2016年7月一个周日的晚上,对上述行动的需求突然出现。此前的两周,我大部分时间都在克利夫兰和费城参加共和党与民主党的全国大会。整个周末,我都在加班处理被搁置的工作。到了晚上,我正要结束一天的工作稍事休息,突然收到一封标有“紧急”的邮件。打开这封邮件的时候,我根本没想到,这会是一场大规模运动的开端,这场运动将使整个科技行业面临考验,挑战它勇敢站出来捍卫民主的勇气。
这封邮件来自微软的副总法律顾问汤姆·伯特,邮件的主题是“紧急DCU问题”。DCU是微软的反数字犯罪部门(Digital Crimes Unit)的简称,它是汤姆管理的团队之一。15年前,我们创建了这个团队,到目前为止它在科技行业仍然是独一无二的,这让我颇感惊讶。这个团队的成员包括分布在全球各地的100多人,其中包括前检察官和政府调查人员,以及顶级司法鉴定专家、数据分析师和商业分析师。DCU的创建源于20世纪90年代我们的防伪工作,但随着我们看到新形式的犯罪活动开始在互联网泛滥,DCU逐渐演变为一个与执法部门密切合作的数字SWAT(特殊武器与战术)小组2。
10天前,在2016年民主党全国大会召开前的周五,维基解密发布了俄罗斯黑客从民主党全国委员会(DNC)窃取的电子邮件。这成为贯穿整个会议那一周的重大新闻。随着时间推移,我们的威胁情报中心MSTIC监测到新的独立黑客攻击企图,这些攻击来自Strontium(锶)——我们给俄罗斯黑客组织的代码,它还被称为Fancy Bear(奇幻熊)和APT28。汤姆的团队准备在周二发动一场合法的攻击来击毁Strontium。
联邦调查局和情报部门已经将Strontium与俄罗斯军事情报机构GRU联系起来。汤姆报告说,Strontium正在试图欺骗微软服务,以入侵多位政界人士的账户,其中包括民主党全国委员会和希拉里·克林顿的竞选账户。这将我们拖入了故事的中心。
MSTIC自2014年起就开始监控Strontium,因为我们发现它进行所谓的鱼叉式钓鱼攻击(spear-phishing attack),即通过发送精心伪装的电子邮件作为诱饵,诱使目标点击来自看上去可信的网址链接,其中一些网址包含微软的名称。随后,Strontium将使用各种复杂的工具来收集密钥、电子邮件地址和文件,以及从其他计算机收集信息。该组织甚至使用一种工具来感染与电脑连接的USB(通用串行总线)存储设备,试图从其他完全与互联网隔离的密闭计算机中检索数据。
与普通黑客犯罪组织相比,Strontium不仅技术更先进,而且更执着,它会在很长一段时间内向选定的目标发送大量网络钓鱼电子邮件,而成功地欺骗高价值目标显然值得投资。
尽管许多电脑用户已经知道这种欺骗策略,但仍很难与之抗争。正如某人在旧金山网络安全公司RSA年会上发推特所说:“每个机构都至少有一个员工什么东西都敢点开。”这项技术利用了人们的好奇心和粗心大意。当分析黑客的活动时,我们发现,一旦他们成功地侵入一个电子邮件账户,他们经常做的第一件事就是搜索关键字——“密码”。随着人们为越来越多的服务积累了越来越多的密码,他们经常给自己发送包含“密码”的电子邮件,从而为黑客搜集密码大开方便之门。
2016年7月,MSTIC监测到Strontium试图注册新的互联网域名来窃取用户数据。Strontium已经开始在这些域名中使用Microsoft一词,例如microsoftdccenter.com,以使链接看起来像合法的Microsoft支持服务。DCU整个周末都在制定一个法律策略来解决这个问题,正如汤姆在周日报告所说,他们已经准备好实施关闭这些网站的计划。
这个计划建立在DCU此前不断探索的法律和技术创新之上。我们将走上法庭指控Strontium侵犯了微软的商标权,并在此基础上要求将这些新互联网域名的控制权转移到DCU。从某种意义上说,这部分具备创新性,但也相对一目了然。商标法已经存在了数十年,目前它禁止某人未经许可便将注册商标,如“微软”,纳入其网站名称。
从技术方面,我们将在DCU的司法鉴定实验室内创建一个安全的“排水口”,与我们网络的其他部分完全隔离。这个“排水口”将拦截从受感染计算机向Strontium的命令和控制服务器发回的所有通信。这样做的目标是控制Strontium的网络,识别哪些客户已被感染,然后与每个用户共同清理受感染的设备。
我非常喜欢这个主意。这是一个典型的例子,说明了我们建立DCU的初衷,即让我们的律师和工程师以一种对客户产生真正影响的方式共同创新。尽管这个案件不一定会取得成功,但汤姆十分乐观,并建议我们周二上午立即在弗吉尼亚州联邦法院采取行动。我批准了他们的要求。
这种新颖方法的好处之一是我们可以不费力气地赢得胜利——我们几乎可以保证,黑客们不会出现在法庭上为自己辩护。他们怎么能这么做呢?他们将会令自己身陷司法管辖甚至遭到起诉。DCU团队已经成功地实现了一些我们一直努力实现的目标,但通常大费周章。我们的这个法律策略则把黑客的优势,即隐身于暗处的能力,变成了他们的弱点。
