谍中谍 | 荷兰情报机构掌握了俄对美大选网络攻击的关键证据!?
谍中谍 | 荷兰情报机构掌握了俄对美大选网络攻击的关键证据!?
近期,荷兰媒体报料称,荷兰国家情报局(AIVD)曾向美国联邦调查局(FBI)提供了关于俄罗斯政府黑客网络攻击美国大选的“可靠性”关键证据,这些证据来源基于荷兰国家情报局黑客团队多年来对俄黑客组织Cozy Bear计算机网络和摄像头系统的渗透控制。这真是一出好看的谍中谍大戏,道高一尺,魔高一丈!我们来详细了解荷兰人民报针对此事开展的深入调查。(下文中涉及的荷兰国家情报局简称AIVD)
视频报道:
事件概述 - 荷兰国家情报局(AIVD)黑客隐蔽潜伏于俄罗斯黑客组织计算机网络
时间拉回到2014年夏天,来自荷兰国家情报局(AIVD)的一名黑客成功渗透了位于莫斯科红场附近的一所大学计算机网络,殊不知,此次无意的网络渗透却揭开了一场惊天阴谋。一年后,这名荷兰国家情报局黑客在祖特梅尔的AIVD总部,和同事们亲眼目睹了俄罗斯黑客针对美国民主党发起的网络攻击。原来之前AIVD黑客成功渗透的红场附近某大学计算机网络,竟然是俄罗斯黑客组织用来发起对美网络攻击的据点!为了实现长期渗透且不打草惊蛇,AIVD黑客团队遁入无形,隐蔽潜伏于该网络中,像开启上帝模式一般,悄悄地观察着俄罗斯黑客组织的一举一动。
之后,AIVD黑客团队通过此,在眼皮底下见证了俄罗斯黑客组织对美国民主党领袖发起的网络攻击,包括数以千计的大量邮件和相关文件窃取活动。因此,AVID向美国同行发出了威胁警告,然而,美国方面在数月之后才意识到该警告的严重性:俄罗斯利用这些黑客活动,成功干扰了美国总统大选。而俄罗斯黑客组织的一举一动,都被AVID黑客团队尽收眼底。
根据美方和荷方熟悉这些材料的六位匿名人士消息称,荷兰方面掌握了俄罗斯参与网络入侵美国民主党的重要证据。这些证据也成为了在希拉里·克林顿和唐纳德·特朗普总统竞选活动中,FBI开展针对俄罗斯干扰美总统竞选的调查理由。
高可信度证据信息 - 美情报机构非常肯定美国民主党网络遭受俄方攻击
在特朗普2017年5月当选后,该项调查由特别检察官罗伯特·穆勒(Robert Mueller)接管。虽然调查旨在揭露特朗普于总统竞选活动中与俄罗斯政府之间的接触联系,但最终主要目的仍是揭露发现俄罗斯攻击干扰美国大选的实际证据。这种利用网络空间企图破坏民主进程的空前方式,造成了两个超级大国之间的紧张局势剑拨弩张,也随之带来了一连串的外交复仇事件。
最终,三家美国情报机构都以“高可信度”的口径对外声称,克里姆林宫是美国民主党遭受网络攻击的幕后黑手。而据可靠消息表明,调查的关键证据来源于荷兰国家情报局AIVD黑客团队多年来潜伏在莫斯科市中心某办公网络的渗透所得。由于荷兰方面手握这些关键证据,一向牛逼的美国各大情报机构在荷兰情报部门面前也变得俯首帖耳,不可否认的是,AIVD确实掌握了俄罗斯黑客攻击美国民主党的详细技术性证据,AIVD比美方同行知道得要更多。
Cozy Bear(APT29)- 全球各路安全专家关注追溯Cozy Bear动向
AIVD黑客团队能在2014年就开始获得这些有用信息的确有些“侥幸”,该团队在其CNA(计算机网络攻击)策略下,允许针对敌对网络执行渗透攻击任务。AIVD的这个黑客团队是一个拥有80-100人左右的较小团队,但却隶属于一个大型数字化业务部门,AIVD所有的网络操作都需在该部门下汇合管理,该部门内某些单位专注于网络拦截和网络资源开发,另外一些单位则负责计算机网络安全防御,相反,该黑客团队执行的是进攻性任务,也间接听命于联合信号情报小组( Joint Sigint Cyber Unit,JSCU)指挥。联合信号情报小组是2014年由荷兰军事情报局MIVD与荷兰国家情报局AIVD共同组建的联合作战单位,其目的是通过整合军队与安全机构的网络专业技术,增强创新驱动,提高两个情报机构的网络情侦能力。
目前还不清楚AIVD黑客团队具体掌握的俄罗斯方面的相关信息,但可以肯定的是,它包含了著名黑客组织Cozy Bear(APT29)的相关攻击线索。自2010年以来,Cozy Bear就对包括荷兰在内的世界各国政府、能源、电信等大型公司网络发起渗透攻击。多年来,来自英国、以色列和美国等顶尖情报机构专家,以及各大网络安全公司分析师,都一直在关注追溯Cozy Bear的相关动向。
