驚雷!德國聯邦檢查院釋出逮捕令直指俄羅斯軍事情報局重要駭客

國際安全智庫發表於2020-05-07

當網路攻防對抗牽扯到國家級軍隊級駭客組織時,不言而喻,它的性質就已是國與國網路戰的行列。


【導讀】5月5日,據德國媒體報導稱,德國聯邦檢查院以2015年春季入侵德國議會為由,對一名在俄羅斯軍隊工作的駭客——德米特里·謝爾蓋耶維奇·巴丁(DmitriySergeyevich Badin)釋出逮捕令。德當局稱,巴丁為俄羅斯軍事情報局(GRU)隸屬的俄羅斯軍事單位26165的成員(也就是著名的APT28“奇幻熊Fancy Bear”組織成員),曾代表俄羅斯國家進行了針對德聯邦議院網路間諜活動。而且聯邦檢察官深信,巴丁不僅親自參與了聯邦議院(Bundestag)駭客活動,還確切知道在哪個時間段。如何攻擊以及攻擊了什麼。此通緝令一出,再一次轟動安全情報界。


而目前針對此事,截止發稿前,俄方暫未做出任何回覆。倘若此次事件屬實,這一紙通緝令背後的故事更加耐人尋味。



近日,德國聯邦檢查院一紙國際逮捕令轟動整個情報界。


德當局指控有著俄羅斯軍方背景的駭客德米特里·謝爾蓋耶維奇·巴丁(DmitriySergeyevich Badin),一直從事“秘密服務活動”和“監視資料”活動,而且他正是2015年針對德聯邦議院發動網路攻擊的幕後真兇之一。


驚雷!德國聯邦檢查院釋出逮捕令直指俄羅斯軍事情報局重要駭客

(照片來源於:FBI)


當網路攻防對抗牽扯到國家級軍隊級駭客組織時,不言而喻它的性質就已是國與國網路戰的行列。然而,一系列問題也隨之而來:


  • 德米特里·謝爾蓋耶維奇·巴丁是何許人也?
  • 他是如何精準重磅襲擊到德國聯邦議院的?
  • 為什麼聯邦檢察官就如此確定就是巴丁所為?



德米特里·謝爾蓋耶維奇·巴丁是何許人也?


德米特里·謝爾蓋耶維奇·巴丁(Dmitriy Sergeyevich Badin,以下簡稱巴丁):

1990年11月出生於俄羅斯庫爾斯克,現年29歲,相關資料顯示巴丁是俄羅斯聯邦總參謀部主要情報局(GRU)官員,德國當局更是將其歸屬於著名的APT28“奇幻熊Fancy Bear”組織成員之一。


驚雷!德國聯邦檢查院釋出逮捕令直指俄羅斯軍事情報局重要駭客


APT28(奇幻熊Fancy Bear):是一個長期從事網路間諜活動並與俄羅斯軍方情報機構相關的APT組織,從該組織的歷史攻擊活動可以看出,獲取國家利益一直是該組織的主要攻擊目的。據國外安全公司報導,該組織最早的攻擊活動可以追溯到2004年至2007年期間。2018年,美國提出起訴特別顧問將奇幻熊確定為兩個GRU單位單元26165和單元74455。


此外,巴丁也是美聯邦調查局最想要的網路犯罪分子之一。


2018年,美國當局曾指控巴丁和其他六名APT28成員在2016年至2018年期間襲擊了民主黨全國委員會(DNC)和世界反興奮劑機構(WADA)。


驚雷!德國聯邦檢查院釋出逮捕令直指俄羅斯軍事情報局重要駭客

有媒體這樣報導巴丁:他不開坦克,不開戰機,甚至可能不攜帶武器。上陣時,他只用鍵盤操作。他是公務員駭客,是弗拉基米爾·普京(Vladimir Putin)的網路士兵,更是連環網路攻擊犯。



巴丁如何重磅襲擊德國聯邦議院?


這裡,我們就要回到五年前,那場史無前例的德國聯邦議院網路攻擊戰……

2015年4月30日,駭客組織向德聯邦議院目標投下了誘餌。幾名議員幾乎同時收到了一封電子郵件,發件人地址以“ @ un.org”結尾。


它看起來像是一封來自聯合國的真實電子郵件,主題是:“烏克蘭與俄羅斯的衝突使經濟陷入一片廢墟”。


然而,該電子郵件卻包含一個偽造的聯合國網站連結。實際上,該站點已經準備好安裝惡意軟體,一旦目標使用者單擊該惡意軟體,該惡意軟體就會立即被安裝在計算機上。


透過惡意軟體,攻擊者進入聯邦議院網路上,該網路擁有5600多臺計算機,註冊使用者多達12,000個。駭客使用多個惡意軟體程式(包括“ Mimikatz”)逐步透過聯邦議院網路橫向移動滲透。


