黑客来了，但法国人早有准备

bridged

黑客来了，但法国人早有准备
路尘_把名字改短  2017-05-10 23:57:53 举报 阅读数：20055
New York Times: Hackers Came, but the French Were Prepared
??By ADAM NOSSITER, DAVID E. SANGER and NICOLE PERLROTH

MAY 9, 2017?



巴黎 — 每个人都看见黑客正在接近。

位于华盛顿的美国国家安全局捕捉到了信号。马克龙堪称简陋的技术团队亦然。考虑到美国总统大选中曾经发生过的事情，这支团队注册了数十个虚假的电邮账号，其中放满了用以迷惑攻击者的伪造文件。

而另一边，俄罗斯人表现得仓促而粗心，他们留下的证据痕迹尽管还不足以确定无疑地使人相信他们是为普京的俄罗斯政府工作，但已经足够表明他们是普京范围更大的“信息战”攻势的一个组成部分。

美国官员、网络专家和马克龙自己的竞选助理共同讲述了这场旨在干扰法国几十年来最重要的一场选举的黑客攻击事件最终是如何落空的，这是一个有益的提醒——即使网络攻击手段如同瘫痪过伊朗核设施和乌克兰电网的那几次一样高效，它们也并非不可战胜（no silver bullet）。俄罗斯喜欢用的那种信息战可以通过提前预警和迅速曝光来击退。

但在周五的晚上，当被称为“大规模”的黑客攻击突然将马克龙的胜选机会推向危险境地的时候，这种反击能够获得怎样的结果依然是无法确定的。尽管对于法国和美国官员来说，这起黑客攻击本身不能算是意外。

周四，在华盛顿参议院武装机构委员会面前作证时，国家安全局局长迈克尔·罗格斯说美国情报机构已经看见了攻击正在展开，并且告知了他们的法国同事，“瞧，我们正在看着俄罗斯人，我们看见他们攻破了你们的一些基础结构。这是我们看见的东西。我们能帮上点什么？”

但是马克龙位于巴黎第十五区的临时总部的工作人员并不需要美国国家安全局来告诉他们自己被盯上了：去年12月，在这位前财政部长成为总统竞选阵容中最反俄、最亲北约并且亲欧盟的候选人的时候，他们就已经开始收到钓鱼邮件了。

马克龙的数字总监Mounir Mahjoubi说，这些钓鱼邮件“质量很高”：它们包含竞选团队成员的真实姓名，而且第一眼看上去就出自他们之手。竞选团队收到的最后一封邮件尤为典型，在周日的最终投票前几天他们收到了它，看上去就像是Mounir Mahjoubi自己发出的。

Mounir Mahjoubi在周四的一次采访中说，“这几乎就像是个笑话，像是在跟我们所有人比中指。”这封邮件要求收信人下载某些文件以“保护你自己”。

甚至还在收到钓鱼邮件之前，马克龙的竞选团队就已经开始寻找给俄罗斯人设置障碍的办法，并且展示出了希拉里竞选团队和美国民主党国家委员会所缺失的技巧和创造力——后者几乎没有什么安保措施可言，并且在长达数月的时间里一直忽视FBI有关其电脑系统已被攻破的警告。

“我们进行了反击，”Mounir Mahjoubi说，“我们无法保证百分之百地防御住所有攻击，所以我们的问题是：我们能做点什么？”他选择了一种传统的“网络模糊”策略，这在银行和企业中广为人知，是一种依靠建立假电邮账号并在其中放进假文档进行防御的方法，如同抢劫发生时银行出纳员会将假币留在现金抽屉中一样。

“我们建立假的账户，放入伪造的内容，以此作为陷阱。我们大量地炮制了这些，让他们必须去分辨，去决定这是否是一个真的账号。”Mounir Mahjoubi说，“我不认为我们会防住他们，我们只是要拖慢他们。只要这让他们浪费了一分钟，我们就高兴了。”

Mounir Mahjoubi拒绝透露这些被创建的虚假文件的性质，也没有谈论是否有马克龙团队刻意伪造的文件出现在周五的邮件泄露成果当中。

但他确实提及，在周五邮件泄露事件造成的一片混乱当中，既有真实文件，又有黑客自己伪造的假文件，有一些从不同的公司偷来的文件，还有一些是马克龙竞选团队伪造的虚假邮件。

