3月19日，希拉里競選團隊主席約翰·波德斯塔（John Podesta）收到了一封貌似來自Google的警告郵件，然而，該郵件卻是一封竊取個人信息的釣魚郵件，幕后攻擊者被認為是俄羅斯國家黑客。Podesta無意點擊了郵件中的惡意鏈接，其郵箱密碼就成了黑客的“囊中之物”。

10月9日，維基解密公布了數千封Podesta被黑郵件。雖然大多數人認為，Podesta的郵箱入侵與攻擊民主黨全國委員會（DNC）的俄羅斯黑客有關，但一直沒有明確證據，而現在，根據調查關聯，兩起攻擊事件為同一組織發起。

調查證據指向被稱為Fancy Bear或Sofacy的俄羅斯國家黑客組織APT28。黑客使用了相同的入侵手法：隱藏在Gmail郵件中的惡意短網址。根據安全公司SecureWorks近一年的跟蹤調查發現，攻擊者通過Fancy Bear控制的域名，注冊Bitly賬號創建了這些惡意短址。

Bitly(Bitly.com)是世界上最流行的短鏈接服務，可以讓用戶自定義自己的短鏈接域名，把正常的網址縮短成短鏈接，適用于所有客戶端和服務平臺。

跟蹤Fancy Bear足跡

Podesta在3月19號收到的釣魚郵件中包含了一個精心構造的，由bitly創建的短網址，該短址實際指向一個偽裝成Google的長鏈接。

在這個偽裝的長鏈接中，包含了30個字符的Base64加密字符串，這些信息包括Podesta郵箱地址和姓名。Bitly提供的數據顯示，該惡意鏈接在3月份被請求點擊了2次，根據事件調查人員向我們確認，這也是造成Podesta郵箱被入侵的關鍵。

自2015年10月至2016年5月，Fancy Bear共針對4000多名入侵目標創建了9000多個惡意短址，每個短址中包含了入侵目標人物的姓名和郵箱賬號。據SecureWorks調查分析，攻擊者使用了兩個Bitly賬號創建了短址，但卻忘記了將賬號設為私有。

SecureWorks通過跟蹤監測Fancy Bear使用的C&C域名，發現黑客使用的有上千個惡意短址與各類入侵攻擊事件相關，其中就包括針對希拉里競選團隊的Bitly短址。分析人員還發現，Fancy Bear使用了213個惡意短址對希拉里競選官方網站hillaryclinton.com的108個郵箱帳號發起了入侵攻擊。

安全專家表示，黑客使用Bitly這樣的服務，能讓第三方平臺完全窺見其應該保密的整個黑客攻擊活動，這是Fancy Bear的嚴重失誤。而正是由于這點，安全調查人員陸續發現了黑客入侵科林·鮑威爾（Colin Powell）和希拉里另一競選團隊成員威廉·萊因哈特（William Rinehart）郵箱的蹤跡。根據萊因哈特本人聲稱，他于3月22日收到了一封偽裝成Google安全團隊的釣魚郵件，而SecureWorks發現的包含萊因哈特郵箱帳號的短址，也具有相同的時間屬性。

類似的惡意郵件和短址同樣被該黑客組織用于針對Bellingcat網站獨立記者的攻擊，Bellingcat網站曾調查報道過2014年馬航MH17在烏克蘭上空被俄羅斯支持的叛軍擊落。以下為Bellingcat記者收到的釣魚郵件截圖：

　　一些東歐記者也收到了類似竊取Google賬號密碼的釣魚郵件:

非常明了，這些惡意郵件都偽裝成Google安全警告郵件，并包含目標受害者相關信息的加密字符串短址。黑客使用的加密字符串如果被發現后，其攻擊目標便顯露無疑，這樣的意圖讓人匪夷所思，但來自ThreatConnect的安全專家表示，這些字符串或許能幫助黑客更好地跟蹤管理攻擊活動，針對特定目標調整釣魚郵件，既能監測攻擊有效性，還能在其中一個惡意地址被發現后，起到分散目標、識別攻擊、保持攻擊持續性的作用。另外一點，黑客使用Bitly和Tinyurl這樣的短址，可能為了逃避垃圾郵件過濾機制。

其它發現

根據SecureWorks的調查， 該黑客組織還對包括前蘇聯國家在內的其它國家各領域開展入侵攻擊：

　　希拉里競選團隊的以下重要成員也是該黑客組織長期的攻擊目標：

國家政治主管

財務總監

戰略通信總監

調度主管

競選部門主管

競選新聞秘書

競選協調員

10月7日，美國國土安全部與美國國家情報總監辦公室發表了聯合聲明，公開指責俄羅斯黑客插手美國大選。美國官方的聲明指出，近期發生的多個美國政治組織和個人的電子郵件外泄事件與俄羅斯政府有關。黑客所使用的技術和服務器出自俄羅斯。只有俄羅斯高級別官員授權，俄羅斯黑客才會從事這些活動。而根據這一聲明，黑客的目的就是干擾美國大選。

**參考來源：MotherBoard，SecureWorks，FB小編clouds編譯，轉載請注明來自FreeBuf（FreeBuf.COM）