引發大國沖突、攻擊政府網站、冒充恐怖組織,在美國網絡安全界,一個神秘組織正受到嚴密監控。但他們是誰?他們在哪?他們有多少人?這些基本問題依舊迷霧重重……(本文來自BuzzFeed,由騰訊科技整合編譯。)
最近,美國和俄羅斯正吵得不可開交,其中一個原因就是美國指責俄羅斯授權并幫助黑客干預大選。
盡管俄羅斯將黑客之說斥為“一派胡言”,但白宮最近公布的一份聲明,還是將一個神秘組織推到了聚光燈下。
根據美國網絡安全公司及學者的說法,這個名叫“奇幻熊(Fancy Bear)”的黑客組織,正是希拉里“郵件門”等一系列事件的幕后黑手。他們已密切關注該組織多年,但至今,即使是對諸如“奇幻熊內部有幾名黑客”、“奇幻熊是固定組織還是松散聯盟”這樣的問題,也都還停留在猜測階段。
至于那些駭人聽聞的傳說,更是真假難辨,我們也只能從美國安全專家的一面之詞中,窺探這個黑客組織“斑斑劣跡”。
一個驚心動魄的早晨:奇幻熊或是郵件門背后主使
3月10日早晨,克林頓競選團隊的高級成員幾乎都收到了一系列像是發自谷歌官方的郵件。郵件的主要內容是,要求他們點擊鏈接查看他們谷歌郵箱賬戶近期的可疑操作。
點擊連接后,瀏覽器便自動跳轉至一個看起來同谷歌官方密碼重置頁面一模一樣的網頁,并要求他們輸入賬戶、密碼登陸郵箱。然而希拉里競選團隊的精英們不知道的是,從那一刻開始,他們就已經落入“奇幻熊”所設置的陷阱中了。
6月15日,《華盛頓郵報》根據來自網絡安全公司Crowdstrike的消息指出,是一個來自俄羅斯的黑客組織入侵了美國民主黨國家委員會(DNC)的郵件服務器,并曝光了近2萬封郵件的內容。
從目前收集到的信息來看,成立于2007年的奇幻熊又名“Sofacy Group”、APT28、Pawn Storm或者Sednit,攻擊對象多為政府、軍隊及安全機構,是高級持續性威脅(Advanced Persistent Threat,即APT)攻擊的典型代表。
盡管奇幻熊如今已經名聲大噪,但沒有人可以確認這一組織的具體黑客數量,也不知道該組織的總部位于何處,甚至不知道這一組織給自己定的正式名稱是哪個。
所到之處一片焦土:奇幻熊傳說中的“斑斑劣跡”
與之神秘身份相對的是,奇幻熊傳說中發動的網絡攻擊卻幾乎都是大手筆。
除了黑掉美國大選外,奇幻熊的最新“戰績”就包括在里約奧運會期間侵入世界反興奮劑機構(WADA)數據庫。
里約奧運會“熊出沒”
今年奧運期間,奇幻熊先后四次曝光了WADA數據,包括體操4金得主拜爾斯、網壇名將大小威廉姆斯以及男子5000米和10000米雙料冠軍法拉赫在內的幾十名運動員均因此卷入禁藥丑聞。
奇幻熊在Twitter上曝光大小威廉姆斯服用禁藥
盡管WADA和受牽連的運動員們反復強調,他們服用禁藥都是“以治療為目的”,合法合規,但隨后媒體的一系列深度曝光依然將禁藥豁免權問題推上了風口浪尖。
據BBC報道,迫于奇幻熊的壓力,英國率先自曝,在里約奧運會上有53人服用禁藥,當然都使用了禁藥豁免權。
法國電視臺險遭之災
如果你覺得里約奧運會事件還只是“小打小鬧”,那么接下來這起事件可就稱得上是災難了。
2015年4月8日晚上,法國國營的國際電視五臺(TV5Monde)突然遭到自稱是來自極端組織“伊斯蘭國(ISIS)”的黑客攻擊,電視臺和其官方Facebook賬號都開始發布有關“圣戰”的內容。
法國TV5Monde被黑后的Facebook賬號
當時幾乎全球媒體都對此事進行了報道。但是直到一個月后,負責調查該事件的網絡安全公司才有了結果,他們認為,奇幻熊正是這起事件的主使。其中一家公司FireEye在接受BuzzFeed記者采訪時表示,他們是通過比較攻擊者的IP地址及此前奇幻熊攻擊事件中的IP地址得出的結論。
TV5Monde電視臺臺長Yves Bigot回憶說,當天晚上8:40,他們接到無數報告,稱該電視臺的所有12個頻道全部癱瘓,而且每分鐘都有更多系統遭到破壞。當時,電視臺的一位工程師迅速找到了受影響的機器,并切斷網絡,才終止了這場攻擊。
戰爭中格魯吉亞政府網站被黑
時間再往前追溯,2008年6月末,也就是在俄羅斯格魯吉亞戰爭的前三周,一個由僵尸電腦(指感染惡意軟件后受控于黑客的電腦)構成的網絡開始對格魯吉亞政府網站發動攻擊。
格魯吉亞政府網站的服務器因收到數以百萬計的訪問請求而瀕臨崩潰,當時的格魯吉亞總統薩卡什維利的網頁也癱瘓長達24小時,許多新聞媒體的網站也紛紛淪陷。
8月9日,戰爭開始,格魯吉亞的網絡陷入全面癱瘓,總統薩卡什維利的網頁遭到篡改,黑客把他的照片和希特勒的照片放在了一起。
陷入癱瘓的格魯吉亞政府網站
據網絡安全領域的研究者分析,奇幻熊正是參與此次行動的組織之一,這也是網絡攻擊與現實中軍事沖突同時發生的最早案例之一。
作案手段居然很low?
好了,到這里,你一定在猜如此叱咤風云的黑客組織到底使用了哪些高精尖技術。
如果這么想,你就不免要失望了。一些研究者表示,奇幻熊雖然在某些行動中使用了復雜而又昂貴的惡意軟件,但他們最常用的伎倆還是釣魚郵件。用戶一旦打開郵件中的鏈接,就會跳轉到一個和正規網站看起來一模一樣的網站,以此騙取賬號密碼,或在用戶電腦上安裝惡意軟件。
“他們偽造的谷歌網頁真的很逼真,”網絡安全公司SecureWorks的資深研究員Phil Burdette表示,他還說,如果不仔細看網址,還真是分辨不出來。
SecureWorks曝光的“郵件門”中釣魚網站截圖及網址
“這些黑客攻擊幾乎總是始于釣魚郵件,他們也不傻,因為如果這種小伎倆就可以搞定,為什么還要用‘牛刀’呢?”網絡安全公司Invincea的CEO Anup Ghosh表示。
另據網絡安全專家提供的數據,大約有一半人都會打開釣魚郵件。而在“郵件門”中,克林頓競選團隊成員也恰好有一半人上鉤,但這已經足以讓奇幻熊的計劃得逞。
這種作案手段似乎并沒有什么稀奇,但奇幻熊的陰影依然籠罩著網絡安全界。
美國國防部的一位要求匿名的官員說:“如果把奇幻熊比作一個在學校操場上玩耍的小孩子,那么他就是那個搶了你的橙汁還要當著你的面喝完的淘氣包,完事后還可以大搖大擺地離開,而不受任何懲罰。”
京公網安備 11010502049343號