这个故事始于一场离奇的诈骗案,有人试图从一名在英国的沙特校长手中骗取200欧元的签证费,最终以提出5000万美元的赎金要求和荷兰外交警察的追捕结束。而这时,沙特国庆日(9月23日)快到了。
文件显示了此次攻击的细节和沙特的回应。这为政府如何应对可疑的民族国家袭击提供了一个有趣的例子,并对世界各国大使馆的安全能力提出了质疑。
一名黑客声称恐怖组织伊斯兰国(ISIS)在2014年8月,控制了沙特驻荷兰大使馆官方电子邮件帐户,并向位于海牙的十多个大使馆发送了电子邮件,要求向ISIS支付5000万美元,不然他们将会炸毁一个重要的外交接待处。
这次网络攻击破坏了沙特大使馆的非涉密计算机网络。攻击者通过在大使秘书的工作站上安装了一个普通的恶意软件(rootkit),控制了大使馆官方电子邮件帐户。
尽管进行了内部调查,但没有人被正式追究责任。鉴于此次攻击的复杂程度较低,无法确定此次攻击是否真属于ISIS有组织行动的一部分,或者来自一个随机的支持者,还是一个伪装成ISIS的动机不明的民族国家情报机构所为。
入侵的第一个标志
文件显示,大使馆开始意识到有一些不对劲是在十年前曾是一个英国学校校长(该学校有由沙特皇室资助的激进的伊斯兰教科书)的 Dr. Sumaya Alyusuf,向沙特大使馆发送邮件,请求协助她获得印度签证,而随后大使馆要求她通过MoneyGram进行200欧元的汇款的时候。
当时控制着沙特大使馆官方电子邮件账户的攻击者,在2014年8月26日通过沙特驻伦敦大使馆的地址回复Alyusuf,要求她通过MoneyGram向沙特驻英国大使Mohammed bin Nawaf bin Adbul Aziz进行汇款。邮件中写道:一旦我收到您的回复,我会确保签证快速发放给您。
目前尚不清楚攻击者将如何收取或者是否真的想要获得这笔200欧元的费用。
文件显示,Alyusuf打电话给沙特大使确认这个奇怪的请求。意识到情况不对,秘书让Alyusuf将邮件转发到她个人Gmail账户。秘书随后将这件事告诉了大使。
大使开始进行调查。事件响应小组在沙特大使馆的网络邮件账户中发现了发送给Alyusuf的电子邮件。当时大使馆的非涉密网络供应商是一个家互联网服务供应商,通过一个关联电子邮件帐户进行通信。该电子邮件帐户的密码是“123456”。由于秘书的工作站被配置为使用POP3/SMTP,而且她从未直接使用过网页版邮件,所以很明显有人入侵了其网页版邮件。
大使馆的进一步调查发现,秘书的工作站上被安装了恶意软件。为了在VirusTotal上进行查询,CSO与Chronicle的Brandon Levene分享了这些恶意软件的散列(hash)。Chronicle是Alphabet/谷歌公司集团的一部分。其散列与AutoIt恶意软件家族相匹配,后者经常用于传递密码窃取恶意软件ISR Stealer的有效载荷。
Levene在电子邮件中写道:
这种名为ISR Stealer的恶意软件,是恶意软件家族一个名为HackHound的恶意软件的修改版本。你可以在YouTube很轻松地找到关于如何获取和制造它的视频。我对它可获得性评级是很容易获取(而且已经有5年多了)。 |
由于无法获得第二阶段ISR Stealer有效载荷的散列,所以无法通过其使用的特定二进制文件对其进行反向工程,来确定恶意软件连接到的命令和控制服务器的位置。
作为对这一事件的回应,大使馆的IT人员清理了秘书的工作站,重新安装Windows来删除恶意软件,并将电子邮件帐户的密码改为比“123456”更强的密码。
敲诈勒索升级到5000万美元,并发出炸弹威胁