我们打赢了官司,夺回了互联网域名的控制权,并开始与受害者接触和合作。尽管法庭文件是公开的,也有一份安全类出版物报道了我们的所作所为3,但其他媒体对此没有给予任何关注。这次胜利给了我们信心继续采取这一策略。我们14次回到法庭,收回了Strontium的90个域名,同时我们还说服法庭任命一位退休法官作为特别法官,以便更快地批准我们的申请。(www.xing528.com)
到2017年初,我们发现了旨在侵入法国总统候选人竞选团队的行为。我们向竞选工作人员以及法国国家安全局发出警报,以便他们能够采取更强有力的安全措施。我们使用我们的数据分析功能来识别当前和未来的发展趋势,并开发了一种人工智能算法来预测黑客在未来可能会寻求注册的域名。这些都不是一招制敌的必杀技,而只是又一轮猫抓老鼠的游戏。不过,至少现在猫有了一些新的利爪。
不幸的是,老鼠也变得越来越聪明,并在美国总统大选过程中使用了尚没有人完全了解的先进工具。2016年,有人通过武器化的钓鱼邮件窃取并泄露了邮件通信内容,公开羞辱了希拉里·克林顿的竞选班子和民主党全国委员会的领导人4。
2017年,他们在法国更进一步,泄露了一系列与埃马纽埃尔·马克龙总统竞选相关的电子邮件,其中部分是真实的,部分则是伪造的5。尽管微软DCU和科技行业的其他团队找到了新的办法解决这个问题,但很快就可以明显地看出,老鼠和我们一样迅速地进行了创新。
我们紧紧追踪着Strontium在世界各地的黑客入侵行为。值得注意的是,它的攻击目标遍布90多个国家,主要集中在中欧和东欧、伊拉克、以色列和韩国。
在正常情况下,这种攻击本应引发美国及其北约盟国的一致强烈反应,但当时恰好不是正常时期。由于美国发生的攻击事件与2016年总统大选的合法性关系紧密,所有可能的两党讨论全不在考虑范围之内。我在华盛顿特区与我们的两党政治顾问小组开会时指出,两个党派都让我们大失所望。许多共和党人不愿意抨击俄罗斯人,因为他们认为这样做会间接削弱共和党人当选总统的可能性。而一些民主党人似乎更乐于批评唐纳德·特朗普,而不是针对俄罗斯政府采取有效行动。这种情况的结果是,我们眼睁睁地看着第二次世界大战后捍卫民主的一个主要支柱在我们眼前崩溃,那就是一个得到美国公众支持、团结一致的两党领导层,这个领导层本可以团结我们的北约盟国。当我诉说我的沮丧之意时,我们的政治顾问频频点头,然后其中一个人说道:“欢迎来到华盛顿。”
看上去,仅靠科技行业自身的力量不太可能扭转这一趋势。2017年底,我在访问西班牙和葡萄牙时亲耳听到了来自政府官员的呼吁,这两国的人越来越担心俄罗斯的黑客行为。虽然面临压力,对我们需要做得更多这一点也有明确的共识,但如果不能针对我们所看到的情况进行公开明确的讨论,我们也很难赢得公众的支持。
我们面临的一个最大挑战是如何公开谈论这些威胁。每个科技行业的领军者都不愿点名指责任何人,我们也是如此。我们只是一家公司,不是政府,虽然我们都经历过政府的批评,但我们并不习惯指责一个外国政府不当使用我们的平台和服务。不过,有一点日益明显,如果我们继续保持沉默,则有可能使我们希望努力制止的威胁变为现实。
我们内部针对“俄罗斯问题”进行了激烈的讨论。如果我们公开指责俄罗斯政府与黑客组织有联系,我们担心它会进行报复,打击我们在那里的商业利益和员工。我们试图让我们在俄罗斯私人和公共部门的客户放心,我们对其政府的担心并不意味着我们会背弃他们或他们的国家。毕竟,在奥巴马和特朗普任内,我们已经5次起诉我们自己的政府。在移民问题上,我们也直率地表达了与特朗普政府的不同立场。这并不意味着我们不再致力于在美国各地继续参与和支持相关行动,但大家怎么能指望我们一方面批评美国的监视和移民政策,一方面对俄罗斯破坏民主社会的行为三缄其口呢?
2017年底,我们又发现了针对我们服务的新一轮电子邮件黑客攻击,这次的对象是2018年美国中期选举里竞选连任的参议员。在任何账户的信息遭到泄露之前,我们通知了受攻击的参议院办公室。因为没有人愿意公开评论这些被阻止的攻击,我们也保持了沉默。
2018年7月,汤姆·伯特作为演讲嘉宾参加了阿斯彭安全论坛,并在一个小组讨论中提到,我们发现并帮助阻止了两次针对竞选连任的国会议员的网络钓鱼攻击。他没有透露议员的姓名,新闻界对此也没有太多关注。不过,科技新闻网站《每日野兽》做了一些功课,并确认了其中一名受到攻击的议员——密苏里州参议员克莱尔·麦卡斯基尔6。媒体的兴趣突然爆发,我们很快就听到,白宫战情室正在举行简报会讨论这个情况。麦卡斯基尔很快做出反应,发表了一份措辞强硬的声明,表示:“虽然这次攻击没有成功,但不可容忍的是他们认为自己能全身而退。我绝对不会被吓倒。”7这正是我们第一次向她的工作人员提出请求时就希望她做的事情。
我们从这件事中得到一个重要的教训,那就是,国会工作人员和我们一样,并不习惯公开讨论此类攻击。尤其是如果我们首先接触的是一个机构中的IT人员,决策过程将拖上几个月,实际上意味着没有人会做任何表示。但是,如果同样的问题直接向机构的高层提出,人们不难猜出他们会说些什么。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
