俄罗斯黑客攻击法国总统大选,但似乎无果而终,马克龙的竞选团队通过预警及响应,进行了针对攻击的混淆回击。
巴黎,大家都知道黑客来了
美国国家安全局NSA发现了黑客的动向,Emmanuel Macron的核心技术团队同样也知道了。团队敏锐地察觉到美国大选中的暗潮后,迅速制造了几十个虚假的邮箱账号及伪造文件,用以混淆攻击者。而俄罗斯方面,却稍显急躁,留下了一些踪迹。这些证据虽然不能确凿地证明他们是受雇于普京总统的,但却明确表现出他们属于“信息战争”行动的中坚力量。
此次事件由美国官员、安全专家及马克龙选举团队共同参与。这是一次试图扰乱法国近十年来最为重大的选举活动,却以无疾而终的黑客攻击行动。尽管在伊朗核威胁、乌克兰电网事件中,网络攻击表现的如此有效,事实上并没有一劳永逸的银弹。这种被俄罗斯所偏爱的信息战争,现在能被预先警报及对应措施击败。
预警
在周五晚上突如其来的“大规模”黑客攻击,让马克龙陷入岌岌可危的状态之时,谁都不知道结果会变得怎样。但对于法国和美国的官员而言,他们早就知道了。
美国国家安全局局长、海军上将Michael S. Rogers周二在华盛顿参议院军事委员会作证时表示,美国情报机构当时看到了这场攻击行动,他们立刻通知了法国相关部门。
钓鱼邮件
而位于巴黎外部第15区的马克龙临时总部,其实并不需要NSA来告诉他们已经被盯上了——早在12月,那时马克龙刚以前投资银行家和前经济部长的身份,以及最反对俄罗斯、最支持北约和欧盟的特点,一跃成为总统候选人时,团队就开始收到了网络钓鱼邮件。
1.钓鱼软件具有“很高的质量”,邮件中包含了竞选团队中真实的成员姓名,第一眼看上去就像是从他们那边发来的。
2.而在周日大选的前几天,竞选团队收到了最后也是最特别的一封钓鱼邮件,这封邮件自称来自Mahjoubi本人,最后的这封邮件呼吁我们下载一些文件以“保护我们自己”。(并不会上当。)
应对与反击,战争早已开始
在此之前,马克龙选举团队就开始寻找方法给俄罗斯人增加一点“难度”,把希拉里·克林顿总统选举时未能施展的能力和才智表现出来。那时的民主党希拉里团队只采用了最简单安全保障措施,并在数月内持续忽视来自FBI的安全警报——计算机系统已被渗透。
我们进行了反击,因为不能100% 保障不受到攻击的影响,所以我们思考了可以做的事情。
Mahjoubi采取了一种经典的“网络模糊”(cyber-blurring)策略——建立虚假电子邮件账户和伪造文件,这种策略银行和企业会很熟悉,正如银行出纳员为了应对抢劫的发生会在抽屉中放一些假钞一样。
1.建立虚假帐户,在其中补充了虚假内容作为陷阱。
2.大规模地制造虚假信息,让黑客需要为此作很多验证工作,来判断这些信息的真实性。
3.虽然不能阻止了他们的入侵,但可以延缓了黑客入侵的速度。即便让他们浪费了一分钟,我们也觉得愉快。
Mahjoubi拒绝披露他们所创建的虚假文件的类型,但他表示周五泄露的文件的来源复杂,确实夹杂着一些真实的文件,一些来自黑客的虚假的文件,一些从其他企业盗取的文件,还有一些竞选团队捏造的邮件内容。在他们的整个攻击过程中,团队都在放入虚假文件。由于技术团队中只有18个人,他们中的许多负责制作如视频之类的选举材料,并没有时间去追踪黑客的来源。他说虽然自己的团队没有时间追踪黑客身份,但对黑客的身份有着自己的猜测。在遭遇钓鱼攻击的时候,俄罗斯媒体就开始针对马克龙竞选团队进行大肆抨击。
蛛丝马迹与真相
无独有偶,黑客团队留下了痕迹,显示来自俄罗斯。早在在美国大选事件之后,一些安全公司就开始追踪和调查这些信息。
字符错误
在三月中旬的时候,来自东京的安全巨头Trend Micro的研究员,观察到了与入侵美国民主党时相同的俄罗斯团队,发现他们开始开发工具攻击马克龙团队。他们建造了与马克龙党派(En Marche! Party)相似的域名,并开始传播带有恶意链接和和虚假登陆页面以诱使团队成员泄露用户名和密码,或者点击一个链接让他们进入内部网络。安全专家称这是俄罗斯黑客的经典做法,但这次被攻击者已经准备好了。硅谷安全公司FireEye网络间谍分析主管John Hultquist表示这次俄罗斯黑客攻击表现得有些仓促,留下了一些字符上的错误。
有一段时间俄罗斯黑客以谨慎完美著称,但他们出现错误时,他们会抹消整次行动的记录,然后重新开始。但自从他们入侵乌克兰和克里米亚之后,我们就看到他们肆无忌惮地实施大规模攻击,也许因为过去的攻击行为没有让他们遭受任何损失。
泄露邮件
黑客也犯下了另一个错误,泄露的文件,从任何选举的标准而言,都没什么吸引人的地方。从马克龙团队中窃取的邮件及文件多达9G本来是用作丑闻素材的,现在却成为了混乱的竞选过程中团队成员乏味的普通生活的写照。泄露的邮件中一封详细记录了团队成员如何处理一辆抛锚的汽车的经历,另一份文件展示了员工因为忘记给咖啡开发票而遭到责备。
文件修改
也许是这些信息让黑客失去了谨慎。一部分文件上的元信息(显示文件来源的代码)显示,文件曾经进入俄罗斯的电脑并被用户修改过。一些Excel文件被微软系统中俄罗斯特有版本的软件修改过。
其他文件显示最后一次修改是由俄罗斯用户完成的,包括一名被研究员辨识出是来自Eureka CJSC的32岁员工。这家位于莫斯科的俄罗斯技术公司与俄罗斯国防部关系密切,并获得了FSB特别许可证,以协助保护国家机密。这家公司尚未回复意见请求。
而关于俄罗斯攻击组织的身份,而马克龙团队的Hultquist则认为可能是此前出过差错的APT28组织,扑朔迷离的真相还有待时间揭秘!
|