两周后,在2014年9月6日,星期六,沙特大使秘书的个人Gmail账户收到一封伪造的电子邮件,该邮件发自本应恢复安全的沙特大使馆官方电子邮件账户。这封电子邮件要求她拨出3500万美元支持ISIS,否则他们的攻击者将对9月25日在海牙举行的沙特阿拉伯国庆日(Saudi Arabian National Day)庆祝活动进行破坏。这是一场将接待数百名外交贵宾的大使馆招待会。
那个周末,攻击者向海牙的十多个其他大使馆发送了类似的电子邮件,其中包括阿曼苏丹国大使馆、巴基斯坦大使馆,以及荷兰的两个独立部门。这些伪造的电子邮件是通过印度的一个电子邮件服务发送的,还有一些是通过尼日利亚的一个开放代理发送的。
电子邮件中向其他大使馆索要的金额要少一些,为2.5万欧元。
我希望获得您的资金支持,控制针对大使馆的一些行为迫在眉睫,因为许多生命收到了威胁,这是ISIS的行为,我需要您进行保密。如果您能够在星期二之前转账25000欧元,请告诉我。 我会向您提供一个机密帐户。请帮助我拯救无辜的生命。 |
荷兰外交警察对涉及荷兰境内外交人员的犯罪案件拥有管辖权,他们向海牙的其他大使馆发出了威胁警告。9月9日,也就是接下来的周六,袭击者再次伪造了沙特大使馆的官方电子邮件地址,将一份威胁警告的副本转发给了几个大使馆,并将敲诈勒索的金额提高到了5000万美元。事件响应小组急忙调查攻击者是如何获得机密信息的。
在离沙特国庆日只有两周时间的时候,调查人员发现了三个可疑的配置规则。其中一个规则是自动将所有发送到沙特官方电子邮件帐户的邮件转发到一个名为live.com的代理电子邮件帐户中。这使得攻击者可以看到所有发送到大使馆的官方电子邮件。
第二个规则是把从秘书到大使私人Gmail邮箱发送到大使馆的所有邮件都移至垃圾桶。第三个规则是,把所有来自Dr.Sumaya Alyusuf工作邮箱的邮件都移至垃圾桶。
事件响应小组禁用了这些规则,并告知外交警察此事。无论是Alyusuf,沙特大使的秘书,还是大使馆,都没有回复我们的电子邮件,对此置评。
黑客身份不明
谁对这次攻击负责仍是一个悬而未决的问题。攻击复杂性低意味着攻击者可能是任何人。前美国国防部网络犯罪调查员Jim Christy表示:
这听起来像是一次很普通的攻击。可能是任何人,可能是一个孩子,可能是一个组织,可能是一个伪装成ISIS的国家,使用不太复杂的工具进行的攻击。我们经常见到这种情况。如果他们不需要使用他们的秘密武器,一些普通的工具就能奏效。 |
Levene也认为,这种攻击的复杂性较低,因此很难定位攻击者。Levene表示自己对ISIS使用的工具没有亲身经验,他们发现ISIS的技术敏锐性和工具都表明攻击者的攻击复杂程度较低 (例如使用现成的、容易获取/免费/破解的工具)。
然而,反恐专家Max Abrahms认为,从地缘政治角度看,ISIS袭击沙特阿拉伯大使馆毫无意义。他指出,大量沙特国民加入ISIS,成为了外国武装分子。
没有哪个国家的意识形态比沙特阿拉伯更像ISIS。 |
Abrahms提出,土耳其可能是此次袭击的幕后黑手。他表示,提到恐怖主义,土耳其首先想到的不是ISIS,而是库尔德人(Kurd)。这么看来土耳其帮助ISIS有明显的动机。
至于是谁发动了这次攻击,没有人能够确定。然而有一件事我们很确定:不要使用“123456”作为您官方大使馆电子邮件帐户的密码。
原文地址:
https://www.csoonline.com/article/3386381/inside-the-2014-hack-of-a-saudi-embassy.html
【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】