“被污染的”泄露事件:你看到的怎么可能是真相?

“被污染的”泄露事件:你看到的怎么可能是真相?

摘要

  •  一个知名记者(同时也是俄罗斯政府评论家)的文件被盗,经过篡改之后,以“泄漏”的名义公布于众,用于诋毁国内外政府评论家的声誉,我们把这种技术成为“污染泄漏”。
  • 调查这位记者事件时,我们发现了一个更大的网络钓鱼操作,钓鱼的对象覆盖了39个国家、目标超过200个,钓鱼名单中包括前俄罗斯总理、欧洲和欧亚大陆国家的内阁成员、大使、高级军官、能源公司的CEO,以及民间团体的成员。
  • 政府是首要目标,其次是民间团体的成员,包括学者、活动家、记者和非政府组织的代表。
    我们没有确凿的证据证明这些操作与某个特定的俄罗斯政府机构相关,但是,我们之前有很多行业和政府证据的威胁报告(与俄罗斯密切相关),而这次事件收集到的证据,与之前的那些报告有明显的重叠。

概述

这份报告,描述了一个范围广泛的与俄罗斯有关的网络钓鱼和造谣行动。报告中讲述了如果从一个知名的记者和俄罗斯政府评论家的文件被盗,内容被篡改之后,“泄漏”出来,用于实现特定的宣传目标。我们把这种技术称为“污染泄漏”。这份报告说明了采用网络钓鱼和污染泄漏相结合的方式对民间团队进行渗透 ,达到虚假宣传和造谣的目的。同时也表明,国家的政见,特别是对政权安全的关注,可以激励间谍活动,尤其是针对民间团队的间谍活动。

本报告由以下四部分内容组成:

1.如何炮制一个“污染泄漏”

介绍了针对著名记者David Satter的一次成功的钓鱼活动。我们演示了如果获得“原材料”,用以后边的篡改以及“泄漏”(公布)活动,最终达到虚假宣传的目的。另外,我们还强调了一个类似的案例,目标是总部设在美国的一个国际性的捐赠法人,窃取其内部文件,修改后选择性的公布出来以实现造谣的目的。将原始文件和邮箱与公布出来的做对比,可以充分证明“污染泄漏”的存在。我们认为,“污染”这些文件可能已经俄罗斯国内政策的一个套路,特别是在抵消和诋毁那些“外部的”或“外国的”试图破坏普京政权的问题上,可能是一个普遍的对策。

2. “Tiny”的发现:战果由小及大

在调查Satter事件的时候,我们发现了一个更大的钓鱼行动,目标超过200个。我们是通过攻击者使用的Tiny.cc短链接服务时逐步跟踪到这些目标的。发现这一活动和之前的一些研究记录的相似之处后,我们会出示一些图片证据。

3.与公共报道的联系

这部分概述了我们所记录的活动和之前的一些与俄罗斯有关活动的媒体报道之间的联系。通过各种技术指标描述它们之间的重叠,然后讨论俄罗斯有关操作的细微差别和怀疑。

4. 探讨

这部分主要探讨“钓鱼+污染泄漏”是如何结合在一起进行监测、传播谣言并削弱民间团队内部的信任。进一步讨论“污染泄漏”的影响,强调它对民间团队的独特威胁。不得不说,我们精彩忽略针对民间团队的国家级的网络间谍活动。

污染泄漏&以民间团体为目标

与俄罗斯有关的网络间谍活动,特别是那些围绕2016年美国总统选举以及刚刚结束的法国大选,在最近几个月占据了媒体的头条位置。媒体和行业报告在分析这些事件的严重性时,往往忽视了一个关键而持久的受害者群体:全球民间团体。

一个健康的、全面的、充满活力的民间团体是非民主统治的对立面。感受到威胁的强大的精英们,精彩动用他们的间谍资源向民间团体进行渗透、预见、甚至干涉他们的活动。然而,与工业和政府不同,民间社会群体通常缺乏资源、深层机制和处理这些攻击的能力。出于各种原因,他们很少出现在行业威胁报告或围绕网络间谍活动的相关政策中,他们成了沉默的、被忽视的受害者。

