＊本文只能在《好奇心日?qǐng)?bào)（www.qdaily.com）》發(fā)布，即使我們?cè)试S了也不許轉(zhuǎn)載＊

巴黎電 — 所有人都覺得黑客會(huì)來。

華盛頓國(guó)家安全局和埃馬紐埃爾·馬克龍（Emmanuel Macron）的小型技術(shù)團(tuán)隊(duì)同時(shí)發(fā)現(xiàn)了黑客的蹤跡。鑒于美國(guó)總統(tǒng)競(jìng)選期間發(fā)生的事情，這個(gè)技術(shù)團(tuán)隊(duì)創(chuàng)建了幾十個(gè)虛假的電子郵件賬戶以及相關(guān)的虛假文件，以混淆攻擊者的視線。

另一方面，俄羅斯人行動(dòng)倉(cāng)促，而且有些草率，留下了一連串的證據(jù)。這些證據(jù)不足以明確證明他們正在為弗拉基米爾·V·普京（President Vladimir V. Putin）的政府工作。不過，這些證據(jù)強(qiáng)烈暗示他們是普京大規(guī)模“信息戰(zhàn)”行動(dòng)的一部分。

美國(guó)官員、網(wǎng)絡(luò)專家和馬克龍自己的競(jìng)選助手向我們講述了這樣一個(gè)故事：一場(chǎng)企圖破壞幾十年來法國(guó)最重要的總統(tǒng)選舉的黑客攻擊以失敗告終。這個(gè)故事可以很好地提醒我們：雖然網(wǎng)絡(luò)攻擊可以有效摧毀伊朗核電站系統(tǒng)和烏克蘭電網(wǎng)，但它們并不是無所不能的銀色子彈。通過早期預(yù)警和迅速曝光，我們可以挫敗俄羅斯所偏愛的那種信息戰(zhàn)。

不過，上周五晚間，當(dāng)一場(chǎng)“大規(guī)模”黑客攻擊突然出現(xiàn)、并對(duì)馬克龍的當(dāng)選機(jī)會(huì)造成威脅時(shí)，上述結(jié)果很難得到保證。然而對(duì)法國(guó)和美國(guó)官員來說，這場(chǎng)攻擊也說不上意外。

美國(guó)國(guó)家安全局局長(zhǎng)、海軍上將邁克爾·S·羅杰斯（Michael S. Rogers）周二在華盛頓參議院軍事委員會(huì)作證時(shí)表示，美國(guó)情報(bào)機(jī)構(gòu)當(dāng)時(shí)看到了這場(chǎng)攻擊行動(dòng)，他們告訴法國(guó)同行：“喂，我們正在監(jiān)視俄羅斯人，我們看到他們正在入侵你們的基礎(chǔ)設(shè)施。下面是我們看到的情況，我們能幫什么忙？”

不過，位于巴黎外圍第 15 區(qū)馬克龍臨時(shí)總部的工作人員并不需要美國(guó)的提醒，他們知道自己正在遭受攻擊：去年 12 月，當(dāng)馬克龍帶著前投資銀行家和前經(jīng)濟(jì)部長(zhǎng)的身份輕松成為總統(tǒng)選舉中最反對(duì)俄羅斯、最支持北約和歐盟的候選人時(shí)，他們開始收到了網(wǎng)絡(luò)釣魚郵件。

馬克龍的數(shù)字事務(wù)主任穆尼爾·馬哈古比（Mounir Mahjoubi）表示，這些網(wǎng)絡(luò)釣魚郵件“質(zhì)量很高”：它們包含了競(jìng)選團(tuán)隊(duì)工作人員的真實(shí)姓名，乍一看，你會(huì)覺得它們的確是這些工作人員發(fā)來的。比如，在周日大選的前幾天，競(jìng)選團(tuán)隊(duì)收到了最后一封釣魚郵件，這封郵件自稱來自馬哈古比本人。

馬哈古比在周二的采訪中表示：“這幾乎是一個(gè)笑話，就像是在侮辱我們所有人一樣。”最后這封電子郵件要求收件人下載一些文件“以保護(hù)自己”。

在此之前，馬克龍的競(jìng)選團(tuán)隊(duì)已經(jīng)開始考慮如何增加俄羅斯人的攻擊難度，他們顯示出了希拉里·克林頓（Hillary Clinton）的總統(tǒng)競(jìng)選團(tuán)隊(duì)和民主黨全國(guó)委員會(huì)所沒有的技能和獨(dú)創(chuàng)性，后者只具有最低限度的安全保護(hù)措施，而且在幾個(gè)月的時(shí)間里一直沒有理會(huì) FBI 關(guān)于其計(jì)算機(jī)系統(tǒng)曾經(jīng)遭到入侵的警告。

