3月19日,希拉里竞选团队主席约翰·波德斯塔(John
Podesta)收到了一封貌似来自Google的警告邮件,然而,该邮件却是一封窃取个人信息的钓鱼邮件,幕后攻击者被认为是俄罗斯国家黑客。Podesta无意点击了邮件中的恶意链接,其邮箱密码就成了黑客的“囊中之物”。
10月9日,维基解密公布了数千封Podesta被黑邮件。虽然大多数人认为,Podesta的邮箱入侵与攻击民主党全国委员会(DNC)的俄罗斯黑客有关,但一直没有明确证据,而现在,根据调查关联,两起攻击事件为同一组织发起。
调查证据指向被称为Fancy
Bear或Sofacy的俄罗斯国家黑客组织APT28。黑客使用了相同的入侵手法:隐藏在Gmail邮件中的恶意短网址。根据安全公司SecureWorks近一年的跟踪调查发现,攻击者通过Fancy
Bear控制的域名,注册Bitly账号创建了这些恶意短址。
Bitly(Bitly.com)是世界上最流行的短链接服务,可以让用户自定义自己的短链接域名,把正常的网址缩短成短链接,适用于所有客户端和服务平台。
跟踪Fancy Bear足迹
Podesta在3月19号收到的钓鱼邮件中包含了一个精心构造的,由bitly创建的短网址,该短址实际指向一个伪装成Google的长链接。
在这个伪装的长链接中,包含了30个字符的Base64加密字符串,这些信息包括Podesta邮箱地址和姓名。Bitly提供的数据显示,该恶意链接在3月份被请求点击了2次,根据事件调查人员向我们确认,这也是造成Podesta邮箱被入侵的关键。
自2015年10月至2016年5月,Fancy
Bear共针对4000多名入侵目标创建了9000多个恶意短址,每个短址中包含了入侵目标人物的姓名和邮箱账号。据SecureWorks调查分析,攻击者使用了两个Bitly账号创建了短址,但却忘记了将账号设为私有。
SecureWorks通过跟踪监测Fancy
Bear使用的C&C域名,发现黑客使用的有上千个恶意短址与各类入侵攻击事件相关,其中就包括针对希拉里竞选团队的Bitly短址。分析人员还发现,Fancy
Bear使用了213个恶意短址对希拉里竞选官方网站hillaryclinton.com的108个邮箱帐号发起了入侵攻击。
安全专家表示,黑客使用Bitly这样的服务,能让第三方平台完全窥见其应该保密的整个黑客攻击活动,这是Fancy
Bear的严重失误。而正是由于这点,安全调查人员陆续发现了黑客入侵科林·鲍威尔(Colin
Powell)和希拉里另一竞选团队成员威廉·莱因哈特(William
Rinehart)邮箱的踪迹。根据莱因哈特本人声称,他于3月22日收到了一封伪装成Google安全团队的钓鱼邮件,而SecureWorks发现的包含莱因哈特邮箱帐号的短址,也具有相同的时间属性。
类似的恶意邮件和短址同样被该黑客组织用于针对Bellingcat网站独立记者的攻击,Bellingcat网站曾调查报道过2014年马航MH17在乌克兰上空被俄罗斯支持的叛军击落。以下为Bellingcat记者收到的钓鱼邮件截图:
一些东欧记者也收到了类似窃取Google账号密码的钓鱼邮件:
非常明了,这些恶意邮件都伪装成Google安全警告邮件,并包含目标受害者相关信息的加密字符串短址。黑客使用的加密字符串如果被发现后,其攻击目标便显露无疑,这样的意图让人匪夷所思,但来自ThreatConnect的安全专家表示,这些字符串或许能帮助黑客更好地跟踪管理攻击活动,针对特定目标调整钓鱼邮件,既能监测攻击有效性,还能在其中一个恶意地址被发现后,起到分散目标、识别攻击、保持攻击持续性的作用。另外一点,黑客使用Bitly和Tinyurl这样的短址,可能为了逃避垃圾邮件过滤机制。
其它发现
根据SecureWorks的调查, 该黑客组织还对包括前苏联国家在内的其它国家各领域开展入侵攻击:
希拉里竞选团队的以下重要成员也是该黑客组织长期的攻击目标:
国家政治主管
财务总监
战略通信总监
调度主管
竞选部门主管
竞选新闻秘书
竞选协调员
10月7日,美国国土安全部与美国国家情报总监办公室发表了联合声明,公开指责俄罗斯黑客插手美国大选。美国官方的声明指出,近期发生的多个美国政治组织和个人的电子邮件外泄事件与俄罗斯政府有关。黑客所使用的技术和服务器出自俄罗斯。只有俄罗斯高级别官员授权,俄罗斯黑客才会从事这些活动。而根据这一声明,黑客的目的就是干扰美国大选。
作者:佚名
来源:51CTO