn)確呢?
前不久,安全研究人員發(fā)現(xiàn)了一個(gè)復(fù)雜的全球性虛假信息泄密活動(dòng),據(jù)分析,這次虛假泄密與黑客組織APT28之前所從事的網(wǎng)絡(luò)間諜活動(dòng)存在“重疊”之處。
APT28又叫Fancy Bear、Sofacy、Sednit或Pawn Storm,是美國民主黨全國委員會(huì)(DNC)信息泄密事件的幕后主犯。 自2007年以來,APT28一直較為活躍,據(jù)稱暗中受到俄羅斯政府的支持。雖然沒有確鑿證據(jù)表明俄羅斯政府直接參與虛假泄密,但也可以說俄羅斯與此次虛假泄密有著千絲萬縷的關(guān)聯(lián)。
二、虛假泄密
多倫多大學(xué)蒙克國際研究中心的Citizen Lab近日公布了一份名為《污點(diǎn)泄密》的報(bào)告,報(bào)告指出,俄羅斯政府贊助的黑客攻擊200多名Gmail用戶(包括記者、俄羅斯政府評(píng)論家以及與烏克蘭軍方有關(guān)的用戶等),竊取電子郵件中的敏感信息。
竊取到郵件之后,黑客對(duì)內(nèi)容進(jìn)行選擇性修改,隨后將選擇性修改的郵件內(nèi)容公之于眾。
“黑客竊取知名記者、政治家等的文件,選擇性修改文件,之后故意“泄露”出去,敗壞他們的聲譽(yù)。”
黑客利用Google自帶的安全服務(wù)展開釣魚攻擊
報(bào)告指出,黑客利用Google自帶的安全服務(wù),使用釣魚郵件從目標(biāo)用戶(前美國國防官員、前俄羅斯總理以及烏克蘭軍方官員等)那里竊取Gmail登錄憑證。
攻擊者發(fā)送的釣魚郵件看起來與Google的安全警告幾乎相同,提示受害者有人獲得了該賬戶的密碼,為安全考慮,受害者必須立即更改密碼。但是,一旦受害者訪問了鏈接并輸入賬號(hào)密碼登錄,黑客就可以訪問他們的帳戶。
黑客綜合利用了Google AMP的開放重定向功能和短URL功能,將釣魚頁面隱藏在短URL中,使得釣魚鏈接很有迷惑性,引導(dǎo)受害者輸入登錄憑證。釣魚鏈接如下:
https://www.google.com/amp/tiny.cc/(redacted)
一旦點(diǎn)擊,就會(huì)重定向到如下頁面:
hxxp://myaccount.google.com-changepassword-securitypagesettingmyaccountgooglepagelogin.id833[.]ga/security/signinoptions/password
上述URL看起來像Google的密碼重置頁面,用戶只要輸入密碼,就會(huì)被攻擊者捕捉到登錄信息。
研究人員分析了美國記者兼俄羅斯政府評(píng)論家David Satter收到的兩封釣魚郵件,從而確定了這一攻擊的性質(zhì)。Satter曾報(bào)道了多起俄羅斯政治家和企業(yè)家的腐敗事件,在2013年就被俄羅斯發(fā)布禁令,無法進(jìn)入俄羅斯境內(nèi)。
下圖是相關(guān)郵件的釣魚鏈接列表:
波及39個(gè)國家218名用戶