“我們開始了反擊。我們無法百分之百確保我們能夠抵御攻擊，所以我們想：我們能做什么呢？” 馬哈古比說。他選擇了一個(gè)經(jīng)典的“網(wǎng)絡(luò)模糊化”策略，這是銀行和公司非常熟悉的做法。他創(chuàng)建了一些虛假的電子郵件賬戶，并在這些賬戶中填充了虛假文件，就像銀行出納員為應(yīng)對(duì)搶劫而在現(xiàn)金抽屜里放偽鈔一樣。

“我們創(chuàng)建了虛假的賬戶和虛假的內(nèi)容，作為一種陷阱。我們創(chuàng)建了大量虛假信息，他們將不得不對(duì)其進(jìn)行驗(yàn)證，以確定這些賬戶是否真實(shí)。我想我們并沒有阻止他們，只是使他們放慢了速度。即使他們僅僅浪費(fèi)了一分鐘的時(shí)間，我們也很高興，”馬哈古比說。

馬哈古比拒絕透露這些虛假文件的性質(zhì)，也沒有指出周五由于黑客活動(dòng)而導(dǎo)致的文件泄漏事件中是否包含馬克龍競(jìng)選團(tuán)隊(duì)創(chuàng)建的虛假文件。

不過他指出，周五遭到泄漏的文件五花八門，包括一些真實(shí)的文件、一些由黑客自己炮制的虛假文件、一些來自不同公司的被盜文件，以及一些由競(jìng)選團(tuán)隊(duì)偽造的電子郵件。

“在他們的所有攻擊行動(dòng)中，我們都加入了偽造的文件。這使他們浪費(fèi)了許多時(shí)間，具體的時(shí)間長(zhǎng)度取決于我們所加入的文件數(shù)量，以及可能引起他們注意的文件數(shù)量，”馬哈古比說。

這個(gè)數(shù)字團(tuán)隊(duì)只有 18 個(gè)人，其中許多人需要制作視頻等競(jìng)選材料，因此馬哈古比幾乎沒有跟蹤黑客所需要的資源。“我們沒有時(shí)間去抓他們，”馬哈古比說。不過他對(duì)于黑客的身份有著自己的猜測(cè)。在他們?cè)獾骄W(wǎng)絡(luò)釣魚攻擊的同時(shí)，俄羅斯媒體用大量虛假新聞對(duì)馬克龍競(jìng)選團(tuán)隊(duì)進(jìn)行了攻擊。

奇怪的是，俄羅斯人并沒有很好地掩飾他們的蹤跡。因此，一些私人安全公司可以更加輕松地尋找證據(jù)。在黑客試圖操縱美國(guó)大選以后，這些公司已經(jīng)產(chǎn)生了警覺。

3 月中旬，總部位于東京的網(wǎng)絡(luò)安全巨頭 Trend Micro 的研究人員發(fā)現(xiàn)，曾對(duì)美國(guó)民主黨全國(guó)委員會(huì)實(shí)施某些網(wǎng)絡(luò)攻擊的俄羅斯情報(bào)機(jī)構(gòu)開始打造網(wǎng)絡(luò)工具，以便對(duì)馬克龍的競(jìng)選進(jìn)行網(wǎng)絡(luò)攻擊。他們建立了與馬克龍的前進(jìn)黨類似的網(wǎng)絡(luò)域名，然后開始傳播帶有惡意鏈接和虛假登錄頁面的電子郵件，用于引誘競(jìng)選團(tuán)隊(duì)工作人員泄漏自己的用戶名和密碼，或者通過點(diǎn)擊鏈接使俄羅斯人獲得進(jìn)入競(jìng)選團(tuán)隊(duì)網(wǎng)絡(luò)的入口。

網(wǎng)絡(luò)安全研究人員表示，這是俄羅斯人的經(jīng)典戰(zhàn)術(shù)，但是這一次，世界已經(jīng)做好了準(zhǔn)備。硅谷安全公司 FireEye 網(wǎng)絡(luò)間諜分析總監(jiān)約翰·赫爾特奎斯特（John Hultquist）表示：“唯一的好消息是，這種活動(dòng)現(xiàn)在很常見，公眾已經(jīng)產(chǎn)生了‘俄羅斯人隱藏在事件背后’的慣性思維，因此他們的行動(dòng)反而會(huì)引火燒身。”

