3月19日，希拉里競(jìng)選團(tuán)隊(duì)主席約翰·波德斯塔（John Podesta）收到了一封貌似來(lái)自Google的警告郵件，然而，該郵件卻是一封竊取個(gè)人信息的釣魚郵件，幕后攻擊者被認(rèn)為是俄羅斯國(guó)家黑客。Podesta無(wú)意點(diǎn)擊了郵件中的惡意鏈接，其郵箱密碼就成了黑客的“囊中之物”。

10月9日，維基解密公布了數(shù)千封Podesta被黑郵件。雖然大多數(shù)人認(rèn)為，Podesta的郵箱入侵與攻擊民主黨全國(guó)委員會(huì)（DNC）的俄羅斯黑客有關(guān)，但一直沒(méi)有明確證據(jù)，而現(xiàn)在，根據(jù)調(diào)查關(guān)聯(lián)，兩起攻擊事件為同一組織發(fā)起。

調(diào)查證據(jù)指向被稱為Fancy Bear或Sofacy的俄羅斯國(guó)家黑客組織APT28。黑客使用了相同的入侵手法：隱藏在Gmail郵件中的惡意短網(wǎng)址。根據(jù)安全公司SecureWorks近一年的跟蹤調(diào)查發(fā)現(xiàn)，攻擊者通過(guò)Fancy Bear控制的域名，注冊(cè)Bitly賬號(hào)創(chuàng)建了這些惡意短址。

Bitly(Bitly.com)是世界上最流行的短鏈接服務(wù)，可以讓用戶自定義自己的短鏈接域名，把正常的網(wǎng)址縮短成短鏈接，適用于所有客戶端和服務(wù)平臺(tái)。

跟蹤Fancy Bear足跡

Podesta在3月19號(hào)收到的釣魚郵件中包含了一個(gè)精心構(gòu)造的，由bitly創(chuàng)建的短網(wǎng)址，該短址實(shí)際指向一個(gè)偽裝成Google的長(zhǎng)鏈接。

在這個(gè)偽裝的長(zhǎng)鏈接中，包含了30個(gè)字符的Base64加密字符串，這些信息包括Podesta郵箱地址和姓名。Bitly提供的數(shù)據(jù)顯示，該惡意鏈接在3月份被請(qǐng)求點(diǎn)擊了2次，根據(jù)事件調(diào)查人員向我們確認(rèn)，這也是造成Podesta郵箱被入侵的關(guān)鍵。

自2015年10月至2016年5月，F(xiàn)ancy Bear共針對(duì)4000多名入侵目標(biāo)創(chuàng)建了9000多個(gè)惡意短址，每個(gè)短址中包含了入侵目標(biāo)人物的姓名和郵箱賬號(hào)。據(jù)SecureWorks調(diào)查分析，攻擊者使用了兩個(gè)Bitly賬號(hào)創(chuàng)建了短址，但卻忘記了將賬號(hào)設(shè)為私有。

SecureWorks通過(guò)跟蹤監(jiān)測(cè)Fancy Bear使用的C&C域名，發(fā)現(xiàn)黑客使用的有上千個(gè)惡意短址與各類入侵攻擊事件相關(guān)，其中就包括針對(duì)希拉里競(jìng)選團(tuán)隊(duì)的Bitly短址。分析人員還發(fā)現(xiàn)，F(xiàn)ancy Bear使用了213個(gè)惡意短址對(duì)希拉里競(jìng)選官方網(wǎng)站hillaryclinton.com的108個(gè)郵箱帳號(hào)發(fā)起了入侵攻擊。

安全專家表示，黑客使用Bitly這樣的服務(wù)，能讓第三方平臺(tái)完全窺見(jiàn)其應(yīng)該保密的整個(gè)黑客攻擊活動(dòng)，這是Fancy Bear的嚴(yán)重失誤。而正是由于這點(diǎn)，安全調(diào)查人員陸續(xù)發(fā)現(xiàn)了黑客入侵科林·鮑威爾（Colin Powell）和希拉里另一競(jìng)選團(tuán)隊(duì)成員威廉·萊因哈特（William Rinehart）郵箱的蹤跡。根據(jù)萊因哈特本人聲稱，他于3月22日收到了一封偽裝成Google安全團(tuán)隊(duì)的釣魚郵件，而SecureWorks發(fā)現(xiàn)的包含萊因哈特郵箱帳號(hào)的短址，也具有相同的時(shí)間屬性。

類似的惡意郵件和短址同樣被該黑客組織用于針對(duì)Bellingcat網(wǎng)站獨(dú)立記者的攻擊，Bellingcat網(wǎng)站曾調(diào)查報(bào)道過(guò)2014年馬航MH17在烏克蘭上空被俄羅斯支持的叛軍擊落。以下為Bellingcat記者收到的釣魚郵件截圖：

　　一些東歐記者也收到了類似竊取Google賬號(hào)密碼的釣魚郵件:

非常明了，這些惡意郵件都偽裝成Google安全警告郵件，并包含目標(biāo)受害者相關(guān)信息的加密字符串短址。黑客使用的加密字符串如果被發(fā)現(xiàn)后，其攻擊目標(biāo)便顯露無(wú)疑，這樣的意圖讓人匪夷所思，但來(lái)自ThreatConnect的安全專家表示，這些字符串或許能幫助黑客更好地跟蹤管理攻擊活動(dòng)，針對(duì)特定目標(biāo)調(diào)整釣魚郵件，既能監(jiān)測(cè)攻擊有效性，還能在其中一個(gè)惡意地址被發(fā)現(xiàn)后，起到分散目標(biāo)、識(shí)別攻擊、保持攻擊持續(xù)性的作用。另外一點(diǎn)，黑客使用Bitly和Tinyurl這樣的短址，可能為了逃避垃圾郵件過(guò)濾機(jī)制。

其它發(fā)現(xiàn)

根據(jù)SecureWorks的調(diào)查， 該黑客組織還對(duì)包括前蘇聯(lián)國(guó)家在內(nèi)的其它國(guó)家各領(lǐng)域開展入侵攻擊：

　　希拉里競(jìng)選團(tuán)隊(duì)的以下重要成員也是該黑客組織長(zhǎng)期的攻擊目標(biāo)：

國(guó)家政治主管

財(cái)務(wù)總監(jiān)

戰(zhàn)略通信總監(jiān)

調(diào)度主管

競(jìng)選部門主管

競(jìng)選新聞秘書

競(jìng)選協(xié)調(diào)員

10月7日，美國(guó)國(guó)土安全部與美國(guó)國(guó)家情報(bào)總監(jiān)辦公室發(fā)表了聯(lián)合聲明，公開指責(zé)俄羅斯黑客插手美國(guó)大選。美國(guó)官方的聲明指出，近期發(fā)生的多個(gè)美國(guó)政治組織和個(gè)人的電子郵件外泄事件與俄羅斯政府有關(guān)。黑客所使用的技術(shù)和服務(wù)器出自俄羅斯。只有俄羅斯高級(jí)別官員授權(quán)，俄羅斯黑客才會(huì)從事這些活動(dòng)。而根據(jù)這一聲明，黑客的目的就是干擾美國(guó)大選。

**參考來(lái)源：MotherBoard，SecureWorks，F(xiàn)B小編clouds編譯，轉(zhuǎn)載請(qǐng)注明來(lái)自FreeBuf（FreeBuf.COM）