美国黑客团队和阿联酋间谍合作计划攻击报道斯诺登文件的媒体机构 TheIntercept

Hackingteam, Newsletters, 关于地缘政治, 关于技术暴政, 媒体和新闻自由, 监视与操纵, 给行动者的护身符和武器 1 Minute
  • 不仅仅是 TheIntercept,他们攻击“全球范围内间谍机构需要的”任何组织和个人。尤其是媒体和记者、异议人士和活动家。

⚠️这篇报道提醒注意的是这些骇客采取的方式:鱼叉、恶意女仆、Wi-Fi、甚至直接从运营商(源头)下手。如果您是记者、人权维护者和活动家,应该特别注意本文中显示的细节。

一家为阿联酋政府工作的有争议的骇客公司讨论了针对美国媒体 TheIntercept 的攻击、破坏员工计算机的计划,其中还包括臭名昭著的 hacking team 的一名前成员,消息人士表示他们出席了制定攻击计划的会议。

注:TheIntercept 是专门为刊发斯诺登文件而成立的媒体组织(因当时很多主流媒体自我审查、担心惹恼权势,而拒绝刊发文件);hacking team 是名声最臭的骇客组织之一,有专门的栏目介绍它,在这里看到

这家阿联酋骇客公司就是网络战雇佣兵团体 DarkMatter。在这里看到《网络战雇佣兵团体不应该在您的浏览器或其他任何地方受信任》;《一场令人不寒而栗的网络战》;《一个新的战争时代:互联网雇佣军如何为威权政府而战》。

DarkMatter 将前美国国家安全局黑客和其他美国情报人员和退伍军人、与阿联酋分析人员一起,专门攻击国内外政治异议人士的电子设备,其中攻击目标还包括美国公民

代号为 Project Raven 的攻击行动始于巴尔的摩,也就是美国国安局的后院 —— 该项行动专注于攻击持不同政见者和批评阿联酋政府的任何人。

2016 年 Intercept 的文章透露,总部位于马里兰州的技术公司 Cyber​​Point 组建了一支美国人的团队,以达成一项合同,目标是磨练阿联酋最新崭露头角的骇客攻击和监视能力,让一些新兵感觉不安。

就是这个 Cyber​​Point 团队,其中很多人后来被 DarkMatter 挖走了。DarkMatter 是一家与阿联酋政府关系密切的公司,国家电子安全局 NESA,总部只有两层楼,该部门的地位相当于美国国家安全局(前身国家电子安全局,后来成为信号情报局)。

McLaughlin 的一位消息人士称这一事件是阿联酋政府的“恶意收购”。

McLaughlin 随后为“外交政策”杂志撰写的文章详细介绍了 DarkMatter 的美国间谍在构建阿联酋情报机构方面的重要性。

NESA 将继续成为 Project Raven 的主要“客户”,负责传递团队和组织的目标和攻击计划。

2016 年的报告揭示了 DarkMatter 与阿联酋政府之间的联系,目标是美国媒体 Intercept。

“当[McLaughlin 的第一篇]文章出现时,其中提到了 DarkMatter,所以我们不得不对老虎团做出回应”,该消息来源说,使用的是响应团队的行话,“任何时候 NESA 或 DarkMatter 想要攻击任何媒体,我们都会被引入以开发攻击目标列表。”

阿联酋领事馆没有回复评论请求。

熟悉此事的第二个人证实了针对 TheIntercept 的攻击讨论,并称参与会谈的人中包括最大牌的美国籍 DarkMatter 执行官马克·拜尔(Marc Baier)。这个人没有说明讨论是否导致了决定。

第二个消息来源指出,DarkMatter 首席财务官 Samer Khalife 将一些美国人目标从 DarkMatter 转移到一家新公司 Connection Systems。

而后者这家新公司成立的目的是创造出 “DarkMatter 不再代表阿联酋政府进行监视和网络操作”的假象 —— 但 Khalife 把他的兄弟安插在新公司里作为该公司的名义老板。

