网站文章截图

法意导言

“我们不想以任何方式干预（法方）事务，但是我们保留与法国各政治力量代表对话的权利。”2017年3月24日，普京在法国总统选举第一轮投票前“突击”会见总统候选人玛丽娜·勒庞时如是说。同年5月29日，已经当选法国总统的马克龙邀请普京到访凡尔赛宫，却在联合记者会上当着后者的面批评两家俄罗斯官方媒体在法国总统选举期间散布对他不利的虚假消息。虽然俄罗斯否认在法国总统选举中选边站，但近来披露的调查表明，造成2017年法国总统选举第二轮投票前马克龙阵营电邮泄露的两个黑客团体APT28和沙虫与俄罗斯军事情报部门格鲁乌有高度关联，很可能分别源于格鲁乌26165与74455部队。不过历史的走向总是难以预测，尽管主张与俄罗斯改善关系的两名总统候选人勒庞与菲永最终都未能当选，当选总统的马克龙仍然选择了改善对俄政策的道路，成为了欧盟国家内少有的呼吁重启对俄关系的领导人。

俄罗斯干预2017年马克龙竞选活动的证据

作者：马丁·昂特辛格（Martin Untersinger） 

2017年3月24日，普京在克里姆林宫会见时为法国总统候选人的玛丽娜·勒庞

日来月往，“马克龙解密（MacronLeaks）”谜团的碎片正在浮现与汇聚。

2017年，一场针对埃马纽埃尔·马克龙（Emmanuel Macron）竞选团队的黑客行动在总统选举第二轮投票前夕公布了数封电子邮件的内容，如今两年多过去了，新的线索正在浮出水面。《世界报》收集到的信息首次在技术上证实了俄罗斯两个国家黑客部队曾试图影响法国总统选举投票。在当时，马克龙的亲信将之斥为“某种形式的干预”。

在刚刚过去的这个十一月底，谷歌两名专门追踪最高超的黑客团体的研究人员在一次专门会议上介绍了他们的一些工作成果。我们查阅到了他们在演示过程中使用的幻灯片：幻灯片里首次指出了“马克龙解密”开展过程与负责人员的相关信息。

“火眼”（FireEye）公司同样搜寻到了这次黑客行动的相关细节。这家公众不甚了解的公司同样擅长追踪最老练的黑客。过去几年，他们一直在分析俄罗斯在网络空间的组织配备。我们得知，火眼公司将其在“前进！”团队（共和国前进党前身——译者注）遭黑客入侵一事上展开的工作于2018年记录在了一份仅供其客户参阅的文档中，部分内容在专业记者安迪·格林伯格（Andy Greenberg）最近在美国出版的新书中公开。（《沙虫：网络战争的新纪元与对克里姆林宫最危险黑客的追踪》（Sandworm: A New Era of Cyberwar and the Hunt for the Kremlin’s Most Dangerous Hackers），道布尔戴出版社，未译为法文）。

以上消息来源称，针对法国总统选举的黑客并非业余爱好者。与俄罗斯军事情报部门格鲁乌（GRU）相关的两个高度专业化的部门先后锁定了这名共和国未来总统的亲信的电子邮件帐户。该行动可以追溯到2017年三月初第一轮选举前的几周。为业内专家熟知并以代号APT28命名的第一组黑客开始发送“旨在诱骗目标以窃取其用户名和密码”的电子邮件。

我们现已知道APT28与格鲁乌26165部队的人员组成相吻合

2017年5月1日，时为“前进！”运动主席、法国总统候选人的马克龙发表政见

从这场网络钓鱼活动的第一阶段开始，我们就已经听到了回声。

当年四月底，另一家专门研究该攻击者群体的日本公司趋势科技（Trend Micro）揭露说一些能让人误为是“前进！”团队网站的站点正在创建，这可能是网络钓鱼企图的一次预演。到此为止，我们还不能确定说该小组确实开展了此次行动或是取得了成果。

当时，该部门与俄罗斯的联系还只是猜测，但负责调查俄罗斯对2016年美国总统大选发起的干预行动的美国总检察长罗伯特·米勒（Robert Mueller）漫长而细致的工作让这一猜测得以往前推进。

我们现已知道APT28与格鲁乌26165部队的人员组成相吻合，后者的多名成员被美国司法部门点名指控说曾搜集了希拉里·克林顿（Hillary Clinton）竞选活动的电子邮件，以将其泄漏给大众和维基解密。这种操作模式与法国第二轮总统选举前夕发生的情况极为接近。

这不是这支特种部队的唯一“功绩”。荷兰当局2018年秋天在海牙逮捕了该组织的一些成员，当时他们在一辆装备特别的汽车上试图入侵禁止化学武器组织（OPCW）的无线网络。

