希拉里团队邮箱是如何被黑客入侵的
![14772098871323[1].jpg](http://xmd5.pw/zb_users/theme/tpure/style/images/lazyload.png)
3月19日,希拉里竞选团队主席约翰·波德斯塔(John Podesta)收到了一封貌似来自Google的警告邮件,然而,该邮件却是一封窃取个人信息的钓鱼邮件,幕后攻击者被认为是俄罗斯国家黑客。Podesta无意点击了邮件中的恶意链接,其邮箱密码就成了黑客的“囊中之物”。
10月9日,维基解密公布了数千封Podesta被黑邮件。虽然大多数人认为,Podesta的邮箱入侵与攻击民主党全国委员会(DNC)的俄罗斯黑客有关,但一直没有明确证据,而现在,根据调查关联,两起攻击事件为同一组织发起。
调查证据指向被称为Fancy Bear或Sofacy的俄罗斯国家黑客组织APT28。黑客使用了相同的入侵手法:隐藏在Gmail邮件中的恶意短网址。根据安全公司SecureWorks近一年的跟踪调查发现,攻击者通过Fancy Bear控制的域名,注册Bitly账号创建了这些恶意短址。
Bitly(Bitly.com)是世界上最流行的短链接服务,可以让用户自定义自己的短链接域名,把正常的网址缩短成短链接,适用于所有客户端和服务平台。
跟踪Fancy Bear足迹
Podesta在3月19号收到的钓鱼邮件中包含了一个精心构造的,由bitly创建的短网址,该短址实际指向一个伪装成Google的长链接。
在这个伪装的长链接中,包含了30个字符的Base64加密字符串,这些信息包括Podesta邮箱地址和姓名。Bitly提供的数据显示,该恶意链接在3月份被请求点击了2次,根据事件调查人员向我们确认,这也是造成Podesta邮箱被入侵的关键。
自2015年10月至2016年5月,Fancy Bear共针对4000多名入侵目标创建了9000多个恶意短址,每个短址中包含了入侵目标人物的姓名和邮箱账号。据SecureWorks调查分析,攻击者使用了两个Bitly账号创建了短址,但却忘记了将账号设为私有。
SecureWorks通过跟踪监测Fancy Bear使用的C&C域名,发现黑客使用的有上千个恶意短址与各类入侵攻击事件相关,其中就包括针对希拉里竞选团队的Bitly短址。分析人员还发现,Fancy Bear使用了213个恶意短址对希拉里竞选官方网站hillaryclinton.com的108个邮箱帐号发起了入侵攻击。
安全专家表示,黑客使用Bitly这样的服务,能让第三方平台完全窥见其应该保密的整个黑客攻击活动,这是Fancy Bear的严重失误。而正是由于这点,安全调查人员陆续发现了黑客入侵科林·鲍威尔(Colin Powell)和希拉里另一竞选团队成员威廉·莱因哈特(William Rinehart)邮箱的踪迹。根据莱因哈特本人声称,他于3月22日收到了一封伪装成Google安全团队的钓鱼邮件,而SecureWorks发现的包含莱因哈特邮箱帐号的短址,也具有相同的时间属性。
类似的恶意邮件和短址同样被该黑客组织用于针对Bellingcat网站独立记者的攻击,Bellingcat网站曾调查报道过2014年马航MH17在乌克兰上空被俄罗斯支持的叛军击落。以下为Bellingcat记者收到的钓鱼邮件截图:
