這個(gè)故事始于一場離奇的詐騙案，有人試圖從一名在英國的沙特校長手中騙取200歐元的簽證費(fèi)，最終以提出5000萬美元的贖金要求和荷蘭外交警察的追捕結(jié)束。而這時(shí)，沙特國慶日(9月23日)快到了。

[[262453]]

文件顯示了此次攻擊的細(xì)節(jié)和沙特的回應(yīng)。這為政府如何應(yīng)對(duì)可疑的民族國家襲擊提供了一個(gè)有趣的例子，并對(duì)世界各國大使館的安全能力提出了質(zhì)疑。

一名黑客聲稱恐怖組織伊斯蘭國(ISIS)在2014年8月，控制了沙特駐荷蘭大使館官方電子郵件帳戶，并向位于海牙的十多個(gè)大使館發(fā)送了電子郵件，要求向ISIS支付5000萬美元，不然他們將會(huì)炸毀一個(gè)重要的外交接待處。

這次網(wǎng)絡(luò)攻擊破壞了沙特大使館的非涉密計(jì)算機(jī)網(wǎng)絡(luò)。攻擊者通過在大使秘書的工作站上安裝了一個(gè)普通的惡意軟件(rootkit)，控制了大使館官方電子郵件帳戶。

盡管進(jìn)行了內(nèi)部調(diào)查，但沒有人被正式追究責(zé)任。鑒于此次攻擊的復(fù)雜程度較低，無法確定此次攻擊是否真屬于ISIS有組織行動(dòng)的一部分，或者來自一個(gè)隨機(jī)的支持者，還是一個(gè)偽裝成ISIS的動(dòng)機(jī)不明的民族國家情報(bào)機(jī)構(gòu)所為。

入侵的第一個(gè)標(biāo)志

文件顯示，大使館開始意識(shí)到有一些不對(duì)勁是在十年前曾是一個(gè)英國學(xué)校校長(該學(xué)校有由沙特皇室資助的激進(jìn)的伊斯蘭教科書)的 Dr. Sumaya Alyusuf，向沙特大使館發(fā)送郵件，請(qǐng)求協(xié)助她獲得印度簽證，而隨后大使館要求她通過MoneyGram進(jìn)行200歐元的匯款的時(shí)候。

當(dāng)時(shí)控制著沙特大使館官方電子郵件賬戶的攻擊者，在2014年8月26日通過沙特駐倫敦大使館的地址回復(fù)Alyusuf，要求她通過MoneyGram向沙特駐英國大使Mohammed bin Nawaf bin Adbul Aziz進(jìn)行匯款。郵件中寫道：一旦我收到您的回復(fù)，我會(huì)確保簽證快速發(fā)放給您。

目前尚不清楚攻擊者將如何收取或者是否真的想要獲得這筆200歐元的費(fèi)用。

文件顯示，Alyusuf打電話給沙特大使確認(rèn)這個(gè)奇怪的請(qǐng)求。意識(shí)到情況不對(duì)，秘書讓Alyusuf將郵件轉(zhuǎn)發(fā)到她個(gè)人Gmail賬戶。秘書隨后將這件事告訴了大使。

大使開始進(jìn)行調(diào)查。事件響應(yīng)小組在沙特大使館的網(wǎng)絡(luò)郵件賬戶中發(fā)現(xiàn)了發(fā)送給Alyusuf的電子郵件。當(dāng)時(shí)大使館的非涉密網(wǎng)絡(luò)供應(yīng)商是一個(gè)家互聯(lián)網(wǎng)服務(wù)供應(yīng)商，通過一個(gè)關(guān)聯(lián)電子郵件帳戶進(jìn)行通信。該電子郵件帳戶的密碼是“123456”。由于秘書的工作站被配置為使用POP3/SMTP，而且她從未直接使用過網(wǎng)頁版郵件，所以很明顯有人入侵了其網(wǎng)頁版郵件。

大使館的進(jìn)一步調(diào)查發(fā)現(xiàn)，秘書的工作站上被安裝了惡意軟件。為了在VirusTotal上進(jìn)行查詢，CSO與Chronicle的Brandon Levene分享了這些惡意軟件的散列(hash)。Chronicle是Alphabet/谷歌公司集團(tuán)的一部分。其散列與AutoIt惡意軟件家族相匹配，后者經(jīng)常用于傳遞密碼竊取惡意軟件ISR Stealer的有效載荷。

Levene在電子郵件中寫道：

由于無法獲得第二階段ISR Stealer有效載荷的散列，所以無法通過其使用的特定二進(jìn)制文件對(duì)其進(jìn)行反向工程，來確定惡意軟件連接到的命令和控制服務(wù)器的位置。