关键性证据信息 - AIVD黑客团队设法入侵了俄黑客组织网络摄像头
为了继续深入俄方目标网络内部,荷兰AIVD黑客团队花了数周时间进行踩点,之后,于2014年夏天,也就是MH17航班坠毁事件之前,发起了深入的网络渗透。经过一番耐心努力,AIVD团队成功渗透到了目标对象内部网络,俄罗斯黑客的一举一动也变得一览无遗,然而,让AIVD惊讶的是,他们可以获得的信息还远不止这些,情况比预想的复杂的多。正是在这所位于莫斯科红场附近的大学中,俄罗斯黑客组织以该网络为据点,发起了针对美国大选的网络攻击。
Cozy Bear的成员可能来自俄方不同部门,通常有10多人较为活跃和常见,其办公场所从一处偏僻的走廊进入,门廊处的网络摄像头清楚地记录着这里的人员进出情况。之后,AIVD黑客团队设法入侵了这个网络摄像头,通过该摄像头,荷兰情报部门不仅能清楚地看到俄罗斯黑客的具体操作和行为实施者,还对每位出入人员作了视频截屏保存。经AIVD总部对这些截屏图片进行比对分析,发现俄方情报人员与这些图片人员高度契合。这些关键信息,也在后来的证据关联和调查中发挥了重要作用。
随之而来的网络攻防战 - 俄美黑客团队在美国国务院网络空间上演真实攻防战
荷方AIVD黑客团队秘密潜伏于俄方黑客组织网络的行动,很快就收到了成效。在2016年11月,俄方计划对其主要目标之一的美国国务院网络发起渗透,在此之前,他们曾成功窃取了美国务院多位雇员的电邮登录凭据,借这些掌握信息,他们想深入渗透美方国务院非机密网络。
监测到此动向之后,荷兰国家情报局AIVD和军事情报局MIVD迅速通报了美国驻海牙使馆的NSA联络员,该联络员也及时地向美方各情报机构作了提前告知。
在过后几天,一场现实的网络攻防战在美国国务院网络中真实上演了,作为进攻者的俄罗斯黑客千方百计试图深入渗透网络,而提前从荷方获取情报的美国FBI和NSA团队,则想方设法进行狙击防御。后据媒体报料,这场网络攻防防战持续了一整天。
俄罗斯黑客的进攻方式非常积极,但却毫不知情他们也正被另外一只眼睛监视着,可谓“螳螂捕蝉,黄雀在后”。多亏了荷方情报,NSA和FBI才能够第一时间建立防御机制,避免了更严重的损失。考虑到荷方情报部门的重要作用和一手情报,NSA为此还特定与AIVD建立了一条交连渠道,可以第一时间直接把情报告知美方。
网络攻防拉锯战 - NSA准确探知俄方黑客的各种攻击策略手段
俄罗斯黑客组织使用命令控制服务器(C&C)和数字指挥中心,试图与植入美方国务院网络中的恶意软件建立连接,以便进行命令传送和信息传输。在AIVD情报告知下,美方对C&C服务器进行了精准定位,反复迅速切断了俄罗斯黑客对这些服务器一波又一波的访问权限请求,双方就这样你来我防的持续了24小时。后期据内部人士透露给CNN的消息称,这是针对美国政府“有史以来最糟糕的黑客攻击”。 在随后的整个周末时间里,美国国务院也停止了电邮服务系统,进行了及时的内部安全更新和整改。
非常幸运,在这场网络攻防战中,美方NSA团队可以准确探知俄方黑客的各种攻击策略手段。NSA副局长理查德·莱杰特(Richard Ledgett)在2017年3月的阿斯彭论坛表示,“我们可以清楚地看到攻击者如何变换攻击手法,这些信息非常有用”。在美情报机构的授权下,美国媒体发文声称这完全得益于“西方盟友”的帮助。最终,美方设法把俄罗斯黑客从美国国务院计算机网络中进行了彻底驱除,但在此之前,俄罗斯黑客已经成功通过钓鱼邮件窃取了某位白宫雇员的个人凭据。
钓鱼邮件 - 俄方黑客渗透进入美国白宫网络
一天,白宫某雇员收到了一封貌似来自美国国务院的电邮,无意之中,他点击访问了该电邮中嵌入的链接页面,该页面实则为攻击者假冒控制的白宫某登录系统,在他输入用户名密码之后,他的登录凭据信息就成了黑客的“囊中之物”,这也成为了黑客成功入侵白宫某些网络系统的突破口。
据情报机构内部人士透露给纽约时报的消息称,俄罗斯黑客渗透进入白宫网络后,甚至具备了包含奥巴马邮件接发的电邮服务系统访问权限,还好存有国家机密的奥巴马私人黑莓(BlackBerry)服务系统没被黑客渗透控制。俄罗斯黑客利用该电邮服务系统的访问权限,截获网络流量,不停恢复着美方各大使馆、外交官、议程、政策和立法说明相关的电子邮件。之后,潜伏于俄罗斯黑客组织中,开启“上帝模式”的荷兰国家情报局(AIVD)就此再次向美方同行发出了威胁警告情报。