赫爾特奎斯特指出，此次攻擊顯得很匆忙，而且?guī)в幸贿B串?dāng)?shù)字錯(cuò)誤。“俄羅斯黑客曾經(jīng)以嚴(yán)謹(jǐn)著稱。當(dāng)他們犯錯(cuò)誤時(shí)，他們會(huì)取消整個(gè)行動(dòng)，然后重新開始。不過自從俄羅斯入侵烏克蘭和克里米亞以來，我們看到他們肆無忌憚地實(shí)施了一些大規(guī)模攻擊，這可能是因?yàn)樗麄冎暗男袆?dòng)幾乎沒有受到任何懲罰，”赫爾特奎斯特說。

這些黑客犯下的另一個(gè)錯(cuò)誤是，他們發(fā)布了從任何競(jìng)選標(biāo)準(zhǔn)來看都很無聊的信息。他們發(fā)布了合計(jì)九千兆字節(jié)據(jù)說竊取自馬克龍競(jìng)選團(tuán)隊(duì)的電子郵件和文件，作為丑聞素材。不過人們發(fā)現(xiàn)，這些信息幾乎全都是非常普通的信息，是競(jìng)選團(tuán)隊(duì)工作人員在混亂的競(jìng)選活動(dòng)中努力過上正常生活的記錄。

一封被泄漏的電子郵件詳細(xì)描述了一名競(jìng)選團(tuán)隊(duì)工作人員努力解決汽車故障的故事，另一封電子郵件則記錄了一名競(jìng)選團(tuán)隊(duì)工作人員由于沒能為一杯咖啡開具發(fā)票而受到責(zé)備的經(jīng)過。

這使黑客們失去了謹(jǐn)慎。少數(shù)文件上附帶的元數(shù)據(jù)（顯示文件來源的代碼）顯示，一些文件曾經(jīng)進(jìn)入俄羅斯的計(jì)算機(jī)，并被俄羅斯用戶編輯過。一些 Excel 文件的修改使用了 Microsoft Windows 俄羅斯版本特有的軟件。

其他一些文件的最后一次修改是由俄羅斯用戶完成的。研究人員發(fā)現(xiàn)，其中一名用戶是 Eureka CJSC 公司一名 32 歲的員工。這家總部位于莫斯科的俄羅斯科技公司與俄羅斯國(guó)防部和情報(bào)機(jī)構(gòu)關(guān)系密切，獲得了俄羅斯聯(lián)邦安全局（FSB）頒發(fā)的協(xié)助保護(hù)國(guó)家秘密的許可證。該公司沒有回復(fù)請(qǐng)求置評(píng)的電子郵件。

其他一些遭到泄漏的文件似乎是偽造和編造的。據(jù)說，一份文件記錄了馬克龍的一名競(jìng)選團(tuán)隊(duì)工作人員購(gòu)買興奮劑甲氧麻黃酮（這種興奮劑有時(shí)被人以“浴鹽”的名義出售）的詳細(xì)信息，這名工作人員據(jù)說將藥品運(yùn)送到了法國(guó)國(guó)民議會(huì)所在地。不過，英國(guó)調(diào)查組織 Bellingcat 的一名調(diào)查團(tuán)隊(duì)成員亨克·范·埃斯（Henk Van Ess）以及其他一些人發(fā)現(xiàn)，收據(jù)中的交易號(hào)不在包含所有比特幣交易的公開總賬之中。

“他們顯然很匆忙。他們有可能是 APT28，該組織曾在行動(dòng)中暴露身份，這給他們帶來了負(fù)面影響。”赫爾特奎斯特說。APT28 是一個(gè)俄羅斯團(tuán)體的名字，它被認(rèn)為與軍事情報(bào)機(jī)構(gòu)格勒烏（GRU）存在聯(lián)系。

赫爾特奎斯特表示，現(xiàn)在，對(duì)于馬克龍的失敗攻擊可能會(huì)促使俄羅斯黑客改進(jìn)他們的攻擊手段。

“他們可能需要徹底改變戰(zhàn)術(shù)，”赫爾特奎斯特說。

翻譯：熊貓譯社 劉清山