驚雷！德國聯邦檢查院釋出逮捕令直指俄羅斯軍事情報局重要駭客

當網路攻防對抗牽扯到國家級軍隊級駭客組織時，不言而喻，它的性質就已是國與國網路戰的行列。

【導讀】5月5日，據德國媒體報導稱，德國聯邦檢查院以2015年春季入侵德國議會為由，對一名在俄羅斯軍隊工作的駭客——德米特里·謝爾蓋耶維奇·巴丁（DmitriySergeyevich Badin）釋出逮捕令。德當局稱，巴丁為俄羅斯軍事情報局（GRU）隸屬的俄羅斯軍事單位26165的成員（也就是著名的APT28“奇幻熊Fancy Bear”組織成員），曾代表俄羅斯國家進行了針對德聯邦議院網路間諜活動。而且聯邦檢察官深信，巴丁不僅親自參與了聯邦議院（Bundestag）駭客活動，還確切知道在哪個時間段。如何攻擊以及攻擊了什麼。此通緝令一出，再一次轟動安全情報界。

而目前針對此事，截止發稿前，俄方暫未做出任何回覆。倘若此次事件屬實，這一紙通緝令背後的故事更加耐人尋味。

近日，德國聯邦檢查院一紙國際逮捕令轟動整個情報界。

德當局指控有著俄羅斯軍方背景的駭客德米特里·謝爾蓋耶維奇·巴丁（DmitriySergeyevich Badin），一直從事“秘密服務活動”和“監視資料”活動，而且他正是2015年針對德聯邦議院發動網路攻擊的幕後真兇之一。

（照片來源於：FBI）

當網路攻防對抗牽扯到國家級軍隊級駭客組織時，不言而喻它的性質就已是國與國網路戰的行列。然而，一系列問題也隨之而來：

• 德米特里·謝爾蓋耶維奇·巴丁是何許人也？
  
• 他是如何精準重磅襲擊到德國聯邦議院的？
  
• 為什麼聯邦檢察官就如此確定就是巴丁所為？
  

德米特里·謝爾蓋耶維奇·巴丁是何許人也？

德米特里·謝爾蓋耶維奇·巴丁（Dmitriy Sergeyevich Badin，以下簡稱巴丁）：

1990年11月出生於俄羅斯庫爾斯克，現年29歲，相關資料顯示巴丁是俄羅斯聯邦總參謀部主要情報局（GRU）官員，德國當局更是將其歸屬於著名的APT28“奇幻熊Fancy Bear”組織成員之一。

APT28（奇幻熊Fancy Bear）：是一個長期從事網路間諜活動並與俄羅斯軍方情報機構相關的APT組織，從該組織的歷史攻擊活動可以看出，獲取國家利益一直是該組織的主要攻擊目的。據國外安全公司報導，該組織最早的攻擊活動可以追溯到2004年至2007年期間。2018年，美國提出起訴特別顧問將奇幻熊確定為兩個GRU單位單元26165和單元74455。

此外，巴丁也是美聯邦調查局最想要的網路犯罪分子之一。

2018年，美國當局曾指控巴丁和其他六名APT28成員在2016年至2018年期間襲擊了民主黨全國委員會（DNC）和世界反興奮劑機構（WADA）。

有媒體這樣報導巴丁：他不開坦克，不開戰機，甚至可能不攜帶武器。上陣時，他只用鍵盤操作。他是公務員駭客，是弗拉基米爾·普京（Vladimir Putin）的網路士兵，更是連環網路攻擊犯。

巴丁如何重磅襲擊德國聯邦議院？

這裡，我們就要回到五年前，那場史無前例的德國聯邦議院網路攻擊戰……

2015年4月30日，駭客組織向德聯邦議院目標投下了誘餌。幾名議員幾乎同時收到了一封電子郵件，發件人地址以“ @ un.org”結尾。

它看起來像是一封來自聯合國的真實電子郵件，主題是：“烏克蘭與俄羅斯的衝突使經濟陷入一片廢墟”。

然而，該電子郵件卻包含一個偽造的聯合國網站連結。實際上，該站點已經準備好安裝惡意軟體，一旦目標使用者單擊該惡意軟體，該惡意軟體就會立即被安裝在計算機上。

透過惡意軟體，攻擊者進入聯邦議院網路上，該網路擁有5600多臺計算機，註冊使用者多達12,000個。駭客使用多個惡意軟體程式（包括“ Mimikatz”）逐步透過聯邦議院網路橫向移動滲透。