荷兰情报部门的“金矿” - 荷兰情报机构依靠网络潜伏获取大量对俄可靠情报
对荷兰情报机构来说,渗透潜伏于Cozy Bear计算机网络像是置身于“金矿”之中。多年来,荷兰方面据此获得了俄罗斯安全部门授意的相关入侵目标、攻击方法和利益考量等高价值情报。根据前述的AIVD控制的网络摄像头截屏图片比对,荷兰方面认为Cozy Bear黑客组织由俄罗斯对外情报局(SVR)掌管。
综合上述所获情报信息,AIVD在其2014年的年度报告中认为,包括普京总统在内的许多俄罗斯政府官员授权使用进攻型秘密力量来获取情报信息。也就在最近,AIVD负责人Rob Bertholee在荷兰的电视节目“CollegeTour”上声称:“毫无疑问,克里姆林宫是俄罗斯黑客活动的幕后黑手”。
措手不及 - 俄罗斯发起的网络攻击让美国毫无防备
于去年八月辞职,多年来在华盛顿的美国网络政策专家克里斯·佩斯特(Chris Painter)对记者说:“美国被俄罗斯的这种网络攻击打了个措手不及,我们从没想到俄罗斯会这么做,他们攻击我们的重要基础设施,破坏我们的民主进程”。
据克里斯所言,美国情报机构对俄罗斯干扰美国大选的网络攻击毫无预防。而据消息人士表示,这也成就了荷兰情报部门在美方同行面前大显身手的时机,最终,美方甚至把“蛋糕”和“花朵”亲自送到了位于祖特梅尔(Zoetermeer)的AIVD总部。不仅于此,情报某种意义上来说,也是一种可以对等交易的商品。在2016年,就荷兰方面渗透入侵到俄罗斯黑客组织内部的相关情况,荷兰国家情报局AIVD和军事情报局MIVD两位负责人还私下和美国情报总监詹姆斯·克拉珀及NSA局长迈克尔·罗杰斯进行了见面讨论。作为回报,美国情报机构在知识、技术和情报协同方面,给予了荷兰情报部门大力支持。
据美国消息人士透露,在2015年末,NSA黑客团队曾成功渗透入侵了多位俄罗斯高级别情报官员的智能手机,在俄方针对美国大选的网络攻击事件之后,经NSA团队发现,这些俄罗斯重要人士还通过这些手机在网上搜索了大选攻击的相关新闻,这也侧面映证了俄政府卷入了对美大选的网络干扰攻击。另据可靠消息源表示,作为回报,美方可能和荷兰情报机构共享了此类特定情报,而是否共享了有关MH17坠机调查的情报,还不清楚。
不良影响 - 网络攻击让美国政坛雪上加霜
俄罗斯对美大选的网络攻击,尤其是对美国民主党的的渗透入侵,对美国方面造成了后续一系列的不良影响。此外,FBI针对俄罗斯干扰大选的调查又让饱受诟病的美国政坛雪上加霜。希拉里·克林顿在2016年11月竞选失败之后表示,对手设计泄露她的大量电子邮件,是直接断送她总统生涯的重要原因。而当选总统特朗普明确表示,他的所有竞选活动与俄罗斯干扰无关,希拉里的这番说辞是对他选举胜利的玷污。另外特朗普也透露,他自己非常赞赏俄罗斯,尤其是普京总统。
极度不满 - 荷兰情报机构被美方同行揭露
美国情报部门结合特朗普的这些说法,更加怀疑俄罗斯对美国大选发起了网络攻击干扰,他们想急切调查个水落石出,同时也向外界媒体透露,他们拥有来自“西方盟友”的‘神助攻’。
美国情报机构的这一做法,最终导致了荷兰方面的极度不满,有些荷兰情报界高官甚至认为这是一种背叛。无私地提供给别人重要情报,却被人家无情披露曝光。但最终,无论荷兰AIVD和MIVD领导人如何强烈地表示不满,也没得到美国情报部门同行的理解。为此,荷兰AIVD和MIVD情报部门在与别国分享情报方面,采取了非常谨慎的做法,特别是在特朗普当选美国总统后,他们更加对美方同行产生怀疑。
据传,荷兰AIVD黑客团队已经从俄罗斯黑客组织Cozy Bear的计算机网络系统中安全撤离,而荷兰情报机构对俄罗斯的此项网络间谍活动可能持续了1年至2年半时间左右。由于不同的防火墙策略就可限制访问权限,所以网络渗透活动中需要经常变换入侵方法。
截至目前,荷兰国家情报局(AIVD)拒绝回应荷兰人民报的上述调查报道。
*参考来源:volkskrant,FreeBuf小编clouds编译,转载请注明来自FreeBuf.COM