安全 | 各國被黑客泄露的信息都是真的嗎？揭秘真相森林中的重重謊言

這兩年，互聯網上湧現了很多政府和企業的敏感數據泄露，但這些由不明行為者泄漏的信息是否準確呢?

前不久，安全研究人員發現了一個複雜的全球性虛假信息泄密活動，據分析，這次虛假泄密與黑客組織APT28之前所從事的網路間諜活動存在「重疊」之處。

APT28又叫Fancy Bear、Sofacy、Sednit或Pawn Storm，是美國民主黨全國委員會(DNC)信息泄密事件的幕後主犯。 自2007年以來，APT28一直較為活躍，據稱暗中受到俄羅斯政府的支持。雖然沒有確鑿證據表明俄羅斯政府直接參与虛假泄密，但也可以說俄羅斯與此次虛假泄密有著千絲萬縷的關聯。

多倫多大學蒙克國際研究中心的Citizen Lab近日公布了一份名為《污點泄密》的報告，報告指出，俄羅斯政府贊助的黑客攻擊200多名Gmail用戶(包括記者、俄羅斯政府評論家以及與烏克蘭軍方有關的用戶等)，竊取電子郵件中的敏感信息。

竊取到郵件之後，黑客對內容進行選擇性修改，隨後將選擇性修改的郵件內容公之於眾。

黑客竊取知名記者、政治家等的文件，選擇性修改文件，之後故意「泄露」出去，敗壞他們的聲譽。

報告指出，黑客利用Google自帶的安全服務，使用釣魚郵件從目標用戶(前美國國防官員、前俄羅斯總理以及烏克蘭軍方官員等)那裡竊取Gmail登錄憑證。

攻擊者發送的釣魚郵件看起來與Google的安全警告幾乎相同，提示受害者有人獲得了該賬戶的密碼，為安全考慮，受害者必須立即更改密碼。但是，一旦受害者訪問了鏈接並輸入賬號密碼登錄，黑客就可以訪問他們的帳戶。

黑客綜合利用了Google AMP的開放重定向功能和短URL功能，將釣魚頁面隱藏在短URL中，使得釣魚鏈接很有迷惑性，引導受害者輸入登錄憑證。釣魚鏈接如下：

https://www.google.com/amp/tiny.cc/(redacted)

一旦點擊，就會重定向到如下頁面：

hxxp://myaccount.google.com-changepassword-securitypagesettingmyaccountgooglepagelogin.id833[.]ga/security/signinoptions/password

上述URL看起來像Google的密碼重置頁面，用戶只要輸入密碼，就會被攻擊者捕捉到登錄信息。

研究人員分析了美國記者兼俄羅斯政府評論家David Satter收到的兩封釣魚郵件，從而確定了這一攻擊的性質。Satter曾報道了多起俄羅斯政治家和企業家的腐敗事件，在2013年就被俄羅斯發布禁令，無法進入俄羅斯境內。

下圖是相關郵件的釣魚鏈接列表：

波及39個國家218名用戶

自述為親俄派的黑客團體CyberBerkut發表了一些從Satter電子郵件中獲得的文件，其中一個被篡改得面目全非，文件表明Satter付費支持俄羅斯記者和活動家發表批評俄羅斯政府的文章，暗示Satter是受美國中情局支持詆毀俄羅斯總統普京的，進而證明了美國中情局陰謀論。該文件隨後由多家媒體公布，引起軒然大波。

包括Satter在內共有218人遭到同樣的網路釣魚攻擊，包括政治家、其他政府官員、歐洲和歐亞大陸的組織成員、記者、學者、能源和礦業公司的CEO、聯合國官員以及高級軍事人員等，波及到美國和北約等39個國家或組織。

以下是研究人員發布的部分遭受攻擊的知名目標：

前俄羅斯總理

前美國國防部副部長暨美國前國家安全委員會高級主任

奧地利駐北歐大使暨前歐亞駐加拿大大使館大使

前蘇維埃國家石油、天然氣、礦業和金融業的高級成員

聯合國官員

阿爾巴尼亞、亞美尼亞、亞塞拜然、喬治亞、希臘、拉脫維亞、黑山、莫三比克、巴其斯坦、沙烏地阿拉伯、瑞典、土耳其、烏克蘭和美國的軍事人員以及北約官員

來自阿富汗、亞美尼亞、奧地利、柬埔寨、埃及、喬治亞、哈薩克、吉爾吉斯斯坦、拉脫維亞、秘魯、俄羅斯、斯洛伐克、斯洛維尼亞、蘇丹、泰國、土耳其、烏克蘭、烏茲別克和越南等地的政治家、公務員和政府官員