很快，駭客不僅掌握了大量密碼，還控制了管理員賬戶，從而為他們提供了額外的訪問許可權。

憑藉這一系列操作，他們不僅成功竊取超16 GB資料，包括德國會議員大量完整電子郵件資訊；而且，德國總理安格拉·默克爾（AngelaMerkel）的辦公室成員及重要資訊也包括在內……

可以說，這次國家級網路攻擊事件是德國有史以來從未經歷過的數字攻堅戰。德國整個聯邦IT系統不僅被迫進行了關閉操作。而且，整個網路攻防戰歷時一個多月才得到有效抑制。

其對德國聯邦議院的重創不言而喻。

為什麼就如此確定是巴丁所為？

上述攻擊發生後，美國協助德國進行調查。今天，德國檢察院的一紙國際逮捕令，將所有矛頭指向德米特里·謝爾蓋耶維奇·巴丁，為何？

根據外國媒體披露顯示，他們所謂的實錘證據如下：

證據一：人臉驗證鎖定目標

調查人員用俄羅斯社交媒體，反向影像搜尋應用程式FindClone，在德米特里·巴丁妻子的VKontakte (VK)社交賬戶中，找到德米特里·巴丁的照片。然後，透過在微軟Azure的人臉驗證工具中比較兩張照片來重新驗證後，他們認為這是同一人。

證據二：汽車註冊資料為GRU地址

調查人員在莫斯科汽車登記資料庫中，找到了德米特里·巴丁的購買記錄，其中註冊地址一欄中正是GRU軍事單位26165的地址。

（26165單元的地址登記）

2017年俄羅斯軍事情報部門的一名官員無意中洩露了一份機密檔案資料，該資料包括了巴丁個人資料資訊在內的305名官員資訊，而他們的汽車竟都是用這個註冊地址。

證據三：社交平臺暴露駭客求學背景

調查員從巴丁停車所支付停車費用的兩個手機號中，鎖定其個人社交平臺VKontakte (VK)的資訊。資訊顯示：巴丁在彼得堡時期的社交資訊很多與聖彼得堡電腦科學大學有關。

而對以往GRU駭客團隊成員的調查表明，大量駭客就畢業於這所學校。

證據四：GRU編碼直接用為賬戶ID

如果前兩個案例還不足以證明馬丁身份的話，這次的使用者ID就堪比實錘。

據調查，馬丁VK和Skype兩個社交賬戶的使用者名稱都曾用“scaramouche77”這個名稱。

而再度“巧合”的是APT28用來執行螢幕捕獲和竊取目標憑證的端點工具包就被稱為Scaramouche，個人賬戶ID與“職業痕跡”可謂是高度相關聯。

  智 庫 時 評  

縱觀上述內容，我們看到：

一、如果透過一些社交媒體等賬號就確定為該人，溯源到一個國家級駭客也未免有些簡單。不過如果，上述推斷果真屬實，那麼情況更加糟糕：一個技術精湛的駭客，卻如此忽視自身的“身份痕跡”，進而令他人輕而易舉地精準鎖定到一系列網路攻擊戰中，足見這名駭客對於掩蓋自己行跡是多麼的“不在乎”。

細節決定成敗，一個小小的個人ID疏漏對可能讓國家級軍事機構洩密從而造成巨大威脅，更不要說作為國家級重要軍事駭客。所以在關鍵人員的保密工作上，所有人都更應該加強重視。

二、無獨有偶，除上文所提及的德國發布俄羅斯駭客逮捕令外，近年來，美國、英國和澳大利亞均指控俄羅斯軍方從事的一系列國家級網路攻擊，並要求俄方對其行徑負責。

可見，俄羅斯的國際駭客行動已暴露在國際視野之下，這也說明俄羅斯軍事情報機構GRU早已充當起先鋒軍的重要角色，以國家級網路攻擊手段來牽制對手。

而縱觀國際時局，網路戰仍在繼續，如何更好的發揮網路戰作用，提升自身網軍實力值得所有人深思。