俄羅斯駭進美國總統大選,幕後秘辛曝光!

今年4月初的一個午後,俄羅斯總統普丁在聖彼得堡招集400名記者、部落客以及媒體高層舉行會議。席間普丁神情自若,一派輕鬆接受各方提問,大約1個小時後,1位年輕部落客拿了麥克風,劈頭就問普丁對「巴拿馬文件」的看法?這位部落客指的是1,150萬筆從巴拿馬律師事務所莫薩克馮賽卡(Mossack Fonseca)遭竊的各國政要與菁英海外資產資料。此宗外洩案堪稱史上最巨資料量,共計2.6TB,足以塞滿超過500片的DVD。
新新聞

4月3日,在聖彼得堡會議4天前,許多國際媒體便開始報導這場洩密醜聞,揭露這家巴拿馬律師事務所如何協助客戶錢藏海外並進行大規模貪腐。報導直指普丁跟親信擁有價值高達20億美金的海外空殼公司,據信是用來隱藏其個人龐大資產。聽見部落客質疑,普丁亮出招牌竊笑,不疾不徐地向所有聽眾解釋,「這全是美國的陰謀,美國一直想搞垮俄羅斯,從我們內部製造對政體的不信任。」

普丁的回應或許有理,因為維基解密便曾揭露巴拿馬文件中有人收美國政府的錢。因此,普丁牽涉巴拿馬文件沒說的是,普丁長期也在用海外帳戶搞暗盤密謀推翻美國。今年6月,《華盛頓郵報》披露俄羅斯駭客入侵民主黨主機。7月,化名Guccifer 2.0的駭客與洩密網站「華府解密」(DC Leaks)被指駭進民主黨主席信箱,並在民主黨大會前夕將資料洩漏給維基解密。8月,俄羅斯駭客抓準對美國華府不滿者的心態,用他們的語言製造對選舉制度不信任言論,他們寫道「是不是,美國總統大選已成了一場鬧劇。」駭客的攻擊行動在今年吸引不少媒體目光,入侵民主黨主機只是系列行動的序曲,眾多資安專家認為俄羅斯駭客下一步將會更大 膽,攻擊美國最高情報機構:NSA美國國家安全局。

就在蘇聯解體後5年,俄羅斯間諜早在1996年就有動作,當時美國國防部就偵測到網路遭俄羅斯巨量攻擊。這場行動可說是第一個國與國之間的數位諜報戰,莫斯科入侵者只有一個目標,只要逮到機會就大肆從美國政府電腦竊取檔案。

1998年,那還是個56k撥接上網的年代,俄羅斯駭客便在一場FBI名為「月光迷宮」的駭客行動中,成功從美國海軍電腦中竊取數GB的資料。駭客手法可說高明,先是入侵別人的主機,好比美國海軍在維吉尼亞海灘的超級電腦、某個倫敦非營利組織伺服器、一間位於科羅拉多州的電腦實驗室,接著利用這些遭入侵的主機來攻擊美國海軍電腦。美國空軍情報局事後估算災情,「遭竊取的資料如果全部列印出來,堆起來會有華盛頓紀念碑三倍高。」

俄羅斯駭客明顯與時俱進,還懂得先駭衛星好隱匿其行動。「月光迷宮」、「風暴雲」、「隱形者」,有紀錄的官方行動代號不斷增加,這20年來,前身為KGB的俄羅斯聯邦安全局FSB以及軍事情報總局GRU,不斷對美國政府與軍事機構進行駭客攻擊,美國國家安全局NSA與英國政府通訊總部GCHQ當然也會還以顏色。美俄兩國互駭不是新鮮事,根本只是美蘇冷戰時代下的產物,但入侵民主黨電腦則大條了,這是俄羅斯第一次介入美國總統大選。

俄羅斯情報人員在國內也會搞介入選舉,慣用竊錄與捏造事實的「起底手法」(俄文專有名詞Kompromat)攻擊反對黨政敵。1999年葉爾辛便在國會選舉之際,利用匿名網站造謠抹黑反對黨參選人以及會動搖其地位的未來政治新星。2009年時,一位英國駐俄羅斯資深外交人員爆發嫖妓影帶外洩性醜聞,據信也是俄羅斯情報人員在背後搞的鬼。美國第一位「起底手法」受害者是時任歐洲最高外交官努蘭(Victoria Nuland)。2014年,烏克蘭危 機高峰時,努蘭與美國駐烏克蘭大使通電話抱怨歐盟根本無作為,對話遭竊聽,努蘭一句爆粗口「操他媽歐盟」錄音被放到俄羅斯官方推特帳號上,美國國務院稱這起竊聽是「最低劣的外交手段」。

