2014年黑客攻击沙特大使馆内幕

这个故事始于一场怪僻的诈骗案，有人试图从一名在英国的沙特校长手中骗取200欧元的签证费，最终以提出5000万美元的赎金要求和荷兰社交警员的追捕竣事。而这时，沙特国庆日(9月23日)快到了。

文件表现了此次进攻的细节和沙特的回应。这为当局怎样应对可疑的民族国度打击提供了一个风趣的例子，并对天下各国大使馆的安详手段提出了质疑。

一名黑客声称可怕组织伊斯兰国(ISIS)在2014年8月，节制了沙特驻荷兰大使馆官方电子邮件帐户，并向位于海牙的十多个大使馆发送了电子邮件，要求向ISIS付出5000万美元，否则他们将会炸毁一个重要的社交迎接处。

这次收集进攻粉碎了沙特大使馆的非涉密计较机收集。进攻者通过在大使秘书的事变站上安装了一个平凡的恶意软件(rootkit)，节制了大使馆官方电子邮件帐户。

尽量举办了内部观测，但没有人被正式追究责任。鉴于此次进攻的庞洪水平较低，无法确定此次进攻是否真属于ISIS有组织动作的一部门，可能来自一个随机的支持者，照旧一个伪装成ISIS的念头不明的民族国度谍报机构所为。

入侵的第一个符号

文件表现，大使馆开始意识到有一些差池劲是在十年前曾是一个英国粹校校长(该学校有由沙特皇室扶助的激进的伊斯兰教科书)的 Dr. Sumaya Alyusuf，向沙特大使馆发送邮件，哀求帮忙她得到印度签证，而随后大使馆要求她通过MoneyGram举办200欧元的汇款的时辰。

其时节制着沙特大使馆官方电子邮件账户的进攻者，在2014年8月26日通过沙特驻伦敦大使馆的地点回覆Alyusuf，要求她通过MoneyGram向沙特驻英国大使Mohammed bin Nawaf bin Adbul Aziz举办汇款。邮件中写道：一旦我收到您的回覆，我会确保签证快速发放给您。

今朝尚不清晰进攻者将怎样收取可能是否真的想要得到这笔200欧元的用度。

文件表现，Alyusuf打电话给沙特大使确认这个稀疏的哀求。意识到环境差池，秘书让Alyusuf将邮件转发到她小我私人Gmail账户。秘书随后将这件事汇报了大使。

大使开始举办观测。变乱相应小组在沙特大使馆的收集邮件账户中发明白发送给Alyusuf的电子邮件。其时大使馆的非涉密收集供给商是一个家互联网处事供给商，通过一个关联电子邮件帐户举办通讯。该电子邮件帐户的暗码是“123456”。因为秘书的事变站被设置为行使POP3/SMTP，并且她从未直接行使过网页版邮件，以是很明明有人入侵了其网页版邮件。

大使馆的进一法式查发明，秘书的事变站上被安装了恶意软件。为了在VirusTotal长举办查询，CSO与Chronicle的Brandon Levene分享了这些恶意软件的散列(hash)。Chronicle是Alphabet/谷歌公司团体的一部门。其散列与AutoIt恶意软件家属相匹配，后者常常用于转达暗码窃取恶意软件ISR Stealer的有用载荷。

Levene在电子邮件中写道：

因为无法得到第二阶段ISR Stealer有用载荷的散列，以是无法通过其行使的特定二进制文件对其举办反向工程，来确定恶意软件毗连到的呼吁和节制处事器的位置。

作为对这一变乱的回应，大使馆的IT职员整理了秘书的事变站，从头安装Windows来删除恶意软件，并将电子邮件帐户的暗码改为比“123456”更强的暗码。

欺诈打单进级到5000万美元，并发出炸弹威胁

两周后，在2014年9月6日，礼拜六，沙特大使秘书的小我私人Gmail账户收到一封伪造的电子邮件，该邮件发自本应规复安详的沙特大使馆官方电子邮件账户。这封电子邮件要求她拨出3500万美元支持ISIS，不然他们的进攻者将对9月25日在海牙进行的沙特阿拉伯国庆日(Saudi Arabian National Day)庆贺勾当举办粉碎。这是一场将迎接数百名社交贵客的大使馆招待会。

谁人周末，进攻者向海牙的十多个其他大使馆发送了相同的电子邮件，个中包罗阿曼苏丹国大使馆、巴基斯坦大使馆，以及荷兰的两个独立部分。这些伪造的电子邮件是通过印度的一个电子邮件处事发送的，尚有一些是通过尼日利亚的一个开放署剃头送的。

电子邮件中向其他大使馆索要的金额要少一些，为2.5万欧元。

荷兰社交警员对涉及荷兰境内社交职员的犯法案件拥有统领权，他们向海牙的其他大使馆发出了威胁告诫。9月9日，也就是接下来的周六，打击者再次伪造了沙特大使馆的官方电子邮件地点，将一份威胁告诫的副本转发给了几个大使馆，并将欺诈打单的金额进步到了5000万美元。变乱相应小组匆匆观测进攻者是怎样得到机要信息的。

在离沙特国庆日只有两周时刻的时辰，观测职员发明白三个可疑的设置法则。个中一个法则是自动将全部发送到沙特官方电子邮件帐户的邮件转发到一个名为live.com的署理电子邮件帐户中。这使得进攻者可以看到全部发送到大使馆的官方电子邮件。

第二个法则是把从秘书到大使私家Gmail邮箱发送到大使馆的全部邮件都移至垃圾桶。第三个法则是，把全部来自Dr.Sumaya Alyusuf事变邮箱的邮件都移至垃圾桶。

变乱相应小组禁用了这些法则，并奉告社交警员此事。无论是Alyusuf，沙特大使的秘书，照旧大使馆，都没有回覆我们的电子邮件，对此置评。

黑客身份不明

谁对这次进攻认真还是一个悬而未决的题目。进攻伟大性低意味着进攻者也许是任何人。前美国国防部收集犯法观测员Jim Christy暗示：

Levene也以为，这种进攻的伟大性较低，因此很难定位进攻者。Levene暗示本身对ISIS行使的器材没有切身履历，他们发明ISIS的技能敏锐性和器材都表白进攻者的进攻庞洪水平较低 (譬喻行使现成的、轻易获取/免费/破解的器材)。

然而，反恐专家Max Abrahms以为，从地悦魅政治角度看，ISIS打击沙特阿拉伯大使馆毫有时义。他指出，大量沙特百姓插手ISIS，成为了外国武装分子。

Abrahms提出，土耳其也许是此次打击的幕后黑手。他暗示，提到可怕主义，土耳其起首想到的不是ISIS，而是库尔德人(Kurd)。这么看来土耳其辅佐ISIS有明明的念头。

至于是谁动员了这次进攻，没有人可以或许确定。然而有一件事我们很确定：不要行使“123456”作为您官方大使馆电子邮件帐户的暗码。

原文地点：

https://www.csoonline.com/article/3386381/inside-the-2014-hack-of-a-saudi-embassy.html

【本文是51CTO专栏作者“李少鹏”的原创文章，转载请通过安详牛（微信公家号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!