一、概要
前不久,安全研究人员发现了一个复杂的全球性虚假信息泄密活动,据分析,这次虚假泄密与黑客组织APT28之前所从事的网络间谍活动存在“重叠”之处。
APT28又叫Fancy Bear、Sofacy、Sednit或Pawn Storm,是美国民主党全国委员会(DNC)信息泄密事件的幕后主犯。 自2007年以来,APT28一直较为活跃,据称暗中受到俄罗斯政府的支持。虽然没有确凿证据表明俄罗斯政府直接参与虚假泄密,但也可以说俄罗斯与此次虚假泄密有着千丝万缕的关联。
二、虚假泄密
多伦多大学蒙克国际研究中心的Citizen Lab近日公布了一份名为《污点泄密》的报告,报告指出,俄罗斯政府赞助的黑客攻击200多名Gmail用户(包括记者、俄罗斯政府评论家以及与乌克兰军方有关的用户等),窃取电子邮件中的敏感信息。
窃取到邮件之后,黑客对内容进行选择性修改,随后将选择性修改的邮件内容公之于众。
黑客窃取知名记者、政治家等的文件,选择性修改文件,之后故意“泄露”出去,败坏他们的声誉。”
黑客利用Google自带的安全服务展开钓鱼攻击
报告指出,黑客利用Google自带的安全服务,使用钓鱼邮件从目标用户(前美国国防官员、前俄罗斯总理以及乌克兰军方官员等)那里窃取Gmail登录凭证。
攻击者发送的钓鱼邮件看起来与Google的安全警告几乎相同,提示受害者有人获得了该账户的密码,为安全考虑,受害者必须立即更改密码。但是,一旦受害者访问了链接并输入账号密码登录,黑客就可以访问他们的帐户。
黑客综合利用了Google AMP的开放重定向功能和短URL功能,将钓鱼页面隐藏在短URL中,使得钓鱼链接很有迷惑性,引导受害者输入登录凭证。钓鱼链接如下:
https://www.google.com/amp/tiny.cc/(redacted)
一旦点击,就会重定向到如下页面:
hxxp://myaccount.google.com-changepassword-securitypagesettingmyaccountgooglepagelogin.id833[.]ga/security/signinoptions/password
上述URL看起来像Google的密码重置页面,用户只要输入密码,就会被攻击者捕捉到登录信息。
研究人员分析了美国记者兼俄罗斯政府评论家David Satter收到的两封钓鱼邮件,从而确定了这一攻击的性质。Satter曾报道了多起俄罗斯政治家和企业家的腐败事件,在2013年就被俄罗斯发布禁令,无法进入俄罗斯境内。
下图是相关邮件的钓鱼链接列表:
钓鱼链接列表
波及39个国家218名用户
自述为亲俄派的黑客团体CyberBerkut发表了一些从Satter电子邮件中获得的文件,其中一个被篡改得面目全非,文件表明Satter付费支持俄罗斯记者和活动家发表批评俄罗斯政府的文章,暗示Satter是受美国中情局支持诋毁俄罗斯总统普京的,进而证明了美国中情局阴谋论。该文件随后由多家媒体公布,引起轩然大波。
包括Satter在内共有218人遭到同样的网络钓鱼攻击,包括政治家、其他政府官员、欧洲和欧亚大陆的组织成员、记者、学者、能源和矿业公司的CEO、联合国官员以及高级军事人员等,波及到美国和北约等39个国家或组织。
以下是研究人员发布的部分遭受攻击的知名目标:
前俄罗斯总理
前美国国防部副部长暨美国前国家安全委员会高级主任
奥地利驻北欧大使暨前欧亚驻加拿大大使馆大使
前苏维埃国家石油、天然气、矿业和金融业的高级成员
联合国官员
阿尔巴尼亚、亚美尼亚、阿塞拜疆、格鲁吉亚、希腊、拉脱维亚、黑山、莫桑比克、巴基斯坦、沙特阿拉伯、瑞典、土耳其、乌克兰和美国的军事人员以及北约官员
来自阿富汗、亚美尼亚、奥地利、柬埔寨、埃及、格鲁吉亚、哈萨克斯坦、吉尔吉斯斯坦、拉脱维亚、秘鲁、俄罗斯、斯洛伐克、斯洛维尼亚、苏丹、泰国、土耳其、乌克兰、乌兹别克斯坦和越南等地的政治家、公务员和政府官员。
除了政府这一大团体外,包括记者,学者,反对派人士和积极分子等在内的公民社会是此次虚假泄密攻击的第二大团体的目标(占所有受攻击者的21%)。
三、虚假泄密早已存在
报告显示,此次攻击中用到的技术和方法与2016年美国总统大选攻击和最近法国总统大选攻击中用到的技术和方法类似。
“2017年法国总统大选中,虚假泄密也用于诋毁参选的执政党和候选人。”
美国情报官员以前就曾发现俄罗斯政府暗中支持对Podesta和其他民主党官员的攻击。而Citizen Lab的报告也表示,俄罗斯政府在暗中支持最近的网络钓鱼活动以及随后的Satter电子邮件操纵事件。
“在强调了这一攻击与以前报道过的攻击的相似处之后,我们列举了在2016年美国总统大选期间引人注目的针对记者、反对派组织和民间社会的相关攻击,进而展示了一系列与俄罗斯相关的攻击。”
事实上,安全研究人员在2016年10月份就检测到了类似的虚假泄密攻击,但是在此之前,此类攻击早已存在。例如,在瑞典与北约建立军事伙伴关系事件中以及俄罗斯入侵乌克兰事件中,俄罗斯已经使用伪造文件展开广泛的虚假泄密攻击了。
研究人员甚至表示:俄罗斯在所谓的“dezinformatsiya”(虚假信息泄露)方面有丰富的经验与悠久的历史,,甚至可以追溯到苏联时代。
四、虚假泄密或将成为新的威胁?