努蘭竊聽案令美歐關係暫時陷入僵局,俄羅斯當局進一步將此手法伸進美國總統大選。2015年,FBI曾警告民主黨網路有遭駭風險,民主黨原本不當一回事,今年5月發覺事態嚴重時便求助於網路資安公司CrowdStrike,但為時已晚,CrowdStrike發現手法之細膩猶如國家指使,並且揪出分別名為「愜意熊」與「花俏熊」兩組駭客人馬,特別是「花俏熊」的行動剛好就發生在普丁聖彼得堡會議前夕。CrowdStrike研究報告顯示,「愜意熊」隸屬FSB, 「花俏熊」隸屬GRU,好玩的是兩組人馬似乎都不知道彼此的存在。就在同一時間,「華府解密」網站悄悄上線,而網站的推特帳號還公布了北約歐洲盟軍最高司令布里德洛夫(Philip Breedlove)的私密錄音。

故事回到駭客Guccifer 2.0,他被查出是羅馬尼亞人,他否認背後有俄羅斯政府指使,對於自己的駭客犯行,他事後受訪表示「這只是單純的孤狼行徑,只是我個人傑作」,而且為了證明自己是Guccifer 2.0本尊,他公布一連串敏感資料,包括誰是民主黨政治獻金大咖以及川普研究報告。隨著Guccifer 2.0入獄與接續的調查,背後的真相更令人顫慄。

駭客Guccifer 2.0事件爆發後,許多美國資深老駭客、退休情報人員、資安專家、自發性調查團體開始在加密通訊軟體集結,駭客界的復仇者聯盟儼然成形,醞釀著一波波情報反制行動。前英國GCHQ資安專家泰特(Matt Tait),在其推特帳號@pwnallthethings上拆穿Guccifer 2.0謊言。

泰特說,Guccifer 2.0釋出的一份文件有遭到使用俄文的電腦修改,而且該電腦的使用者名稱叫「捷爾任斯基」(Felix Dzerzhinsky),這人可是赤卡(Cheka,KGB前身)的軍情大頭子。再來,利用惡意軟體駭入民主黨主機的電腦,跟2015年駭入德國國會的是同一台,追查源頭正是GRU。當然還不包括電郵中意外留下的俄國人才會慣用的表情符號,而最大的致命破綻是駭客「花俏熊」所使用的「釣魚」技巧──透過電郵寄送假網址,誘人點擊進入假網站洩個資。釣魚技巧本身是成功的,而且「花俏熊」利用當紅縮網址服務Bitly來縮短並管理假網址,每7個收到的人當中會有一個洩漏自己的密碼,但壞就壞在有2個管理假網址的Bitly帳戶竟大意忘了設隱私,導致資安公司追蹤到在2015年10月到2016年5月間,有高達4,000個Gmail帳號遭駭,當中有四成受害者是高階文官、駐外高級軍事將領,甚至包括希拉蕊競選總幹事波德斯達(John Podesta)。

美國2016總統大選可謂駭客滿天飛,就在民主黨於費城召開全國黨代表大會準備推舉總統候選人前夕,維基解密破紀錄公布近2,000封遭駭郵件。媒體將這波外洩郵件聚焦在民主黨內部鬥爭──希拉蕊與桑德斯(Bernie Sanders)黨內初選之爭,而整體態勢似乎對希拉蕊選情有利。民主黨內支持桑德斯者便在費城高舉標語「選舉舞弊,電郵門可恥」抗議,而這波駭客攻擊第一個陣亡者便是民主黨全國委員會主席舒茲(Debbie Wasserman Schultz),遭駭郵件內容顯示她偏袒希拉蕊因而辭職下台。

