“无文件”恶意软件的威力：悄无声息一夜之间从ATM机中窃取80万美元

去年雅虎接连曝出多个超大规模数据泄露事件，长期关注的你们一定都知道，5亿、10亿账户信息泄露的，除了雅虎也没谁了。就在这两天，5亿账户泄露的真相似乎正在浮出水面。

事件回顾

我们今天要讲的就是这桩5亿信息泄露案的后续。首先简要回顾一下这起泄露事件。

最新进展

近日，美国司法部指控四名俄罗斯嫌疑犯，组织策划了2014雅虎数据泄露案，攻击者盗取了逾5亿的雅虎用户信息。

司法部：两名俄罗斯联邦安全局（FSB）特工策划了攻击事件

这两名据说是来自FSB的特工分别是43岁的Igor Anatolyevich Sushchin和33岁的Dmitry Aleksandrovich Dokuchaev。实施攻击的两名黑客则是拉托维亚籍的Alexsey Alexseyevich Belan，网名为“Magg”，现年29岁，另一名是22岁的Karim Baratov，网名为“Kay”，持有加拿大和哈萨克斯坦双重国籍。

其中拉托维亚籍的黑客Belan曾经在2012年入侵3家美国科技公司，盗取逾2亿用户信息，遭到起诉。Belan同时也是FBI头号网络通缉犯，而且在FBI创建这个头号通缉犯列表时，他就已经在榜了。FBI悬赏最高10万美金，奖励提供Alexsey Belan的有关线索。

在俄罗斯联邦安全局中心18号（Center 18）工作

要逮捕和引渡其他三人其实希望并不大。据美国国家安全部代理副部长Mary McCord的说法，被告的工作单位——信息安全中心，也就是Center 18，是FBI与莫斯科关于网络犯罪事项的联络点。FBI在2014年就曾经联系过FSB的Center 18，要求引渡头号通缉犯Belan。但FSB从未对该引渡要求作出任何回应。美国官员称，Dokuchaev和Sushchin（上面提到的两名特工）并没有依照国际刑警组织发出的红色通缉令，逮捕归国的Belan，反而利用Belan入侵雅虎的网络。

雅虎这次对了，确实是国家背景黑客干的

FBI的这份诉状证实了雅虎此前的言论。去年9月份，雅虎表示该起攻击是“国家支持的攻击者”发起的，当时大家都不信。现在根据官方的文件，这起攻击的细节跟雅虎之间的SEC文件中提到的是一致的。

两名FSB特工命令Belan入侵雅虎的网络，Belan则从中窃取了姓名、找回密码邮箱、手机号码和其他必要的信息来伪造账户的浏览器cookie。此外，Belan还用了雅虎账户管理工具（AMT），攻击者和两名FSB特工利用此系统可以伪造必要的浏览器cookie，在没有明文密码的情况下，访问雅虎账户。

具体攻击过程

整个攻击开始于一封鱼叉式钓鱼邮件。2014年初，有雅虎员工收到了这封邮件。目前不清楚一共有多少人收到了邮件，一共发出了多少封邮件，但只要有一个人点了其中的链接，攻击就开始了。

然后，上面提到的Aleksey Belan就开始在雅虎的网络中伺机而动。Belan的目标有二：一是雅虎的用户数据库，二是用来编辑数据库的账户管理工具。Belan很快就得手了。

此外，Belan还在雅虎的服务器上安了一个后门，这样他就能一直访问。于是，到12月份，Belan就偷到了一份雅虎用户数据库的备份，并传到自己的电脑上。这个数据库中包含姓名、手机号、更改密码安全问题及答案、用于找回密码的邮箱和每个账户特有的密值（cryptographic value）。凭借最后两份信息，Belan和Baratov能够访问两名特工指定的用户账户。

账户管理工具不允许明文搜索用户姓名，所以两名黑客将目标转向恢复密码时所用的邮箱地址。他们根据密码找回邮箱就能够辨认出一些目标，从邮箱域名中也能看出某些用户工作的企业或组织。

一旦相关账户成为目标，两名黑客就能够使用名为nonce的密值，通过他们上传到雅虎服务器的一个脚本，生成访问cookie。这些cookie多是在2015年和2016年生成的，黑客利用这些cookie可以随意访问相应用户的邮箱，而不需要密码。

不过，两名黑客在整个入侵过程中还是相当收敛的。虽然他们能够访问5亿多个账户，但他们实际只针对6500个账户做了cookie。就是因为攻击太低调了，雅虎2014年第一次接触FBI时，只报告说有26个账户被黑客攻击了。所以直到去年8月份，整个泄露事件浮出水面之后，FBI才加紧了调查。

FSB特工的政治目的，和黑客的个人利益

被黑的6500个用户包括俄罗斯记者，俄美高级政府官员，俄罗斯安全公司职员，几家网络供应商的许多员工。攻击这些目标明显是为了收集情报。除了这些目标外，Belan也入侵了一些账户，来获取私人的利益。比如，他黑入了一些商业机构雇员的账户，这些商业机构包括俄罗斯一家投资银行，法国运输公司，美国金融服务和私募股权公司，瑞士比特币钱包和银行，美国航空公司。

此外，Belan还从一些邮箱中盗取了代金卡、信用卡号码等。美国官员还表示，Belan从3千万个账户中盗取私人联系信息，靠发送垃圾邮件、制造虚假搜索引擎流量来获利。

美国司法部：FSB特工保护了Belan

美国官员断言称，因为Belan的工作性质，FSB特工为Belan提供了必要的信息来躲避美国的调查。

“我国企业必须要明白一点，如果你要与国家资源和力量对抗，这将不会是一场势均力敌的较量，你不太可能打赢这场战。”

—— 美国国家安全部代理副部长Mary McCord

太霸气了，放出原话供大家观摩

“It is very important for corporations around the country to know that when you are going against the resources and backing of a nation state, it is not a fair fight, and it is not a fight your are likely to win.”

- Acting Assistant Attorney General Mary McCord

Baratov是替补队员

两名FSB特工无法访问其他邮件供应商的用户账户时，Baratov登场了。Baratov一直活跃在暗网众，代号为“Four”。根据FBI的起诉书，FSB要求Baratov利用从雅虎那里偷来的数据，黑入了80多个账户。美方调查员表示Baratov因给两名FSB特工提供目标账户的密码，获得了不少佣金。

美国官员透露，谷歌也检测到了一些针对Gmail账户的入侵尝试，也曾上报有关机构。雅虎目前针对此事发表了简短的声明，称感谢FBI的全力调查和美国司法部处置有关人员的果断行动。声明中还表示，雅虎致力于保障用户及平台安全，并将继续参与打击网络犯罪的执法行动。