“在他们进行网络攻击的全过程中我们都放进了假文件。而这迫使他们浪费了时间。”他说，“因为我们放进的文件是如此之多，而其中有一些可能是他们感兴趣的。”

马克龙的这支技术团队只有18个人，其中还有不少人要负责制作竞选视频等宣传材料，Mounir Mahjoubi几乎没有余裕来追查黑客的踪迹。“我们没有时间去尝试抓住他们，”他说，但他对于这些黑客的身份有自己的怀疑。与钓鱼攻击几乎同时，马克龙的竞选活动也遭到了俄罗斯媒体发布的一波假新闻的轰炸。

奇怪的是，俄罗斯人在掩藏自己踪迹方面表现拙劣。这使得这一次，那些在美国大选遭到操纵以后已经提高了警惕的私人安全公司很容易就能找到相关证据。

三月中旬，总部位于东京的网络安全巨头Trend Micro的研究员们发现，曾经参与攻击过民主党国家委员会的同一个俄罗斯情报小组开始为攻击马克龙的竞选活动做准备了。他们模仿马克龙的En Marche! 党注册了一批域名，然后开始发送带有恶意链接和伪造的登录页面的电子邮件，旨在诱使竞选工作人员泄露其用户名和密码，或点击能够让俄罗斯人在竞选网络中获得落脚点的链接。

安全研究员们表示，这一切都是经典的俄罗斯黑客教科书，但是这一次，全世界早有准备。“唯一的一个好消息是，这种行动如今已随处可见，连普通民众都对俄罗斯人的这一套思路如此习惯，于是它反噬了他们。”硅谷安全公司FireEye的网络间谍分析主任John Hultquist说。

John Hultquist指出，这次袭击的主要特点是十分匆忙，并且犯下了一系列编码错误。“曾经有一段时间俄罗斯黑客以缜密无误著称，一旦他们犯下错误，他们会全部推倒重来。但自从对乌克兰和克里米亚的入侵以后，我们已经看到他们进行了一些大胆的大规模攻击，”他说，这可能是因为“他们的行动几乎不会产生什么后果”。

这些黑客还犯下了一个以任何竞选活动的标准来说都无聊透顶的信息发布上的错误。这些据说从马克龙竞选活动中偷盗而来的邮件和文档高达9个G，被作为丑闻材料发布，但是它们被证明几乎全部是普通的竞选工作人员试图在竞选中过上正常生活的无聊细节。

其中一封泄露的邮件记载了一名竞选工作人员如何与坏掉的汽车奋战。另一份则显示了一位工人因为没有开一杯咖啡的发票而遭到批评。

而这正是黑客的疏忽之处。少数文件中绑定的元数据——被用于显示文档来源的代码——展示出了一些通过俄语电脑传输并被俄语用户编辑的内容。有一些Excel文档是使用俄语版Microsoft Windows独有的软件修改的。

另一些文档的最新一次修改由俄语用户名完成，其中包括研究者们已经确定身份的一名32岁的俄罗斯技术公司Eureka CJSC的雇员，该公司位于莫斯科，与俄罗斯国防部和情报机构有密切合作，还拥有俄罗斯联邦安全局（FSB）签发的协助保护国家机密的许可证。该公司没有回应请求置评的邮件。

还有一些泄露出来的文档看样子出自伪造。其中一份详细地描述了马克龙的一名竞选团队工作人员购买兴奋剂甲氧嘧啶——有时被作为“浴盐”出售——的记录，并声称他随后将这批药物送到了法国国会所在地。但英国调查机构Bellingcat的调查小组成员Henk Van Ess等人发现，收据中的交易号码并不在公开的所有比特币交易账单中。

“很明显他们非常匆忙。”John Hultquist说，“如果这是APT28的话，他们已经在这次行动中被抓住了，而这会回火到他们身上。”他指的是一个被认为与俄罗斯军方情报机构GRU有联系的黑客组织。

他表示，现在这次针对马克龙的攻击事件的失败可能正在促使俄罗斯黑客改进其方法。“他们可能必须彻底重写他们的教科书了。”