除了政府這一大團體外，包括記者，學者，反對派人士和積極分子等在內的公民社會是此次虛假泄密攻擊的第二大團體的目標(占所有受攻擊者的21%)。

三、虛假泄密早已存在

報告顯示，此次攻擊中用到的技術和方法與2016年美國總統大選攻擊和最近法國總統大選攻擊中用到的技術和方法類似。

「2017年法國總統大選中，虛假泄密也用於詆毀參選的執政黨和候選人。」

美國情報官員以前就曾發現俄羅斯政府暗中支持對Podesta和其他民主黨官員的攻擊。而Citizen Lab的報告也表示，俄羅斯政府在暗中支持最近的網路釣魚活動以及隨後的Satter電子郵件操縱事件。

「在強調了這一攻擊與以前報道過的攻擊的相似處之後，我們列舉了在2016年美國總統大選期間引人注目的針對記者、反對派組織和民間社會的相關攻擊，進而展示了一系列與俄羅斯相關的攻擊。」

事實上，安全研究人員在2016年10月份就檢測到了類似的虛假泄密攻擊，但是在此之前，此類攻擊早已存在。例如，在瑞典與北約建立軍事夥伴關係事件中以及俄羅斯入侵烏克蘭事件中，俄羅斯已經使用偽造文件展開廣泛的虛假泄密攻擊了。

研究人員甚至表示：俄羅斯在所謂的「dezinformatsiya」(虛假信息泄露)方面有豐富的經驗與悠久的歷史，，甚至可以追溯到蘇聯時代。

偽造上千份文檔也許很難，但是在已經寫好的單份文件中加入一些偽造的信息卻比較簡單。一個國家可以匿名披露另一個國家的外交電報，並在電報中加入一些針對第三方國家的惡意對話，進而挑撥兩國之間的關係;或者黑客可以從氣候變化研究者那裡竊取和發布電子郵件，並捏造一些超越氣象消息的信息，進而強化該研究者的政治觀念;甚至個人也會受到影響，其朋友、愛人、親戚的郵件內容都有可能被篡改，進而影響親密關係。

如果你急著解釋，說其他郵件都是真實的，就這封被泄露的郵件內容是虛假的，你覺得別人會相信么?並不會，而這也正是虛假泄露的可怕與狡黠之處。

Citizen Lab的研究人員總結說：「虛假泄密對於網路攻擊而言越來越重要，而且在如今的數字化時代中可能會變得更加普遍。」

「虛假泄密就像在真相的森林中放入一些假木頭，可以測試媒體、公民新聞和社交媒體用戶如何判定事實，如何應對並處理充滿誘惑性但又可疑的信息。」

趨勢科技也針對虛假泄密做了研究，他們總結了虛假泄密三要素：動機;工具與服務;社交網路。

利用社會工程技術可以在社交網路上傳播虛假消息。

儘管目前虛假泄密主要集中於政治領域，但未來也很有可能在其他領域(如商業等利益相關的領域)大範圍出現。

關於虛假泄密影響股價的例子，可以追溯到2013年。當年，敘利亞電子軍隊黑掉了美聯社的推特賬戶，聲稱歐巴馬在白宮遭到炮彈襲擊，當時美股市場瞬間大幅下跌。

此外，國外有Twitter、Facebook等，國內有微博、微信等，都曾大肆傳播過假消息，對個人或者公司的聲譽造成了很多負面影響。明星因為假消息而受到網路攻擊最後患病甚至過世的極端例子也並非聳人聽聞。

畢竟，自古以來就有很多流言蜚語、惡意中傷的事件。著名的銷售人員Seth Godin曾說過：「銷售，不只是賣產品，更多的是賣故事。」而這故事到底是否真實，估計只有講故事的人才知道吧。

那麼下一次，當你遇到影響廣泛的數據泄露事件時，你是會直接相信還是保留態度呢?

五、關於《污點泄密》報告

隨著虛假泄密事件愈演愈烈，多倫多大學蒙克國際研究中心的Citizen Lab於2017年5月25日發布了一篇報告，從美國記者兼俄羅斯政府評論家David Satter的郵件入侵著手，深入分析了虛假泄密的方方面面。

以下是該報告的要點：

黑客竊取並篡改知名記者及俄羅斯政府評論家的文件，然後以「泄漏」的方式發布文件，進而詆毀國內外的政府評論家。這樣的攻擊方式被定義為「污點泄密」技術。

我們順藤摸瓜，從此次針對記者的攻擊著手調查，進而發現了更大規模的網路釣魚行動，來自39個國家(包括28個政府成員)超過200名特殊目標遭受攻擊。受攻擊目標包括前俄羅斯總理、歐洲和歐亞大陸的組織成員、大使、高級軍官、能源公司的CEO和民間社會的成員等。

除了政府這一大團體外，包括學者、記者、積極分子和非政府組織成員等在內的公民社會是此次虛假泄密攻擊的第二大團體目標(占所有受攻擊者的21%)。

沒有確鑿的證據表明將這些攻擊與特定的俄羅斯政府機構聯繫起來;然而，有證據表明，此次大規模虛假泄密活動與此前許多政府和企業報道過的俄羅斯支持的攻擊活動存在明顯重合。