他們黑入了世界反興奮劑組織,激怒了白宮,在世界體育領域掀起了一股冷戰之風。他們公布了127名裡約奧運會運動員的禁藥資料,包括拜爾斯、威廉士姐妹、艾琳娜·戴爾·多恩、維金斯、弗洛姆、坎切拉拉這些明星。
裡約奧運會正在進行。汙點證人維塔利·斯特潘諾夫和他的妻子柳拉,800米選手,正在美國吃早飯。他們因為揭發俄羅斯的有組織禁藥問題、包括有些同行死因可疑,而躲在美國。維塔利說:「我在看郵件,有一封寫給柳拉的郵件,讓她更改ADAMS的密碼,那是黑客的陷阱。幾天之後,世界反興奮劑組織通知我們,說帳戶被黑了,黑客知道我們住在哪裡了。我們害怕了。」因為斯特潘諾夫的告密,很多俄羅斯選手沒能參加裡約奧運會。
奧運會一結束,一夥名為Fancy Bears的黑客,在9月13號公布了第一批醫療材料,「12位美國選手禁藥藥檢陽性」。他們公布的是醫療用藥物使用許可,有些藥物是禁藥,但出於治療目的,運動員可以被允許使用。法國重劍選手高提耶·格魯米耶說:「他們公布了2009年我在犯嚴重過敏時,服用的藥物,我看到後先是笑了,然後慢慢笑不出來了。因為在網上搜索,我的名字和禁藥緊密聯繫在一起了。」
Fancy Bears也掀起了關於治療用藥合法性的討論。有些藥物是無足輕重的,有些藥物則讓人感覺好麻煩。比如美國體操運動員拜爾斯的用藥是針對注意力不集中……而這位四枚奧運金牌得主的最大優勢就是注意力集中。納達爾也被提及了,2009年和2012年兩次用藥,為了治療傷病。英國運動員莫·法拉,奧運會5000米和10000米冠軍,在2008年和2014年兩次接受了藥物注射。還有維金斯,他曾經三次注射了一款治療哮喘的藥物,阿姆斯特朗和拉斯姆森也都用過。這款藥物的另一種功用是減輕體重。而維金斯之前一直聲稱他拒絕接受注射治療。而他三次注射都是在大賽前,2011年和2012年的環法前,2013年的環意前……
fancybear.net上會公布訊息,也會在推特上公布,散步消息給媒體。有網站視覺設計師,根據其網站的風格,推算出其想傳達的信息,「我們是黑客,但我們是好人……」。這個網站設計看上去不咋樣,其實很有心。
他們的自我介紹是:「我們是Fancy Bears,一個國際黑客組織。我們為了公平競爭和乾淨的體育而戰鬥。」他們震驚了體育圈。世界反興奮劑組織的主管奧利維耶·尼格裡說:「我們起訴了。加拿大警方和美國一個調查網絡安全的機構FireEye都在調查。」
黑客的手法比較傳統,他們採用了「Spearphishing」,發一封郵件給潛在的受害者,盜取其安全信息,比如密碼。八月份,Fancy Bears也得到了世界反興奮劑組織為國際奧委會開的帳號的數據。這讓他們可以得到所有奧運會參賽選手的醫療檔案。他們公布的名字基本都是西方的,而且是在俄羅斯代表團被驅逐之後。同樣是這撥黑客,在黑美國民主黨。如今CIA、FBA和NSA認為這是對俄羅斯運動員被驅逐的報復。
FireEye在確認熊的身份上進展很快。這夥人的手法與FireEye從2007年開始跟的一伙人的手法很像,他們將其命名為APT28。世界各地的網絡安全公司在跟蹤著各個國家的黑客們,每個公司都有自己的命名系統。FancyBears、APT28、Sofacy、Tsar Team和Pawn Storm都是指的這夥人。APT的意思是「Advanced Persistent Threat」,持續的高階的威脅,28意思是第28類攻擊。FireEye的250位分析師,會展開調查,弄清其中的原委。
