俄联邦安全局出现“内鬼” ，顶级黑客组织窃取政府高层信息

Original 2017-07-12 E安全 E安全

更多全球网络安全资讯尽在E安全官网www.easyaq.com

E安全7月12日讯在上周（2017年7月6日）于俄罗斯莫斯科市法院进行的一次秘密听证会上，黑客组织“沙尔泰·波泰”（Shaltai Boltai，又名Humpty Dumpty）首脑弗拉基米尔·阿尼克耶夫因六项涉及“非法篡改”政府官员个人信息的罪名而被判处两年有期徒刑。

弗拉基米尔·阿尼克耶夫在此次审判中被指控曾入侵俄罗斯总理德米特里·梅德韦杰夫、国家新闻电视节目主持人兼媒体政治顾问德米特里·克什里耶夫以及弗拉基米尔·普京及其他多位克里姆林宫高层人物助理的电子邮件帐户。

“沙尔泰·波泰”黑客组织此前曾公布过大量克里姆林宫官员及商界人士的内部电子邮件，并借此成功获得高度关注。

根据报道，该黑客组织于2015年开始崭露头角，并曾经通过敲诈及勒索等方式大量获取资金。最终，相关行为受到俄罗斯联邦安全局（简称FSB）的关注，并直接导致其垮台。

不过在此之后，该集团并未被解散，而是被迫与俄罗斯各情报部门合作以换取一定程度的人身安全保护。

俄联邦安全局出了“内鬼”

此次线报来自亚历山大·格拉兹斯蒂科夫，其曾为“沙尔泰·波泰”组织的一员，并于今年早些时候逃往爱沙尼亚并申请庇护。根据他的说法，该黑客组织在“穿过警戒线”并将目标瞄准克里姆林宫之后就被发现，并被迫与俄联邦安全局合作。根据报道，俄罗斯官方要求对该集团的后续信息泄露行为获取“一票否决权”。

格拉兹斯科夫是在阿尼克克耶夫被俄罗斯当局由乌克兰引渡回本国。与此同时，谢尔盖·米哈伊洛夫与德米特里·德库奇耶夫两位联邦安全局官员也遭到逮捕，并被指控犯有叛国罪。

在由此引发的一系列阴谋疑云之下，安全厂商卡巴斯基实验室公司首席调查员拉斯兰·斯托雅诺夫也遭到关押并面临着叛国罪指控。根据未经证实的消息，俄罗斯媒体报道称这两名联邦安全局官员很可能身为阿尼克耶夫的背后授意者。

上周，俄罗斯国家检察机关在秘密听证会上判定阿尼克耶夫因罪名成立而将入狱两年半。不过法庭同时裁定，考虑到已经遭受长达八个月的审前拘留，阿尼克耶夫的实际服刑时间应当有所缩短。

根据俄罗斯塔斯国家通讯社发布的消息，阿尼克耶夫与两名所谓同伙（亚历山大·菲利诺夫与康斯坦丁·特派利亚科夫）于2016年11月被逮捕，但阿尼克耶夫最终同意与当局合作并随后成为指证其他可疑黑客的污点证人。

阿尼克耶夫的律师表示“我的客户对于这一判决结果表示认同”，并正在准备相关文件以争取提前释放。另外他同时指出，“根据法律，这方面工作能够在两天之内完成。”

并非“因果报应”，是不可控因素太多

盛产黑客的俄罗斯，在最近几年中频频被指涉嫌通过网络控制舆论，攻击他国基础设施，干扰他国政治，曾被指在去年希拉里与特朗普竞选美国总统期间，入侵美国民主党全国委员会（DNC），泄露希拉里竞选主席约翰·波德斯塔的电子邮件。