谷歌的专家对格鲁乌从不直接指称，而仅使用其技术称呼APT28。根据他们的说法，APT28对埃马纽埃尔·马克龙竞选团队中的某些目标成功地实现了入侵。但是，他们的金主似乎不太满意。无论如何，大约一个月后的四月中旬，与前一组织不同的另一实体展开了行动，而26165部队则似乎停止了其攻势。

表面上看来，操作方式是相同的：黑客试图通过发送钓鱼电邮并利用虚假站点来欺骗目标，让其泄露密码。但实际上他们是不同的黑客：用于创建这些诱饵和隐藏其踪迹的基础设备与第一次操作完全不同。

根据谷歌研究人员的说法，这是业内称为“沙虫”（Sandworm）的黑客群体。火眼公司同样发现了他们的活动，虽不那么肯定但仍确认该网络部队与俄罗斯有着直接关联。这群近些年保持活跃的黑客以弗兰克·赫伯特（Frank Herbert）著名的系列科幻小说《沙丘》（Dune）中的“沙虫”命名，他们用于黑客行动工具的计算机代码中充满了对该小说的引用。

研究人员迈克尔·马托尼斯（Michael Matonis）解释说：

“沙虫专门执行高风险的操作，尤其是在时间有限的情况下。”

2017年法国总统选举第二轮竞选海报

曾在火眼公司工作过的迈克尔·马托尼斯如今是一名独立研究员，他过去几年中的大部分时间一直在追踪这组黑客。他对《世界报》解释说，在他看来“沙虫最具专业性，以专门执行高风险的操作而闻名，尤其是在时间有限的情况下。”

对“前进！”竞选活动进行的攻击似乎就是这种情况：据谷歌研究人员称，沙虫对前者成功地进行了钓鱼行动和恶意软件攻击，直到5月5日被盗电子邮件出现在互联网上并开始被与美国激进极右翼接近的团体传播为止。

为了让他们的目标点击导向诱饵文件的链接，沙虫的黑客曾试图提及某些主题以激发“前进！”成员的好奇心。谷歌研究人员获得了其中一份文件：该文件原样复制了2017年2月25日《世界报》发表的一篇有关国民阵线（国民联盟前身——译注）财政状况的文章。

攻击了“前进？！”组织的这第二组黑客是谁？越来越多的专家和情报机构认为，沙虫的背后也藏有格鲁乌的成员。某些消息人士称，这可能是一支鲜为人知的部队——74455，它常与26165部队协力合作。

不管怎样，英美两国当局都公开表明沙虫开展的某些攻击行为是俄罗斯军事情报部门所为。2017年6月对乌克兰发动的毁灭性袭击尤为如此，该袭击波及全世界，造成数十亿美元的损失。许多专家认为，这一袭击的幕后黑手还发动了针对基辅的众多攻势，特别是2015年和2016年12月的停电事故。

“沙虫和奇幻熊（APT28的另一技术称呼）是同一枚硬币的两面。”马托尼斯说。此外，火眼公司还观察到了针对“前进！”组织的黑客攻击、针对2018年平昌冬奥会的网络攻势以及2016年针对美国投票基础设施的某些入侵之间的技术联系。

远非个案的攻击行为

马克龙在2017年法国总统选举第二轮中投票

细心的观察员已经将俄罗斯视作“马克龙解密”事件的主要嫌犯。尤其是因为被认为是26165部队的一名成员的名字出现在了黑客发布的一份文件中——这很可能是一次伪装失误。但是，谷歌和火眼提出的证据证明，将埃马纽埃尔·马克龙的竞选活动当作目标的并非孤立的黑客，而是意图操纵选举的专业人士。

马托尼斯这样解读道：“我认为这项行动是在最后一刻改变公众舆论的尝试。尽管没有不光彩的信息，但对普通公众而言，仅仅提及泄漏就意味着受害者有什么东西要隐藏起来，这足以让他们改变意见。”

此外，这证实了针对埃马纽埃尔·马克龙的行动确实是俄罗斯混杂了间谍活动、政治宣传与设施破坏在内的一整套网络攻击的一部分，俄罗斯自2014年以来就通过隶属俄罗斯情报部门的黑客攻击乌克兰与西方众多大国。

谷歌和火眼披露的信息可能会引起法国司法部门的关注，后者于2017年5月针对黑客行动和妨害通信秘密的行为展开了初步调查。本报记者联系了巴黎检察院，但对方不愿透露这些新的信息是否已向他们进行了移交。

翻译文章：« Les preuves de l’ingérence russe dans la campagne de Macron en 2017 », lemonde.fr, le 6 décembre 2019

网络链接：https://www.lemonde.fr/pixels/article/2019/12/06/macronleaks-des-hackeurs-d-etat-russes-ont-bien-vise-la-campagne-presidentielle-de-2017_6021987_4408996.html

译者介绍：张禹晗，清华大学硕士研究生在读，现为法意读书编译组成员。