自述為親俄派的黑客團(tuán)體CyberBerkut發(fā)表了一些從Satter電子郵件中獲得的文件,其中一個(gè)被篡改得面目全非,文件表明Satter付費(fèi)支持俄羅斯記者和活動(dòng)家發(fā)表批評(píng)俄羅斯政府的文章,暗示Satter是受美國中情局支持詆毀俄羅斯總統(tǒng)普京的,進(jìn)而證明了美國中情局陰謀論。該文件隨后由多家媒體公布,引起軒然大波。
包括Satter在內(nèi)共有218人遭到同樣的網(wǎng)絡(luò)釣魚攻擊,包括政治家、其他政府官員、歐洲和歐亞大陸的組織成員、記者、學(xué)者、能源和礦業(yè)公司的CEO、聯(lián)合國官員以及高級(jí)軍事人員等,波及到美國和北約等39個(gè)國家或組織。
以下是研究人員發(fā)布的部分遭受攻擊的知名目標(biāo):
前俄羅斯總理
前美國國防部副部長暨美國前國家安全委員會(huì)高級(jí)主任
奧地利駐北歐大使暨前歐亞駐加拿大大使館大使
前蘇維埃國家石油、天然氣、礦業(yè)和金融業(yè)的高級(jí)成員
聯(lián)合國官員
阿爾巴尼亞、亞美尼亞、阿塞拜疆、格魯吉亞、希臘、拉脫維亞、黑山、莫桑比克、巴基斯坦、沙特阿拉伯、瑞典、土耳其、烏克蘭和美國的軍事人員以及北約官員
來自阿富汗、亞美尼亞、奧地利、柬埔寨、埃及、格魯吉亞、哈薩克斯坦、吉爾吉斯斯坦、拉脫維亞、秘魯、俄羅斯、斯洛伐克、斯洛維尼亞、蘇丹、泰國、土耳其、烏克蘭、烏茲別克斯坦和越南等地的政治家、公務(wù)員和政府官員
除了政府這一大團(tuán)體外,包括記者,學(xué)者,反對(duì)派人士和積極分子等在內(nèi)的公民社會(huì)是此次虛假泄密攻擊的第二大團(tuán)體的目標(biāo)(占所有受攻擊者的21%)。
三、虛假泄密早已存在
報(bào)告顯示,此次攻擊中用到的技術(shù)和方法與2016年美國總統(tǒng)大選攻擊和最近法國總統(tǒng)大選攻擊中用到的技術(shù)和方法類似。
“2017年法國總統(tǒng)大選中,虛假泄密也用于詆毀參選的執(zhí)政黨和候選人。”
美國情報(bào)官員以前就曾發(fā)現(xiàn)俄羅斯政府暗中支持對(duì)Podesta和其他民主黨官員的攻擊。而Citizen Lab的報(bào)告也表示,俄羅斯政府在暗中支持最近的網(wǎng)絡(luò)釣魚活動(dòng)以及隨后的Satter電子郵件操縱事件。
“在強(qiáng)調(diào)了這一攻擊與以前報(bào)道過的攻擊的相似處之后,我們列舉了在2016年美國總統(tǒng)大選期間引人注目的針對(duì)記者、反對(duì)派組織和民間社會(huì)的相關(guān)攻擊,進(jìn)而展示了一系列與俄羅斯相關(guān)的攻擊。”
事實(shí)上,安全研究人員在2016年10月份就檢測(cè)到了類似的虛假泄密攻擊,但是在此之前,此類攻擊早已存在。例如,在瑞典與北約建立軍事伙伴關(guān)系事件中以及俄羅斯入侵烏克蘭事件中,俄羅斯已經(jīng)使用偽造文件展開廣泛的虛假泄密攻擊了。
研究人員甚至表示:俄羅斯在所謂的“dezinformatsiya”(虛假信息泄露)方面有豐富的經(jīng)驗(yàn)與悠久的歷史,,甚至可以追溯到蘇聯(lián)時(shí)代。
四、虛假泄密或?qū)⒊蔀樾碌耐{?