就近期来说，今年4月，俄黑客组织APT28被指入侵法国大选首轮胜出者马克龙，公开了其竞选过程中的部分相关邮件及文件；6月27 日乌克兰国家储蓄银行(Oschadbank)、Privatbank 银行在内的几家银行机构、电力公司 KyivEnergo 、国家邮政（UkrPoshta）遭受Petya病毒大规模网络攻击，乌克兰安全部队SBU负责人指责是俄罗斯所为。7月9日左右，美国核能公司遭遇黑客事件，多个核电站被入侵，美国行政和商业网络受到影响，暂未危及公共安全，美国认为此次黑客攻击俄罗斯黑客有重要嫌疑。毕竟，俄罗斯早在30年前就开始重视计算机教育，在全球来说全民计算机教育程度相当领先甚至超前，这样一个盛产顶级黑客，而其他各种程度的黑客数量也不计其数。

然而，就是这样一个国家，反而同样存在“被间谍的，被泄露”的危险。

“内部”问题从来都在

此前，E安全曾报道关于NSA女临时工使用打印机打印关于俄罗斯黑客攻击的细节信息的机密文件，并且最终将文档泄密出去一事。

2015年携程代码被删事件，导致长时间网站瘫痪，停止服务对用户造成严重影响及损失，而当时携程被删除的代码长达8小时还没有恢复，有分析认为可能是在重新上线的过程中遭遇攻击者的阻碍，影响了服务恢复的进度。后经携程技术排查,确认此次事件是由于员工错误操作,删除了生产服务器上的执行代码导致。

2016年8月，上海6000余银行个人信息流出，源头竟是银行内部。

去年10月，美国国家安全局（NSA）承包商哈罗德·马丁于8月27日因窃取国安局数据被捕，马丁还被怀疑掌握了NSA的“源代码”，这些源代码通常被用来入侵俄罗斯、伊朗等国的网络系统，这再次敲响内部威胁警钟。

内部人员，也因此并不仅仅是狭义的“内部”人员，他包括企业内部核心人员、企业普通职员、临时员工、外包服务商/承包商、可以进入办公区的外来人员等等。

归根结底，人员众多，各自意志独立，对“安全意识”认知的偏差，对自身行为的约束程度不同，企业或者国家安全机构在安全方面的“武装”深度及广度的差别，都将在一定程度上影响整体安全防护效果。

最终归结为一项最重要的事，数据保护，包括个人数据、源代码、商业机密、军事数据、国家安全机密等。

如何保护重要数据及防止“内鬼”？

E安全给出以下常规方法供参考，或许可以帮助您更简单、高效实现该目的：

制定明确的简明安全策略及方案、程序管理要求、访问机制、明确用户责任和安全事件应急响应程序。
营造浓厚的网络安全文化，各个相关部门尽可能沟通并强调安全的重要性。
周期性的对所有用户进行安全意识教育，提高企业整体网络安全、数据安全保护意识，增强个人安全保护基本技能。
将网络安全理念贯穿到业务流程中。构建应用程序时，人们才会考虑网络安全问题，但往往忽略了员工和承包商如何履行自身的安全职责。将网络安全融入到接触宝贵资产的各方日常业务流程，从而减少非恶意的风险行为。
积极管理访问权限，尤其特权访问。
用户的访问权限就是内部人员（和恶意攻击者）企图破坏的入口。最小化访问权限，且仅提供给必需的账户。但实现访问控制管理不能一蹴而就，需要根据组织变动和人事变动定期审查及时更新。
识别核心数据和关键业务系统。
当谈及最具重要的资产时，管理攻击面（一般包括用户访问和漏洞）更为重要。然而在特殊时候，需要重点保护这些极其重要的公司资产之前，组织机构需要了解具体的资产及其所在位置。
执行主动与被动控制，阻止敏感数据从组织内部流失，并监控用户行为是否异常。
异常检测是识别用户执行异常活动（不一定会引发任何政策预警）的唯一途径。要优先应对最关键的威胁，并在最大程度上减少误报，将行为分析与其它风险因素关联，包括推动威胁成功的相关漏洞、攻击对组织机构带来金融或任务影响，以及资产价值。此外，从程序所有者（管理被攻击资产）处取得资格，协助判断异常活动是否属于正当业务行为。