在之前的公民实验报告的基础上,本报告提出了更多证据,进一步展示以民间团队为目标的网络攻击。在这个案例中包括了俄罗斯附属的范围广泛的网络间谍活动。我们的报告强调了这些外国行动的国内根源,政权安全和国内合法性的关注可以影响到俄罗斯的网络威胁建模和间谍目标,无论是针对国内的还是国外的。

调查第1号受害人:David Satter

我们的调查开始于David Satter,一个知名的记者、罗德学者、克林姆林宫的批评家。2013年,Satter被俄罗斯官方紧致,理由是公然违反签证相关的法律,但大多针对他的调查报告都出自俄罗斯的专制制度。Satter以其著作的《 Darkness at Dawn》而闻名于世,书中调查了1999年一泄漏俄罗斯公寓爆炸案,事件与俄罗斯联邦安全局(Russian Federal Security Service ,FSB)有关,也是第二次车臣战争的理由之一,系列事件都有利于普京政权的快速崛起。

2016年10月7日,Satter成为了有针对性的钓鱼活动的牺牲品,他被诱导在一个凭证采集网站输入了自己的密码。Satter的邮箱被盗,之后邮件内容被选择性的公布出来,以及一系列故意的弄虚的行为,我们都会在报告中进行描述。虽然我们不能明确的证据去定位具体的攻击者,也无法描述他们偷盗、伪造和公布邮件的具体细节,然而我们发现和分析到了一些证据,有利于介绍“污染泄漏”的来龙去脉,同时通过钓鱼的电子邮件信息追溯到了一个与俄罗斯有关的范围更加广泛的网络间谍活动。

污染泄漏:造谣生事

盗取Satter的账号之后,对其电子邮件进行有选择性的修饰,然后这些信息被”泄漏“到一个名为“CyberBerkut”的博客上,这个博客自称是一个亲俄罗斯的黑客活动组织。

经过精心修饰的虚假信息被蓄意传播,这就是“污染泄漏”活动的主要流程。

“污染过的”的信息被公布后,俄罗斯官方媒体和其他报道称,这些文件显示了中情局在背后阴谋发动俄罗斯的“颜色革命”。

另一方面,普京及其团队,对于污染信息的公布时机和内容也充满担忧,关于他们财富及其来源的披露可能会引发俄罗斯的抗议和暴动。

污染泄漏这种强而有力且令人不安的方法,给受害人带来了复杂的挑战。

更高价值目标的浮现

在调查Satter事件相关的可疑信息时,,我们确定Tiny.cc这个由钓鱼攻击者使用的短链接生成服务具有显著的特点,顺藤摸瓜,使得我们发现了同一运营商的其他相关链接。我们开发了一种技术来跟踪这些链接,并最终手机了针对218个目标的223个恶意链接。目前我们已经能够识别85%的目标对象的真实身份,同时我们确定这些目标至少涵盖了39个国家。

通过链接跟踪到的目标,还有另一个线索,它们的专业活动都与俄罗斯政府感兴趣的问题有关。有一部分是俄罗斯人,从前总理到调查腐败的记者、再到政治活动家。更多的目标来自啊写于俄罗斯政府由经济和战略利益的国家和地区,如前苏联的国家。还有一些人可能是在为俄罗斯谈判桌上的另一边工作,联合国行动、北约或公务员。毫无疑问,起哄一种最大的目标群体是乌克兰的高级军事人员、政府人员和民选官员。

下图显示了网络钓鱼目标的地理位置分布:

“被污染的”泄露事件:你看到的怎么可能是真相?

还存在一些其他的情况,比如某位军官的妻子,大概是因为她是接近高价值目标的人。

另外,我们还发现了一类人,数量较大,他们的相同特征是接受了一个来自美国财团基金的支持。

一些值得注意的目标对象,主要包括:

  • 来自阿富汗、亚美尼亚、奥地利、柬埔寨、埃及、格鲁吉亚、哈萨克斯坦、吉尔吉斯斯坦、拉脱维亚、秘鲁、俄罗斯、斯洛伐克、斯洛文尼亚、苏丹、泰国、土耳其、乌克兰、乌兹别克斯坦和越南的政治家、公务员和政府官员;
  • 驻外大使馆的外交人员,包括大使及其家人;
  • 立场鲜明的批评俄罗斯总统的间团体成员、记者和学者;
  • 前苏联国家的石油、天然气、矿业和金融业的高级成员;
  • 联合国官员;
  • 来自阿尔巴尼亚、亚美尼亚、阿塞拜疆、格鲁吉亚、希腊、拉脱维亚、黑山、莫桑比克、巴基斯坦、沙特阿拉伯、土耳其、乌克兰、瑞典和美国的军事人员以及北约官员