美國媒體也開始瘋狂追逐駭客找新聞,俄羅斯駭客開始對Politico、The Intercept以及BuzzFeed等網站放消息。9月底時,幕後為俄羅斯操控的洩密網站「華府解密」又釋放了一連串希拉蕊陣營的私密談話錄音。錄音中可以聽到,希拉蕊在一場於維吉尼亞州舉辦的私人募款活動上,批評桑德斯的政見並指支持桑德斯的年輕選民「到現在還住在父母家的地下室裡」。隔沒幾天,川普便在一場公開談話中拿此做文章,「希拉蕊說桑德斯的支持者是還窩 在爸媽家裡的屁孩。」誇張的是川普還補了一句,「我愛死了維基解密。」不過更令人驚訝的,有時俄羅斯駭客竟然只用雲端硬碟傳輸資料。美國調查發現,隸屬俄羅斯FSB的駭客組織「愜意熊」將竊取自商業與政治機構的敏感資料,用微軟雲端硬碟OneDrive傳回莫斯科。此法可說大膽又高風險,好比搭公車離開搶案現場。

故事回到普丁身上,在10月2號一場超過500人的記者會上,曾幹過KGB探員的他對駭客事件做出評論,「駭客是誰指使很重要嗎?會認為美國遭駭等於圖利俄羅斯,其實是轉移美國民眾焦點。駭客問題突顯的是民主黨初選內鬥以及意圖操縱民意,」台下響起一片掌聲,普丁說:「我想我已經回答你關於駭客的問題。」

一封緊急的電郵,在5月6日的清晨叫醒了艾波羅維奇(Dmitri Alperovitch )。36歲的艾波羅維奇是網路資安公司CrowdStrike創辦者,他受美國民主黨全國委員會委託調查駭客入侵事件。他在民主黨主機內植入名為Falcon的網路監測軟體,不到十秒鐘便顯示「網路有俄鬼」。

艾波羅維奇詢問技術人員「真是俄國人所為?」答案是肯定的,而且來源是俄羅斯的情治單位。曾擔任過FBI副局長的CrowdStrike技術總監亨利(Shawn Henry)接下調查任務,誓言揪出幕後神隱者。初步調查,民主黨資料已遭駭客盜了足足有一年之久。

亨利的第一步是安裝軟體監控駭客活動,這招在資安界叫「肩窺法」。第二步是大掃毒,更換民主黨電腦所有軟體,接下來是提高資訊隱密性,艾波羅維奇搬出了老派但又安全實用的密碼設定技巧──隨意翻字典決定登入憑證碼。駭客暫時沒有了動靜,艾波羅維奇帶著員工吃巴西牛排,慶祝階段性任務成功。

駭客有時很像家暴,遇上了通常不會張揚,好比雅虎這類的科技公司,除非法律要求不然不會對外承認遇上駭客。艾波羅維奇心想,民主黨應該會保持低調,但隨著美國總統大選演進,川普與俄羅斯關係的議題浮上檯面,民主黨決定將駭客問題公諸於世,「有客戶願意鉅細靡遺地公布遭駭經歷,這可是資安界的首例。」艾波羅維奇說。他認為要對付駭客不能光站在防守位置,「這樣只會讓敵人做大,而且陷入資料數據泥沼戰,最終還是守方輸。找出元兇是首要目標,第二找出犯罪動機,第三制定反擊計畫。」

艾波羅維奇創立CrowdStrike前,曾擔任防毒軟體公司McAfee技術長,並且跟中國政府的駭客有過交手經驗,但也由於這項經驗讓他見識到駭客背後的政治因素。他曾在一份研究報告中寫到,中國駭客少說竊取了71家國際知名機構的策略文件,當中不乏軍火製造商和國際奧委會。

中國政府下海當駭客這件事令他相當不解,而且當時的McAfee也一直隱匿中國駭客的不法情事。正當艾波羅維奇要將「中國」兩字寫進駭客調查報告時,他接到Intel高層一通電話(Intel買下了McAfee),「把中國兩字拿掉,Intel在中國有大筆生意要做。」他在報告中用「影子鼠」命名中國駭客行動。他被下了禁口令,而且感覺根本不像在替美國公司做事。艾波羅維奇於是自行創了資安公司,主張解決駭客問題不只在技術,更重要的是揪出幕後駭客。正如CrowdStrike宗旨索形容:沒有惡意軟體,只有惡意敵人。曾處理過中國解放軍網路間諜案的美國司法部前副部長卡林(John Carlin)便說,「駭客不單只是諜對諜,其實搞的是經濟破壞。」