伪造上千份文档也许很难,但是在已经写好的单份文件中加入一些伪造的信息却比较简单。一个国家可以匿名披露另一个国家的外交电报,并在电报中加入一些针对第三方国家的恶意对话,进而挑拨两国之间的关系;或者黑客可以从气候变化研究者那里窃取和发布电子邮件,并捏造一些超越气象消息的信息,进而强化该研究者的政治观念;甚至个人也会受到影响,其朋友、爱人、亲戚的邮件内容都有可能被篡改,进而影响亲密关系。
如果你急着解释,说其他邮件都是真实的,就这封被泄露的邮件内容是虚假的,你觉得别人会相信么?并不会,而这也正是虚假泄露的可怕与狡黠之处。
Citizen Lab的研究人员总结说:“虚假泄密对于网络攻击而言越来越重要,而且在如今的数字化时代中可能会变得更加普遍。”
“虚假泄密就像在真相的森林中放入一些假木头,可以测试媒体、公民新闻和社交媒体用户如何判定事实,如何应对并处理充满诱惑性但又可疑的信息。”
趋势科技也针对虚假泄密做了研究,他们总结了虚假泄密三要素:动机;工具与服务;社交网络。
利用社会工程技术可以在社交网络上传播虚假消息。
尽管目前虚假泄密主要集中于政治领域,但未来也很有可能在其他领域(如商业等利益相关的领域)大范围出现。
关于虚假泄密影响股价的例子,可以追溯到2013年。当年,叙利亚电子军队黑掉了美联社的推特账户,声称奥巴马在白宫遭到炮弹袭击,当时美股市场瞬间大幅下跌。
此外,国外有Twitter、Facebook等,国内有微博、微信等,都曾大肆传播过假消息,对个人或者公司的声誉造成了很多负面影响。明星因为假消息而受到网络攻击最后患病甚至过世的极端例子也并非耸人听闻。
毕竟,自古以来就有很多流言蜚语、恶意中伤的事件。著名的销售人员Seth Godin曾说过:“销售,不只是卖产品,更多的是卖故事。”而这故事到底是否真实,估计只有讲故事的人才知道吧。
那么下一次,当你遇到影响广泛的数据泄露事件时,你是会直接相信还是保留态度呢?
五、关于《污点泄密》报告
随着虚假泄密事件愈演愈烈,多伦多大学蒙克国际研究中心的Citizen Lab于2017年5月25日发布了一篇报告,从美国记者兼俄罗斯政府评论家David Satter的邮件入侵着手,深入分析了虚假泄密的方方面面。
以下是该报告的要点:
黑客窃取并篡改知名记者及俄罗斯政府评论家的文件,然后以“泄漏”的方式发布文件,进而诋毁国内外的政府评论家。这样的攻击方式被 定义为“污点泄密”技术。
我们顺藤摸瓜,从此次针对记者的攻击着手调查,进而发现了更大规模的网络钓鱼行动,来自39个国家(包括28个政府成员)超过200名特殊目标遭受攻击。受攻击目标包括前俄罗斯总理、欧洲和欧亚大陆的组织成员、大使、高级军官、能源公司的CEO和民间社会的成员等。
除了政府这一大团体外,包括学者、记者、积极分子和非政府组织成员等在内的公民社会是此次虚假泄密攻击的第二大团体目标(占所有受攻击者的21%)。
没有确凿的证据表明将这些攻击与特定的俄罗斯政府机构联系起来;然而,有证据表明,此次大规模虚假泄密活动与此前许多政府和企业报道过的俄罗斯支持的攻击活动存在明显重合。
