【導讀】5月5日,據德國媒體報道稱,德國聯邦檢查院以2015年春季入侵德國議會為由,對一名在俄羅斯軍隊工作的黑客——德米特里·謝爾蓋耶維奇·巴丁(DmitriySergeyevich Badin)發佈逮捕令。德當局稱,巴丁為俄羅斯軍事情報局(GRU)隸屬的俄羅斯軍事單位26165的成員(也就是著名的APT28“奇幻熊Fancy Bear”組織成員),曾代表俄羅斯國家進行了針對德聯邦議院網絡間諜活動。而且聯邦檢察官深信,巴丁不僅親自參與了聯邦議院(Bundestag)黑客活動,還確切知道在哪個時間段。如何攻擊以及攻擊了什麼。此通緝令一出,再一次轟動安全情報界。五年前那場黑客行動到底如何?為什麼聯邦檢察官如此確定就是巴丁?透過層層報道,智庫今天將解決這一紙通緝令背後故事。
近日,德國聯邦檢查院一紙國際逮捕令轟動整個情報界。
德當局指控有着俄羅斯軍方背景的黑客德米特里·謝爾蓋耶維奇·巴丁(DmitriySergeyevich Badin),一直從事“秘密服務活動”和“監視數據”活動,而且他正是2015年針對德聯邦議院發動網絡攻擊的幕後真兇之一。
(照片來源於:FBI)
當網絡攻防對抗牽扯到國家級軍隊級黑客組織時,不言而喻它的性質就已是國與國網絡戰的行列。然而,一系列問題也隨之而來:
德米特里·謝爾蓋耶維奇·巴丁是何許人也?
他是如何精準重磅襲擊到德國聯邦議院的?
為什麼聯邦檢察官就如此確定就是巴丁所為?
德米特里·謝爾蓋耶維奇·巴丁是何許人也?
德米特里·謝爾蓋耶維奇·巴丁(Dmitriy Sergeyevich Badin,以下簡稱巴丁):1990年11月出生於俄羅斯庫爾斯克,現年29歲,相關資料顯示巴丁是俄羅斯聯邦總參謀部主要情報局(GRU)官員,德國當局更是將其歸屬於著名的APT28“奇幻熊Fancy Bear”組織成員之一。
APT28(奇幻熊Fancy Bear):是一個長期從事網絡間諜活動並與俄羅斯軍方情報機構相關的APT組織,從該組織的歷史攻擊活動可以看出,獲取國家利益一直是該組織的主要攻擊目的。據國外安全公司報道,該組織最早的攻擊活動可以追溯到2004年至2007年期間。2018年,美國提出起訴特別顧問將奇幻熊確定為兩個GRU單位單元26165和單元74455。
此外,巴丁也是美聯邦調查局最想要的網絡犯罪分子之一。
2018年,美國當局曾指控巴丁和其他六名APT28成員在2016年至2018年期間襲擊了民主黨全國委員會(DNC)和世界反興奮劑機構(WADA)。
有媒體這樣報道巴丁:他不開坦克,不開戰機,甚至可能不攜帶武器。上陣時,他只用鍵盤操作。他是公務員黑客,是弗拉基米爾·普京(Vladimir Putin)的網絡士兵,更是連環網絡攻擊犯。
巴丁如何重磅襲擊德國聯邦議院?
這裏,我們就要回到五年前,那場史無前例的德國聯邦議院網絡攻擊戰……
2015年4月30日,黑客組織向德聯邦議院目標投下了誘餌。幾名議員幾乎同時收到了一封電子郵件,發件人地址以“ @ un.org”結尾。
它看起來像是一封來自聯合國的真實電子郵件,主題是:“烏克蘭與俄羅斯的衝突使經濟陷入一片廢墟”。
然而,該電子郵件卻包含一個偽造的聯合國網站鏈接。實際上,該站點已經準備好安裝惡意軟件,一旦目標用户單擊該惡意軟件,該惡意軟件就會立即被安裝在計算機上。
通過惡意軟件,攻擊者進入聯邦議院網絡上,該網絡擁有5600多台計算機,註冊用户多達12,000個。黑客使用多個惡意軟件程序(包括“ Mimikatz”)逐步通過聯邦議院網絡橫向移動滲透。
很快,黑客不僅掌握了大量密碼,還控制了管理員賬户,從而為他們提供了額外的訪問權限。
憑藉這一系列操作,他們不僅成功竊取超16 GB數據,包括德國會議員大量完整電子郵件信息;而且,德國總理安格拉·默克爾(AngelaMerkel)的辦公室成員及重要信息也包括在內……
可以説,這次國家級網絡攻擊事件是德國有史以來從未經歷過的數字攻堅戰。德國整個聯邦IT系統不僅被迫進行了關閉操作。而且,整個網絡攻防戰歷時一個多月才得到有效抑制。
其對德國聯邦議院的重創不言而喻。
為什麼就如此確定是巴丁所為?
上述攻擊發生後,美國協助德國進行調查。今天,德國檢察院的一紙國際逮捕令,將所有矛頭指向德米特里·謝爾蓋耶維奇·巴丁,為何?
根據外國媒體披露顯示,他們所謂的實錘證據如下:
證據一:人臉驗證鎖定目標
調查人員用俄羅斯社交媒體,反向圖像搜索應用程序FindClone,在德米特里·巴丁妻子的VKontakte (VK)社交賬户中,找到德米特里·巴丁的照片。然後,通過在微軟Azure的人臉驗證工具中比較兩張照片來重新驗證後,他們認為這是同一人。
證據二:汽車註冊數據為GRU地址
調查人員在莫斯科汽車登記數據庫中,找到了德米特里·巴丁的購買記錄,其中註冊地址一欄中正是GRU軍事單位26165的地址。
(26165單元的地址登記)
2017年俄羅斯軍事情報部門的一名官員無意中泄露了一份機密文件資料,該資料包括了巴丁個人數據信息在內的305名官員信息,而他們的汽車竟都是用這個註冊地址。
證據三:社交平台暴露黑客求學背景
調查員從巴丁停車所支付停車費用的兩個手機號中,鎖定其個人社交平台VKontakte (VK)的信息。信息顯示:巴丁在彼得堡時期的社交信息很多與聖彼得堡計算機科學大學有關。
而對以往GRU黑客團隊成員的調查表明,大量黑客就畢業於這所學校。
證據四:GRU編碼直接用為賬户ID
如果前兩個案例還不足以證明馬丁身份的話,這次的用户ID就堪比實錘。據調查,馬丁VK和Skype兩個社交賬户的用户名都曾用“scaramouche77”這個名稱。
而再度“巧合”的是APT28用來執行屏幕捕獲和竊取目標憑證的端點工具包就被稱為Scaramouche,個人賬户ID與“職業痕跡”可謂是高度相關聯。