APT28有很多大罪,比如攻擊北約和歐洲安全合作組織、德國議會、負責調查MH17航班(2014年7月在烏克蘭被擊落)的丹麥安全辦公室,當然還有美國民主黨。APT28的攻擊還有另一夥名叫APT29或者CozyBear的人的支持。這次攻擊媒體曝光度很高,FBI將其命名為「Grizzly Steppe」。
APT28的還有個傑作是在法國。2015年4月9日,法國TV5世界臺開播新頻道,各路部長和媒體都很關注。晚上,TV5世界臺的總監伊夫·比戈在餐廳請加拿大同行吃飯,氣氛融洽。到了20點40,比戈收到了一連串的信息。頻道在200個國家停播了,他們被攻擊了。凌晨,15位法國信息安全機構的專家過來,拯救頻道。
裡約奧運會期間,國際奧委會被網絡攻擊不低於5億次,其中有簡單的盜用密碼,也有25次試圖讓奧運會中止的嘗試。
法國信息安全機構的主管吉羅姆·普巴爾,必須通過法國國防部秘書處的軍用電話和電腦才能聯繫得上。他說:「TV5世界臺的攻擊很複雜。黑客是通過phishing的手法進來的,觀察了兩個月,弄清楚了網絡,然後發出了中止一切的命令……」法國電視臺90%的機器被影響了,帶來了900萬歐元的損失。
普巴爾說:「這次攻擊是多種手法的綜合。需要有能力的人的團隊行動。」
FireEye的技術主管大衛·格魯特說:「我們指的不是那種坐在堆滿電腦和匹薩的房間裡的四個大鬍子男人。」
APT28是一個可怕的組織。大部分專家的意見是他們是俄羅斯的。格魯特說:「在我們的圈子裡,事情會很複雜。我們做出很多假設。我們觀察到這個團夥用的是西裡爾鍵盤,或許他們其中有人偶爾搜索俄語,但如果指向俄羅斯人的線索在三四十次行動中反覆出現。那就不是偶然了。」普巴爾說:「但問題是,各種推斷在法官面前不是最終的證據。」
世界反興奮劑組織要求俄羅斯體育部停止攻擊,就像國際奧委會主席巴赫也要求的那樣。如今,FBI、CIA和NSA的聯合報告揭示了從俄羅斯的不同來源,從安全組織到與網絡犯罪相關的個人黑客。
1998年俄羅斯金融危機之後,有一部分年輕的工程師被失業困擾,在聖彼得堡、Stavropol、Novossibirsk與網絡犯罪組織勾結。他們的犯罪往往規模還不小。有一個哥們,名叫Evgueni Mikhailovick Bogatchev,是黑客界的傳奇,他從黑海邊的小城Anapa發出攻擊,偷竊了大概1億美元。FBI許諾,誰能抓到他,獎勵300萬美元。他33歲,喜歡豪車和帆船。據說他與俄羅斯安全部門達成協議,在烏克蘭戰爭中出力,從而換得不坐牢。俄羅斯在數學和計算機科學上很強,俄羅斯的名校在國際編程比賽中,經常是霸主,能夠戰勝日本、中國等百餘支大學隊。
格魯特說:「Fancy Bears不是我們想像的那種黑客,什麼只玩計算機,不和父母說話。有一個類似的中國的黑客組織,我們命名為APT1,他們會做研發,根據既定目標設定計劃。這個組織有上千人。」
APT28的人數少一些,估計有幾百人,但能力同樣強大。組織內部結構嚴密,級別鮮明。格魯特說:「他們的研發團隊年齡在三四十歲的區間,開發者的年齡小一些。另外還有幾個衛星團隊,比如攻擊世界反興奮劑組織的團隊。」格魯特說:「我們面對的是人,而不是發送廉價酒店信息的機器人。他們可以發動團隊,攻關數小時,搞懂Adobe Flash是怎麼運作的,尋找你電腦上的弱點,裝入他們的程序。」
APT28可以將惡毒程序XAgent安裝在烏克蘭軍隊的移動終端上,或者用來對付美國民主黨。同樣的程序可以用來曝光希拉蕊·柯林頓的競選主管John Podesta的9000封郵件。這個工具還可以用來恢復手機上的簡訊、通信錄、圖片,或者遠程錄音。