发现了上述如此多的其他目标,为我们提供了一个窗口,用以探究攻击活动的结构和目标。

排在政府之后的第二大目标合集,是民间团体的成员,如学者、活动家、记者和非政府组织的代表。

下图展示了收到钓鱼邮件的高价值目标的分布情况:

“被污染的”泄露事件:你看到的怎么可能是真相?

民间团队目标的重要性

“被污染的”泄露事件:你看到的怎么可能是真相?

上图展示了民间团队目标,与“网络间谍”常规目标(军事、政府、重要行业)的占比图。

民间团队目标中,超过一半是记者,其中很多人都是著名 俄语新闻媒体(如Vedomosti, Slon/Republic, Novaya Gazeta, 和  BC Russian Service等)平台的突出贡献者。

提供详细的分析,可能会危及民间团体成员的个人隐私,不过我们可以从这些分析中安全的公布出两个显著的模式特征:

    首先,与David Satter类似,其他的几个民间团体的目标对俄罗斯政府及其活动的关注都很高调,立场鲜明,他们都是发布欺诈或腐败相关文章、支持选举改革的行动派。这些人被确定为目标,大概是认为他们的行为可能对普京政权构成威胁。

另一个显著的共性是他们的活动领域和地缘政治冲突之间的近乎完美的一致,毫无疑问,俄罗斯是已知的或被怀疑可能交战/冲突的一方。具体而言,民间团体目标的关注领域跨越了地理界限,包括冲突地区,如叙利亚、阿富汗、乌克兰和其他国家和地区。

我们还发现,针对个人目标中有几十个人有一个共同的特征,他们都从同一个机构获得了资金支持。

告警通知

目标群体牵涉如此之多,而且复杂多样,这为我们的通知工作带来了挑战。在通知潜在受害者的过程中,我们包含了以下考虑和行动步骤:

  • 对于隶属于政府或政府附属组织的目标(如北约或联合国)、或一个特定国家的企业,我们通知了根据目标名称和邮件地址索引到相关的电脑应急响应组织(Computer Emergency Response Team ,CERT)。
  • 如果多个目标共享一个组织关系,但不是单一的雇主,我们联系了该组织,并请他们协助,通知到个人。
  • 我们还提供了目标电子邮件的完整列表。

第一部分:污染泄漏的方法

我们研究了CyberBerkut组织如何从Satter的邮箱窃取材料、污染并释放的过程,然后检查了针对一个开放社会基金会的类似行动。

我们从受害者Satter手中,获得了真正的文件和电子邮件,与公布的“受污染的”版本进行对比,这与针对基金会的污染模式很类似。

这两期按键的受害者,都为有美国背景的组织工作,在俄罗斯有专门的项目。“污染”似乎有两个目标:夸大颠覆俄罗斯的意图,使批评俄罗斯总统政权的个人或组织名誉扫地。

David Satter的情况

2016年10月5日,一个网络钓鱼电子邮件被发送到David Satter的邮箱地址。这个网络钓鱼电子邮件看起来像是来自谷歌的安全警告,提示收件人有一个未知的第三方取得了他们的Gmail帐户密码,如下图所示:

“被污染的”泄露事件:你看到的怎么可能是真相?

 

钓鱼电子邮件的目的是诱骗收件人点击“更改密码”的按钮。一旦点击这个链接,就会直接跳转到tiny.cc运营商提供的短链接对应的主机上。运营商使用了Google的一个开放重定向服务,这种开放重定向服务允许运营商创建一个URL,表面看起来似乎是由Google托管的。

https://www.google.com/amp/tiny.cc/(redacted)

