雅虎5億賬戶泄露案真相諜影重重：2名俄羅斯特工+2名黑客

去年雅虎接連曝出多個超大規模數據泄露事件，長期關注Freebuf的你們一定都知道，5億、10億賬戶信息泄露的，除了雅虎也沒誰了。就在這兩天，5億賬戶泄露的真相似乎正在浮出水面。

事件回顧

我們今天要講的就是這樁5億信息泄露案的後續。首先簡要回顧一下這起泄露事件。感興趣的同學可以去看當時Freebuf上的詳細報道。

最新進展

近日，美國司法部指控四名俄羅斯嫌疑犯，組織策劃了2014雅虎數據泄露案，攻擊者盜取了逾5億的雅虎用戶信息。

司法部：兩名俄羅斯聯邦安全局（FSB）特工策劃了攻擊事件

這兩名據說是來自FSB的特工分別是43歲的Igor Anatolyevich Sushchin和33歲的Dmitry Aleksandrovich Dokuchaev。實施攻擊的兩名黑客則是拉托維亞籍的Alexsey Alexseyevich Belan，網名為「Magg」，現年29歲，另一名是22歲的Karim Baratov，網名為「Kay」，持有加拿大和哈薩克雙重國籍。

其中拉托維亞籍的黑客Belan曾經在2012年入侵3家美國科技公司，盜取逾2億用戶信息，遭到起訴。Belan同時也是FBI頭號網路通緝犯，而且在FBI創建這個頭號通緝犯列表時，他就已經在榜了。FBI懸賞最高10萬美金，獎勵提供Alexsey Belan的有關線索。

在俄羅斯聯邦安全局中心18號（Center 18）工作

要逮捕和引渡其他三人其實希望並不大。據美國國家安全部代理副部長Mary McCord的說法，被告的工作單位——信息安全中心，也就是Center 18，是FBI與莫斯科關於網路犯罪事項的聯絡點。FBI在2014年就曾經聯繫過FSB的Center 18，要求引渡頭號通緝犯Belan。但FSB從未對該引渡要求作出任何回應。美國官員稱，Dokuchaev和Sushchin（上面提到的兩名特工）並沒有依照國際刑警組織發出的紅色通緝令，逮捕歸國的Belan，反而利用Belan入侵雅虎的網路。

雅虎這次對了，確實是國家背景黑客乾的

FBI的這份訴狀證實了雅虎此前的言論。去年9月份，雅虎表示該起攻擊是「國家支持的攻擊者」發起的，當時大家都不信。現在根據官方的文件，這起攻擊的細節跟雅虎之間的SEC文件中提到的是一致的。

兩名FSB特工命令Belan入侵雅虎的網路，Belan則從中竊取了姓名、找回密碼郵箱、手機號碼和其他必要的信息來偽造賬戶的瀏覽器cookie。此外，Belan還用了雅虎賬戶管理工具（AMT），攻擊者和兩名FSB特工利用此系統可以偽造必要的瀏覽器cookie，在沒有明文密碼的情況下，訪問雅虎賬戶。

具體攻擊過程

整個攻擊開始於一封魚叉式釣魚郵件。2014年初，有雅虎員工收到了這封郵件。目前不清楚一共有多少人收到了郵件，一共發出了多少封郵件，但只要有一個人點了其中的鏈接，攻擊就開始了。

然後，上面提到的Aleksey Belan就開始在雅虎的網路中伺機而動。Belan的目標有二：一是雅虎的用戶資料庫，二是用來編輯資料庫的賬戶管理工具。Belan很快就得手了。

此外，Belan還在雅虎的伺服器上安了一個後門，這樣他就能一直訪問。於是，到12月份，Belan就偷到了一份雅虎用戶資料庫的備份，並傳到自己的電腦上。這個資料庫中包含姓名、手機號、更改密碼安全問題及答案、用於找回密碼的郵箱和每個賬戶特有的密值（cryptographic value）。憑藉最後兩份信息，Belan和Baratov能夠訪問兩名特工指定的用戶賬戶。

賬戶管理工具不允許明文搜索用戶姓名，所以兩名黑客將目標轉向恢復密碼時所用的郵箱地址。他們根據密碼找回郵箱就能夠辨認出一些目標，從郵箱域名中也能看出某些用戶工作的企業或組織。

一旦相關賬戶成為目標，兩名黑客就能夠使用名為nonce的密值，通過他們上傳到雅虎伺服器的一個腳本，生成訪問cookie。這些cookie多是在2015年和2016年生成的，黑客利用這些cookie可以隨意訪問相應用戶的郵箱，而不需要密碼。

不過，兩名黑客在整個入侵過程中還是相當收斂的。雖然他們能夠訪問5億多個賬戶，但他們實際只針對6500個賬戶做了cookie。就是因為攻擊太低調了，雅虎2014年第一次接觸FBI時，只報告說有26個賬戶被黑客攻擊了。所以直到去年8月份，整個泄露事件浮出水面之後，FBI才加緊了調查。

FSB特工的政治目的，和黑客的個人利益

被黑的6500個用戶包括俄羅斯記者，俄美高級政府官員，俄羅斯安全公司職員，幾家網路供應商的許多員工。攻擊這些目標明顯是為了收集情報。除了這些目標外，Belan也入侵了一些賬戶，來獲取私人的利益。比如，他黑入了一些商業機構僱員的賬戶，這些商業機構包括俄羅斯一家投資銀行，法國運輸公司，美國金融服務和私募股權公司，瑞士比特幣錢包和銀行，美國航空公司。

此外，Belan還從一些郵箱中盜取了代金卡、信用卡號碼等。美國官員還表示，Belan從3千萬個賬戶中盜取私人聯繫信息，靠發送垃圾郵件、製造虛假搜索引擎流量來獲利。

美國司法部：FSB特工保護了Belan

美國官員斷言稱，因為Belan的工作性質，FSB特工為Belan提供了必要的信息來躲避美國的調查。

「企業必須要明白一點，如果你要與國家資源和力量對抗，這將不會是一場勢均力敵的較量，你不太可能打贏這場戰。」

—— 美國國家安全部代理副部長Mary McCord

太霸氣了，放出原話供大家觀摩

「It is very important for corporations around the country to know that when you are going against the resources and backing of a nation state, it is not a fair fight, and it is not a fight your are likely to win.」

- Acting Assistant Attorney General Mary McCord

Baratov是替補隊員

兩名FSB特工無法訪問其他郵件供應商的用戶賬戶時，Baratov登場了。Baratov一直活躍在暗網眾，代號為「Four」。根據FBI的起訴書，FSB要求Baratov利用從雅虎那裡偷來的數據，黑入了80多個賬戶。美方調查員表示Baratov因給兩名FSB特工提供目標賬戶的密碼，獲得了不少傭金。

美國官員透露，谷歌也檢測到了一些針對Gmail賬戶的入侵嘗試，也曾上報有關機構。雅虎目前針對此事發表了簡短的聲明，稱感謝FBI的全力調查和美國司法部處置有關人員的果斷行動。聲明中還表示，雅虎致力於保障用戶及平台安全，並將繼續參與打擊網路犯罪的執法行動。