面對著此種手段,網絡安全公司相信這家黑客組織的贊助人是俄羅斯政府以及其安全部門。美國公司Crowdstrike甚至認定這家黑客組織與俄羅斯軍隊的信息管理部門相關。格魯特說:「APT28的攻擊目標都是軍隊或者戰略性的,我們覺得他們與俄軍信息部門相關。」芬蘭信息安全公司FSecure的主管艾爾卡·庫伊弗寧說:「我們相信他們是為了俄羅斯的利益而工作的。」CIA方面的判定也是一樣的,好奇怪的冷戰氣氛。
The Dominican是布魯塞爾大皇宮附近的一家酒店。我們在這裡拜訪了雅克·博,他之前在瑞士安全部門工作,是華沙條約專家。他60多歲,多年來研究俄軍信息戰部門。他明白俄羅斯人的行為方式。他對於CIA和網絡安全公司的判斷並不認同,「這完全不是俄軍信息戰部門的行為方式。風險太大了。另外,俄軍信息部門的能力完全不遜色於NSA,不需要藉助於黑客的力量。」
博說:「在克格勃解體後,信息安全部門在政府機構FAPSI下重組。普京上臺後,他將這個部門的一部分信息安全工作給了安全部門,但在一個總統安全部門中保留了很大一部分工作。俄軍信息安全部門也發展了起來,但我堅決不認為他們與FancyBears的行動有關聯。」
埃裡克·德內西,法國信息研究機構的主管,也持相同意見。「俄軍信息安全部門絕對不會和單一一個黑客組織合作。即便要合作,也會用以色列或中國的黑客組織,不留下痕跡。他們不會犯如此愚蠢的錯誤。」
博認為Fancy Bears是一群俄羅斯的愛國者,但不會是接受了克裡姆林的指令。德內西也認同,但說:「也有可能俄軍安全部門的人會給他們指出一些良好的攻擊目標。」但在世界範圍內,有些黑客組織,確實會與政府的信息安全部門多多少少有些關聯。
格魯特說:「政府完全可以說他們與類似黑客組織毫無關聯。」政府可以放任不理。2008年,俄羅斯國內信息安全部門,有一條法規,規定了可以查看國內所有的上網行為。那麼俄羅斯政府完全可以了解APT28的行為。俄羅斯政府還表示:「愛國主義不是非法的。」普京也說:「我們不支持網絡攻擊,但他們所做的,對於國際社群和體育社群並非完全沒有好處。」
那為何黑客們會同時攻擊軍事政治目標和體育目標呢?索邦大學的教授奧利維耶·弗爾加德說:「俄羅斯人眼中,一切問題都是全球問題。對於俄羅斯人來說,信息安全部門和體育部門一直都是相互糾結的。」法國國際關係學院的於連·諾賽迪說:「體育一直都是地緣政治的一個因素。體育有著強大的象徵意義和象徵力量,有著彌補缺陷的作用。」體育,是軟實力。弗爾加德說:「在俄羅斯人眼中,體育依然是國家的主要議題,是與其他國家的競爭。」
如果說俄羅斯運動員的大面積禁藥行為與政府機構有關聯,那麼在俄羅斯運動員被大量禁止參加奧運會後,俄羅斯黑客們的行為也很可能是同樣關係。
格魯特說:「這是新鮮事物。直到2014年,APT28主要在國土安全和大的國家項目中行動。2014年以來,他們主要在傳播和施加影響力中使用黑客技術。」諾賽迪說:「他們就是要竊取機構的數據,公布,從而讓機構失去公信力。世界反興奮劑組織和美國總統大選這種,都是為了激發人們的不信任感,抹掉謊言和真實之間的界限。激發公眾的懷疑,擾亂精英們的決策能力。其實這種策略人們在1920年代就使用了。」
Fancy Bears的效率很高。他們擾亂了世界反興奮劑組織的工作。但他們並沒有拿出最直接的禁藥案例。或許這只是個開始,誰知道他們手裡還有哪些數據。