作為對(duì)這一事件的回應(yīng)，大使館的IT人員清理了秘書的工作站，重新安裝Windows來刪除惡意軟件，并將電子郵件帳戶的密碼改為比“123456”更強(qiáng)的密碼。

敲詐勒索升級(jí)到5000萬美元，并發(fā)出炸彈威脅

兩周后，在2014年9月6日，星期六，沙特大使秘書的個(gè)人Gmail賬戶收到一封偽造的電子郵件，該郵件發(fā)自本應(yīng)恢復(fù)安全的沙特大使館官方電子郵件賬戶。這封電子郵件要求她撥出3500萬美元支持ISIS，否則他們的攻擊者將對(duì)9月25日在海牙舉行的沙特阿拉伯國慶日(Saudi Arabian National Day)慶祝活動(dòng)進(jìn)行破壞。這是一場將接待數(shù)百名外交貴賓的大使館招待會(huì)。

那個(gè)周末，攻擊者向海牙的十多個(gè)其他大使館發(fā)送了類似的電子郵件，其中包括阿曼蘇丹國大使館、巴基斯坦大使館，以及荷蘭的兩個(gè)獨(dú)立部門。這些偽造的電子郵件是通過印度的一個(gè)電子郵件服務(wù)發(fā)送的，還有一些是通過尼日利亞的一個(gè)開放代理發(fā)送的。

電子郵件中向其他大使館索要的金額要少一些，為2.5萬歐元。

荷蘭外交警察對(duì)涉及荷蘭境內(nèi)外交人員的犯罪案件擁有管轄權(quán)，他們向海牙的其他大使館發(fā)出了威脅警告。9月9日，也就是接下來的周六，襲擊者再次偽造了沙特大使館的官方電子郵件地址，將一份威脅警告的副本轉(zhuǎn)發(fā)給了幾個(gè)大使館，并將敲詐勒索的金額提高到了5000萬美元。事件響應(yīng)小組急忙調(diào)查攻擊者是如何獲得機(jī)密信息的。

在離沙特國慶日只有兩周時(shí)間的時(shí)候，調(diào)查人員發(fā)現(xiàn)了三個(gè)可疑的配置規(guī)則。其中一個(gè)規(guī)則是自動(dòng)將所有發(fā)送到沙特官方電子郵件帳戶的郵件轉(zhuǎn)發(fā)到一個(gè)名為live.com的代理電子郵件帳戶中。這使得攻擊者可以看到所有發(fā)送到大使館的官方電子郵件。

第二個(gè)規(guī)則是把從秘書到大使私人Gmail郵箱發(fā)送到大使館的所有郵件都移至垃圾桶。第三個(gè)規(guī)則是，把所有來自Dr.Sumaya Alyusuf工作郵箱的郵件都移至垃圾桶。

事件響應(yīng)小組禁用了這些規(guī)則，并告知外交警察此事。無論是Alyusuf，沙特大使的秘書，還是大使館，都沒有回復(fù)我們的電子郵件，對(duì)此置評(píng)。

黑客身份不明

誰對(duì)這次攻擊負(fù)責(zé)仍是一個(gè)懸而未決的問題。攻擊復(fù)雜性低意味著攻擊者可能是任何人。前美國國防部網(wǎng)絡(luò)犯罪調(diào)查員Jim Christy表示：

Levene也認(rèn)為，這種攻擊的復(fù)雜性較低，因此很難定位攻擊者。Levene表示自己對(duì)ISIS使用的工具沒有親身經(jīng)驗(yàn)，他們發(fā)現(xiàn)ISIS的技術(shù)敏銳性和工具都表明攻擊者的攻擊復(fù)雜程度較低 (例如使用現(xiàn)成的、容易獲取/免費(fèi)/破解的工具)。

然而，反恐專家Max Abrahms認(rèn)為，從地緣政治角度看，ISIS襲擊沙特阿拉伯大使館毫無意義。他指出，大量沙特國民加入ISIS，成為了外國武裝分子。

Abrahms提出，土耳其可能是此次襲擊的幕后黑手。他表示，提到恐怖主義，土耳其首先想到的不是ISIS，而是庫爾德人(Kurd)。這么看來土耳其幫助ISIS有明顯的動(dòng)機(jī)。

至于是誰發(fā)動(dòng)了這次攻擊，沒有人能夠確定。然而有一件事我們很確定：不要使用“123456”作為您官方大使館電子郵件帳戶的密碼。

原文地址：

https://www.csoonline.com/article/3386381/inside-the-2014-hack-of-a-saudi-embassy.html

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文