【導讀】上個月,烏克蘭研究員意外發現了一個存儲著4200萬伊朗Telegram用戶信息的服務器,其中不乏用戶名、電話、密鑰等機密數據。這些數據在分佈式搜索引擎Elasticsearch上曝光了大約11天,直到該研究員提交濫用報告後才被刪除。然而,事情卻遠遠沒有結束。近日有消息稱,這項有著“狩獵系統”數據洩露的背後是伊朗政府在使用聊天應用進行間諜活動,而且相關信息進一步證實:此次活動的執行者為伊朗國家級APT組織“迷人的小貓”(Charming Kitten)。
Telegram:一款即時通訊軟件。由於其極強的安全性能,深受伊朗最受歡迎,尤其被持不同政見者和政府反對者使用。Telegram相關優勢如下:
- 採用端對端加密方式,所有聊天內容(包括附件)均不會通過其服務器傳輸;
- 提供“閱後即焚”的定時設置,即一定時間後,私密消息便會自動消失;
- 具備強調加密和“頻道”特性,允許用戶向無限數量的訂閱用戶廣播;
- 不用手機號碼也可以在Telegram創建用戶名,無需擔心暴露與用戶名綁定的電話號碼。
神秘“狩獵”服務器
暗藏4200萬伊朗用戶信息
上個月,烏克蘭研究員Bob Diachenko在修復互聯網數據時,在分佈式搜索引擎Elasticsearch上發現了一個無需任何驗證即可訪問的神秘服務器。
該服務器名為“狩獵系統”,其中秘密存儲了4200萬條伊朗Telegram賬戶信息,包括用戶名、電話、個人簡歷、哈希、密鑰等機密數據。它們在網絡上公開曝光了大約11天,直到Diachenko提交了一份濫用報告後才被刪除。
此事一出,立即引發安全界的一陣警覺。首先,Telegram是一款具備超高安全性能的即時通訊軟件。如今卻被曝用戶數據洩露,為什麼?
對此,Telegram官方第一時間做出回應,並強調,洩露的數據來自非官方的Telegram應用,而是所謂的Telegram“分叉”,它們與官方公司無關。
“
我們可以確認,這些數據似乎來自提取用戶聯繫人的第三方分叉。不幸的是,儘管我們發出了警告,伊朗的人們仍然在使用未經驗證的應用程序。Telegram應用是開源的,所以使用我們支持驗證的官方應用非常重要。
”
由於Telegram是一個開源應用程序,允許第三方創建自己的版本。所以,上述“分叉”版本的Telegram有可能出現。
尤其,在2018年初Telegram被伊朗永久封鎖後,伊朗用戶藉助Telegram開源程序的特性,創建了許多第三方的Telegram“分叉”應用,如TelegramTalaeii和Hotgram等繼續廣泛使用。據估計,截至2018年12月,Talaeii和Hotgram已累積了約3000萬用戶。
可以說,這是一起因使用了“非官方的伊朗Telegram應用”導致的鉅額用戶數據洩露事件。
其次,從“狩獵”這一關鍵詞到幾乎“全員用戶感染”,此次事件有何重大隱患?
開篇我們已知,“狩獵”服務器中所列出的Telegram賬戶信息皆涉及到賬號主人的核心隱私內容,透過這些數據完全可能被用來克隆使用者的其他賬戶,識別出匿名使用Telegram人的真實身份,進而實現對特定目標人的監控活動。
無論何種攻擊,在4200萬的數量級加持之下,此事都將造成災難性的後果。
然而,更令人震驚的是,研究人員表示,"如果你的朋友中有人使用了你的號碼,即便你自己沒有用過Telegram的分叉應用,你的號碼和用戶名也有可能會出現在‘狩獵系統’的數據庫中。”
因為,在對比了“狩獵”服務器上的賬戶和Telegram上的賬戶後,發現:該服務器中的部分賬戶與官方Telegram應用的活躍用戶有關。時間戳顯示,部分Telegram用戶記錄的訪問時間最早是在2020年3月。
所以,儘管目前洩露數據的服務器已在網絡上刪除,但因已被曝光了近11天,一些間諜活動家或許已經掌握這些信息,一些不可知的重大隱患或許早已被埋下。
數據洩露幕後的驚人秘密
伊朗政府在進行間諜活動
似乎“狩獵”一詞,曝露了該事件遠非鉅額數據洩露這麼簡單。伴隨進一步研究,一個驚人的秘密正“浮出水面”。
相關安全研究者根據曝光的數據信息內容,發現其背後“操盤手”為:伊朗國家級APT組織“迷人的小貓”(Charming Kitten),他們正在利用此內容進行間諜行動,而且這一結論被數個研究員證實。
其中關鍵點,是其中一安全研究員發現:存儲用戶數據的服務器被一個叫 Manouchehr Hashemloo的人註冊到了德黑蘭西北部的一個辦公室。
緊接著,該研究員利用彭博新聞社看到的在線記錄,確定Hashemloo使用的Gmail地址與一名與伊朗政府有聯繫的知名黑客使用的Gmail地址相同。
該知名黑客名叫ArYaIeIrAN,據稱他與伊朗政府支持的黑客組織“迷人的小貓”(Charming Kitten)有關聯。
“迷人的小貓”黑客組織:成立於2014年,主要針對伊朗持不同政見者、學者、記者和人權活動家發起攻擊,通常會利用私人電子郵件和Facebook帳戶的訪問權限,滲入目標的社交網絡收集信息,並以此突破目標社交網絡,進而攻擊其他帳戶。
為此,該研究員斷定,建立 "狩獵系統 "服務器的人很可能是為伊朗政府工作。而有關這一行動的目的,智庫猜測或許與伊朗政府監控本國公民動向、遏制輿論恐慌,維護本國政權穩定有關。
當下全球新冠疫情蔓延,伊朗國內局勢也不容樂觀,第一副總統賈汗吉里感染新冠肺炎後,包括三名內閣成員在內的多名官員也相繼確診,而與此同時,其勁敵美國依然在一旁虎視眈眈,值此動亂時刻,維護政權穩固自然是伊朗政府的首要任務。
而有關此事,截至目前,伊朗網絡警察部門沒有回應置評請求。伊朗通信和信息技術部副部長AmirNazemi表示,他已向伊朗總檢察長辦公室提交了關於數據洩露事件的投訴,但他拒絕就網絡警察或其他政府機構是否參與 "獵殺系統 "發表評論。
智 庫 時 評
此前,伊朗就曾有選擇地針對特定人群的賬號,並對其進行黑客攻擊。但此次 "狩獵系統”的曝光,表明伊朗當局正在使用新的、更激進的技術來收集和分析關於其公民的巨量信息。就連研究員都表示:"這是我第一次看到,他們試圖大規模分析數據的證據。"
參考鏈接:
thestar——《數據洩露表明伊朗人使用聊天應用程序進行監視》