不幸的是,在我们检查到这个钓鱼电子邮件之前,这个短链接的最终目的已经改变到一个良性的网页上了。不过我们还是有足够的证据可以找到原来的目的地。

分析电子邮件的头部,显示该消息使用了俄罗斯Yandex的电子邮件服务。账户是g.mail2017[@]yandex.com。

第二封钓鱼电子邮件

两天后,2016年10月7日,萨特收到了第二封电子邮件,使用了相同的欺骗手段。

与第一封邮件类似,google.com/amp/ 重定向指向一个由Tiny.cc运营的URL。同样的,我们发现,这个链接重定向的原始目的地已被删除。

分析第二封网络钓鱼电子邮件的头部,显示该消息是与基于Web的电子邮件服务的邮件发送系统,使用的电子邮件帐户是annaablony mail.com [”]。

未授权的访问

2016年10月7日,收到邮件后不久,Satter点击了第二封邮件中重置密码的链接,被重定向到一个带有谷歌标记的网站,事后Satter意识到这其实是钓鱼网站,但在当时,他的账号暂时停用了双因素认证,这为账号泄漏增加了可能。

不久后,Satter登录自己的邮箱,发现Gmail账户活动页面有未授权的登录事件的记录,Google记录的数据表明,曾有来自罗马尼亚IP地址的登录会话。

“被污染的”泄露事件:你看到的怎么可能是真相?

后来分析表明,上图中的IP地址对应的服务器上托管着虚假的谷歌登录页面,Satter就是在这里提交了自己的登录凭证。因此这个恶意服务器可能被配置为从受害者账号中自动下载电子邮件服务。

“被污染的”泄露事件:你看到的怎么可能是真相?

分析污染泄漏

针对Satter的电子邮件进行了筛选,部分被原封不动的张贴到网上,但是某些文件经过了篡改,这些文件都扭曲了Satter的原意。重要的是,由于CyberBerkut使用了截屏的方式对文件进行发布,这就使得被污染的文件缺乏元数据,导致我们无法证明CyberBerkut从盗取到“污染”发布的过程。

“被污染的”泄露事件:你看到的怎么可能是真相?

原文报告中,详细的列举了存在被污染的关键点,提供了详细的证据,通过分析比较,可以推测篡改者的潜在动机。还详细对比了开放基金会案件与Satter案件的相似之处。

第二部分:“Tiny” 的发现

调查中,我们通过Tiny.cc追溯到了更多的潜在受害者。

2016年九月份,ThreatConnect发表了一篇博客,记录了一次针对公民新闻网站Bellingcat及其创始人Eliot Higgins的钓鱼攻击。ThreatConnect将有关事件归属于Fancy Bear (aka APT28),这歌组织被认为直接受命于俄罗斯政府。

ThreatConnect的报告中最新认证的钓鱼细节,大体上与第一封寄给Satter的很相似。无论是电子邮件发送的时间(10:59am EST )还是地址(g.mail2017[@]yandex.com),此外,他们还共享同一个伪造的的Gmail页脚。

“被污染的”泄露事件:你看到的怎么可能是真相?

案例中的钓鱼邮件,都使用了Tiny.cc的短链接重定向目标受害者,ThreatConnect显示用来对付bellingcat的tiny.cc短链接后来被重定向到另一个短链接服务运营商:tinyurl.com。但最终,这一系列的短链接重定向的目标页面,托管在以下网址:

hxxp://myaccount.google.com-changepassword-securitypagesettingmyaccountgooglepagelogin.id833[.]ga

使用passivetotal,我们对上述域名进行DNS历史记录解析。结果表明,在钓鱼活动进行的时间段内,域名id833[.]ga指向IP地址89.40.181[.]119 ,同一个罗马尼亚的IP地址出现在20月7日访问Satter电子邮件账号的IP地址记录中。

这些方面的证据表明,针对Bellingcat的攻击与针对David Satter出自于同一个网络钓鱼活动团队。

tiny.cc的枚举

Tiny.cc提供了一个缩短域名链接的服务,它允许用户针对长域名创建简洁的URL重定向。如下所示:

http://tiny.cc/bj87iy  -> https://citizenlab.org/2017/02/bittersweet-nso-mexico-spyware/

经过一系列的测试,我们发现了这些简码的组合方式。例如,调用 tiny.cc API创建一个短链接,设置一秒的延迟声称八个相互调用的链接,由此产生了一组短码,举例如下:

63q6iy
73q6iy
93q6iy
e4q6iy
p4q6iy
r4q6iy
t4q6iy
24q6iy

经过多次尝试,我们确定了在一个很小的时间窗口,短码的组合与一下“Base36 字母”的序列相关:

a,b,c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z,0,1,2,3,4,5,6,7,8,9

连续的简码通过这36个基本字母进行迭代,从最左端的字符开始,一旦所有36个字母都用尽了,最左边的字符回到初始的字母“a”,第二个字符根据相同的字母顺序进行迭代。这种迭代过程中每个位置的字母持续的时间很短,我们可以把它看作一个36位的计数器,如下图:

“被污染的”泄露事件:你看到的怎么可能是真相?