揭露俄羅斯駭客令他聲名大噪,更讓外界感興趣的是他為何替俄羅斯駭客取名「愜意熊」跟「花俏熊」化名?熊當然代表駭客的原產地,中國會取為熊貓,伊朗會取為波斯貓,而北韓則會取為千里馬。愜意(Cozy)則是在使用的惡意程式原始碼中出現coz字;花俏(Fancy)單純就是原始碼中的Sofacy字樣聯想到澳洲歌手Iggy Azalea歌曲〈Fancy〉。

外界當然也質疑駭客是否真的來自俄羅斯, 尤其當一位來自東歐、化名Guccifer2.0的部落客聲稱是他入侵民主黨主機,並且在附有盜取文件的部落格中寫著「全是我一人幹的,CrowdStrike,操。民主黨下次挑廠商時腦子清楚點。」艾波羅維奇憑他20年資安經驗,駭客沒有單獨行動這回事,Guccifer2.0出來放話只是一種障眼法。另外他又發現俄羅斯駭客的動機很不單純,每個洩密動作都是為了影響美國選民、涉入美國總統大選。從民主黨主機洩露出來的資料,可以看到黨內偏好希拉蕊出馬選總統,而且還有一位全國委員會主席因此下台。

他甚至懷疑民主黨國會選舉委員會遭駭也是俄羅斯駭客所為──近200位民主黨眾議院議員的電郵與手機號碼被放到網路上。許多議員紛紛接到恐嚇與騷擾電話,民主黨眾議院領袖裴洛西(Nancy Pelosi)告誡議員,「換個新門號,然後手機離孩孫們遠一點。」他向技術總監亨利抱怨美國政府遲遲無所作為,「這些俄國佬怎麼都沒受到懲罰,他們搞的是議員耶。」一位在美國政府工作的朋友告訴他,如果這時公布是俄羅斯所為,這等同於替希拉蕊助選。過不久,美國前第一夫人蜜雪兒歐巴馬的護照在網路上給人看光光,他震怒地說:「這擺明是普丁在跟我們比中指。」

艾波羅維奇是俄羅斯移民,1980年在莫斯科出生,他的父親是核子物理學家,在1986年成功逃過車諾比核災。1994年他隨父親搬到加拿大,之後再遷到美國田納西州。艾波羅維奇從父親那學到了密碼學,手邊沒電腦時就會在紙上寫下電腦演算算式;他深愛數學,也知道密碼學的致命缺點,「如果鑰匙給偷走了,鎖再堅固也沒有用。」從喬治亞理工學院畢業後,他的第一份工作是撰寫防堵垃圾郵件軟體。

2005年,FBI找上門合作,請他協助破獲俄羅斯信用卡盜刷集團。他教導FBI探員如何在俄羅斯黑道出沒的論壇潛水以及使用俄羅斯黑話。他與FBI探員這項網路臥底計畫,一共逮捕了56位信用卡盜刷份子;2010年,他協助谷歌調查中國駭客入侵中國人權運動者Gmail帳號。與駭客有眾多交手經驗的他,一直對美國政府回應駭客慢半拍的態度頗有微辭。2014年索尼影業遭駭,他花兩個小時就揪出是北韓在搞鬼,索尼影業要他發佈,不過FBI卻將消息壓了三週以確認是否真是北韓。國土安全部副部長、同時也是他喬治亞理工學院同學史耐克(Phyllis Schneck)告訴他,這是為了謹慎,確保敏感資訊要絕對正確。

然而在習進平2015年訪美,與歐巴馬一起發表中美兩國共同打擊商業駭客言論後,中國駭客的數量大幅減少。不過艾波羅維奇仍對美國政府不願正面承認俄羅斯駭客一事感到不滿。他在政府機關任職的友人告訴他,美國在敘利亞內戰中需要俄羅斯的協助,不宜製造兩國敵對關係。但情勢就在俄羅斯大規模轟炸敘利亞、美俄敘利亞停火協議破局後有了大轉變。

就在第二次總統大選辯論前兩天的10月7日,艾波羅維奇接到一通電話,告訴他美國政府打算對外發表民主黨主機駭客事件幕後主使者。在不自由的國度誕生的艾波羅維奇深知資訊自由公開的重要,現在他在資訊安全領域上打了一場勝仗,白宮向他諮詢該如何回應俄羅斯的所作所為?他向在場官員說:「得留些情面給他們,將衝突升高並不會有助於解決事端。」··· 閱讀更多
君子時代

本文摘錄自‎

俄羅斯駭進美國總統大選,幕後秘辛曝光!‎

君子時代雜誌國際中文版

2017/1月 第137期