偽造上千份文檔也許很難,但是在已經(jīng)寫好的單份文件中加入一些偽造的信息卻比較簡單。一個(gè)國家可以匿名披露另一個(gè)國家的外交電報(bào),并在電報(bào)中加入一些針對(duì)第三方國家的惡意對(duì)話,進(jìn)而挑撥兩國之間的關(guān)系;或者黑客可以從氣候變化研究者那里竊取和發(fā)布電子郵件,并捏造一些超越氣象消息的信息,進(jìn)而強(qiáng)化該研究者的政治觀念;甚至個(gè)人也會(huì)受到影響,其朋友、愛人、親戚的郵件內(nèi)容都有可能被篡改,進(jìn)而影響親密關(guān)系。
如果你急著解釋,說其他郵件都是真實(shí)的,就這封被泄露的郵件內(nèi)容是虛假的,你覺得別人會(huì)相信么?并不會(huì),而這也正是虛假泄露的可怕與狡黠之處。
Citizen Lab的研究人員總結(jié)說:“虛假泄密對(duì)于網(wǎng)絡(luò)攻擊而言越來越重要,而且在如今的數(shù)字化時(shí)代中可能會(huì)變得更加普遍。”
“虛假泄密就像在真相的森林中放入一些假木頭,可以測(cè)試媒體、公民新聞和社交媒體用戶如何判定事實(shí),如何應(yīng)對(duì)并處理充滿誘惑性但又可疑的信息。”
趨勢(shì)科技也針對(duì)虛假泄密做了研究,他們總結(jié)了虛假泄密三要素:動(dòng)機(jī);工具與服務(wù);社交網(wǎng)絡(luò)。
利用社會(huì)工程技術(shù)可以在社交網(wǎng)絡(luò)上傳播虛假消息。
盡管目前虛假泄密主要集中于政治領(lǐng)域,但未來也很有可能在其他領(lǐng)域(如商業(yè)等利益相關(guān)的領(lǐng)域)大范圍出現(xiàn)。
關(guān)于虛假泄密影響股價(jià)的例子,可以追溯到2013年。當(dāng)年,敘利亞電子軍隊(duì)黑掉了美聯(lián)社的推特賬戶,聲稱奧巴馬在白宮遭到炮彈襲擊,當(dāng)時(shí)美股市場(chǎng)瞬間大幅下跌。
此外,國外有Twitter、Facebook等,國內(nèi)有微博、微信等,都曾大肆傳播過假消息,對(duì)個(gè)人或者公司的聲譽(yù)造成了很多負(fù)面影響。明星因?yàn)榧傧⒍艿骄W(wǎng)絡(luò)攻擊最后患病甚至過世的極端例子也并非聳人聽聞。
畢竟,自古以來就有很多流言蜚語、惡意中傷的事件。著名的銷售人員Seth Godin曾說過:“銷售,不只是賣產(chǎn)品,更多的是賣故事。”而這故事到底是否真實(shí),估計(jì)只有講故事的人才知道吧。
那么下一次,當(dāng)你遇到影響廣泛的數(shù)據(jù)泄露事件時(shí),你是會(huì)直接相信還是保留態(tài)度呢?
五、關(guān)于《污點(diǎn)泄密》報(bào)告
隨著虛假泄密事件愈演愈烈,多倫多大學(xué)蒙克國際研究中心的Citizen Lab于2017年5月25日發(fā)布了一篇報(bào)告,從美國記者兼俄羅斯政府評(píng)論家David Satter的郵件入侵著手,深入分析了虛假泄密的方方面面。
以下是該報(bào)告的要點(diǎn):
黑客竊取并篡改知名記者及俄羅斯政府評(píng)論家的文件,然后以“泄漏”的方式發(fā)布文件,進(jìn)而詆毀國內(nèi)外的政府評(píng)論家。這樣的攻擊方式被 定義為“污點(diǎn)泄密”技術(shù)。
我們順藤摸瓜,從此次針對(duì)記者的攻擊著手調(diào)查,進(jìn)而發(fā)現(xiàn)了更大規(guī)模的網(wǎng)絡(luò)釣魚行動(dòng),來自39個(gè)國家(包括28個(gè)政府成員)超過200名特殊目標(biāo)遭受攻擊。受攻擊目標(biāo)包括前俄羅斯總理、歐洲和歐亞大陸的組織成員、大使、高級(jí)軍官、能源公司的CEO和民間社會(huì)的成員等。
除了政府這一大團(tuán)體外,包括學(xué)者、記者、積極分子和非政府組織成員等在內(nèi)的公民社會(huì)是此次虛假泄密攻擊的第二大團(tuán)體目標(biāo)(占所有受攻擊者的21%)。
沒有確鑿的證據(jù)表明將這些攻擊與特定的俄羅斯政府機(jī)構(gòu)聯(lián)系起來;然而,有證據(jù)表明,此次大規(guī)模虛假泄密活動(dòng)與此前許多政府和企業(yè)報(bào)道過的俄羅斯支持的攻擊活動(dòng)存在明顯重合。
| 