很快,駭客不僅掌握了大量密碼,還控制了管理員賬戶,從而為他們提供了額外的訪問許可權。


憑藉這一系列操作,他們不僅成功竊取超16 GB資料,包括德國會議員大量完整電子郵件資訊;而且,德國總理安格拉·默克爾(AngelaMerkel)的辦公室成員及重要資訊也包括在內……


可以說,這次國家級網路攻擊事件是德國有史以來從未經歷過的數字攻堅戰。德國整個聯邦IT系統不僅被迫進行了關閉操作。而且,整個網路攻防戰歷時一個多月才得到有效抑制。


其對德國聯邦議院的重創不言而喻。



為什麼就如此確定是巴丁所為?


上述攻擊發生後,美國協助德國進行調查。今天,德國檢察院的一紙國際逮捕令,將所有矛頭指向德米特里·謝爾蓋耶維奇·巴丁,為何?


根據外國媒體披露顯示,他們所謂的實錘證據如下:


證據一:人臉驗證鎖定目標

調查人員用俄羅斯社交媒體,反向影像搜尋應用程式FindClone,在德米特里·巴丁妻子的VKontakte (VK)社交賬戶中,找到德米特里·巴丁的照片。然後,透過在微軟Azure的人臉驗證工具中比較兩張照片來重新驗證後,他們認為這是同一人。


驚雷!德國聯邦檢查院釋出逮捕令直指俄羅斯軍事情報局重要駭客


證據二:汽車註冊資料為GRU地址


調查人員在莫斯科汽車登記資料庫中,找到了德米特里·巴丁的購買記錄,其中註冊地址一欄中正是GRU軍事單位26165的地址。


驚雷!德國聯邦檢查院釋出逮捕令直指俄羅斯軍事情報局重要駭客

(26165單元的地址登記)

2017年俄羅斯軍事情報部門的一名官員無意中洩露了一份機密檔案資料,該資料包括了巴丁個人資料資訊在內的305名官員資訊,而他們的汽車竟都是用這個註冊地址。


證據三:社交平臺暴露駭客求學背景

調查員從巴丁停車所支付停車費用的兩個手機號中,鎖定其個人社交平臺VKontakte (VK)的資訊。資訊顯示:巴丁在彼得堡時期的社交資訊很多與聖彼得堡電腦科學大學有關。


驚雷!德國聯邦檢查院釋出逮捕令直指俄羅斯軍事情報局重要駭客

而對以往GRU駭客團隊成員的調查表明,大量駭客就畢業於這所學校。


證據四:GRU編碼直接用為賬戶ID


如果前兩個案例還不足以證明馬丁身份的話,這次的使用者ID就堪比實錘。


據調查,馬丁VK和Skype兩個社交賬戶的使用者名稱都曾用“scaramouche77”這個名稱。


而再度“巧合”的是APT28用來執行螢幕捕獲和竊取目標憑證的端點工具包就被稱為Scaramouche,個人賬戶ID與“職業痕跡”可謂是高度相關聯。


驚雷!德國聯邦檢查院釋出逮捕令直指俄羅斯軍事情報局重要駭客


  智 庫 時 評  


縱觀上述內容,我們看到:

一、如果透過一些社交媒體等賬號就確定為該人,溯源到一個國家級駭客也未免有些簡單。不過如果,上述推斷果真屬實,那麼情況更加糟糕:一個技術精湛的駭客,卻如此忽視自身的“身份痕跡”,進而令他人輕而易舉地精準鎖定到一系列網路攻擊戰中,足見這名駭客對於掩蓋自己行跡是多麼的“不在乎”。


細節決定成敗,一個小小的個人ID疏漏對可能讓國家級軍事機構洩密從而造成巨大威脅,更不要說作為國家級重要軍事駭客。所以在關鍵人員的保密工作上,所有人都更應該加強重視。


二、無獨有偶,除上文所提及的德國發布俄羅斯駭客逮捕令外,近年來,美國、英國和澳大利亞均指控俄羅斯軍方從事的一系列國家級網路攻擊,並要求俄方對其行徑負責。


可見,俄羅斯的國際駭客行動已暴露在國際視野之下,這也說明俄羅斯軍事情報機構GRU早已充當起先鋒軍的重要角色,以國家級網路攻擊手段來牽制對手。

而縱觀國際時局,網路戰仍在繼續,如何更好的發揮網路戰作用,提升自身網軍實力值得所有人深思。




參考連結:
Bellingcat——《誰是德國聯邦議院因聯邦議院駭客案起訴GRU駭客Dmitry Badin?》
Zdnet——《德國當局向俄羅斯駭客收取2015年聯邦議院駭客攻擊的費用》

相關文章