鉴于对短码的设计的认识,我们可以测量任何一对短码之间的“距离”的概念。例如,bj87iy的简码和cj87iy之间的距离是1,和bj87iy和bk87iy之间的距离是36。

“距离”的测试是一种思路,推而广之,测量它们生成的时间差。

以10月5日和7日在Satter钓鱼邮件中发现的tiny.cc简码作为出发点,我们列举了大约4000个相邻的简码,然后检查这些短链接重定向的目标网页的URL地址。从这个大的列表中,我们提取了所有重定向到上面描述的恶意网络钓鱼域名的相关的目的地链接。

“被污染的”泄露事件:你看到的怎么可能是真相?

上述枚举结果的发现,也证明了针对David Satter和无名的bellingcat记者的钓鱼邮件,不过是一个更大的凭证钓鱼活动的一部分。

值得注意的是,针对Satter的第二封钓鱼邮件的地址,在我们检查时已经替换成了一个良性的URL:myaccount.google[.]com。

我们无法确定这种替换的原因,可能是因为运营商发生了错误,还有可能是运营商已经成功的入侵了目标账号。事实上,在枚举了相关域名之后,我们发现发现另外4个简码也指向了Google的域名:myaccount.google[.]com。

解码的目标

我们研究了发送给Satterf的地址的非短码形式,并发现了25个不同的目的地址。

https://www.google.com/amp/tinyurl.com/(redacted)

这些地址重定向到Google开放页面,设计了一个虚假的Gmail登录页面:

hxxp://myaccount.google.com-changepassword-securitypagesettingmyaccountgooglepagelogin.id833[.]ga/security/signinoptions/password

为了诱骗受害人输入账号凭证,运营商菜采取了社工措施,URL地址采用Base64编码,登录页面显示Google的凭证。

“被污染的”泄露事件:你看到的怎么可能是真相?

“被污染的”泄露事件:你看到的怎么可能是真相?

钓鱼链接URL参数编码的情况

凭借上边的URL参数编码模式,我们能够确定之前枚举出的每一个钓鱼链接的精准目标。

深入调查

通过完全枚举整个六位数的简码来搜索可以网址,比较棘手。然而,ThreatConnect的报告中记录了APT28针对Bellingcat 记者Aric Toler的一次钓鱼攻击。重复上述过程,我们枚举了ThreatConnect公布出来的简码的临近值。

在这个过程中,我们发现了另一组目标:共计198个电子邮件地址网址。在之前的活动中,钓鱼页面指向下边的网址:

“被污染的”泄露事件:你看到的怎么可能是真相?

值得注意的是,这些链接似乎都托管在Google Blogger服务上,当我们试图检查它们时,这些网页已经下线了。不过可以观察到它们的URL参数有相同的特征。

测试的诱惑

我们测量了Tiny.cc短码在六月和十月之间的活动,我们观察到这些短码的时间间隔相当一致,也许这说明了运营商使用了一个自动化的过程来产生这些链接。然而,有一个短码比较突出,我们怀疑这可能是一个人工操作的测试。

“被污染的”泄露事件:你看到的怎么可能是真相?

根据钓鱼网址的参数化规律,我们可以解码出这个钓鱼链接的Gmail账号:

“被污染的”泄露事件:你看到的怎么可能是真相?

这个Google账号:myprimaryreger ] [ @ gmail.com,注册了至少一个域名(与一个之前已经研究证明或被怀疑的APT28 活动相关)。这种间接的关联,进一步表明了俄罗斯方面是这些威胁事件的幕后行动者。

 

参考来源:citizenlab,转载请注明来自MottoIN

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/reports/102519.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code