LinkedIn 显示,Connection Systems 目前雇佣了多名前 DarkMatter 员工

Khalife 和 Baier 都没有回复评论请求。

目前尚不清楚是否曾对“TheIntercept”进行过攻击。

但是,攻击定位于 2016 年发生,因此如果有恶意邮件存在的话可能被垃圾邮件过滤器阻挡或被丢弃了。

第三个熟悉 Project Raven 的人说,他们不知道有任何针对 Intercept 或其员工的企图,而且在没有吸引美国同行的注意力的情况下 DarkMatter 的常驻 NESA 黑客不太可能尝试这种协调攻击。

不过,该消息来源指出,阿联酋国民对美国出版物进行秘密攻击在技术上是可行的。

Intercept 联系的其他前 Project Raven 成员拒绝发表评论,一些人引用了联邦调查局的调查。联邦调查局也拒绝发表评论。

DarkMatter 营销主管 Priscilla Dunn 在给 The Intercept 的电子邮件中否认报道。但他没有明确否认那次讨论的发生,并拒绝评论 Project Raven 的存在或该公司与 NESA 的合作,他的回复的东西基本是广告台词,就不翻译了。

Aldar HQ office building where DarkMatter has their headquarters. Photo illustration: Soohee Cho/The Intercept, Getty Images

计划和执行

消息人士说,该讨论在 Project Raven 阿布扎比总部的一个会议室里进行,当时他们在场。

房间的其他人包括两名 NESA 分析师 Al Anood Al Kaabi 和 Fatema Mohammed Al Shehhi、还有该团队的美国运营总监 Ryan Adams,此人是美国空军退伍军人。此人也没有回复评论请求。

根据消息来源和 Cole 的说法,⚠️各个 Project Raven 分析师针对新闻文章制定的攻击目标列表不仅包括文章作者,还包括与该作者有关的其他人,包括可能贡献信息的任何人、编辑,甚至分享文章的人

消息来源还说,有时不仅扫描一篇文章的作者,还有“该作者的男朋友、女朋友、或兄弟……从原始目标中延伸出两到三个选项。

编制实际目标列表将取决于各个 Project Raven 分析师。

在设定攻击目标列表之后,下一步就是涉及由 NESA 分析师执行的文本、社交媒体、和电子邮件的鱼叉式网络钓鱼攻击,被称为 “试图平息问题或重新牵引公众注意力”以远离负面文章

网络钓鱼邮件旨在诱骗收件人采取某些行动,而在 DarkMatter 的案例中,通常涉及尝试让攻击目标以 PDF、RTF、和 Microsoft Word 等常见格式打开恶意文档。

和所有钓鱼攻击一样,此类攻击是在事先侦察了目标对象的数字弱点后针对性进行的。

“包括目标的技术足迹、任何社交媒体账户、任何偏好、移动设备、电子邮件、社交媒体ID等等,就是重要的东西”,消息来源说。

  • 这就是为什么保护性措施的第一步应该是《大清洗》在这里看到具体步骤

一旦目标的在线生活被映射出来,“你就可以将这些信息与[计算机]漏洞利用”配对,这些漏洞来自 DarkMatter 的“内部漏洞利用储存库”

⚠️如果客户“真的想干的更狠点”,Project Raven 会从第三方购买漏洞,包括所谓的零日漏洞

这种攻击特别危险,难以防范。一旦中招此类漏洞可能会授予对目标计算机的持久访问权限。

根据 Cole 的说法,攻击记者通常是达到目的的手段而不是目标本身

“如果来自 The Intercept 的人正在与他们的消息来源进行对话,跟踪 Intercept 的目标就可以找到消息来源。Project Raven 骇客经常通过初始消息冒充潜在的消息来源或支持者,以建立与攻击目标的融洽关系,只为稍后将陷阱埋在里面。”

准确说他们的终极目标是透明度革命中的爆料人。

⚠️“一旦你获得了信任,你就可以将[恶意]文件注入进去 ……如果你以安全的方式建立通信,那么可能会有人会开启漏洞利用。”

如果目标前往阿联酋,Project Raven 将利用他们的“主场优势”,⚠️有时甚至会直接闯入目标的酒店房间,消息来源解释说:“如果目标在国内,我们只需要去和服务提供商打个招呼就行了,‘嗨我需要访问…’。或者直接入侵目标在酒店的无线接入”。

该消息来源说,⚠️Project Raven 要求阿联酋国家安全部门的间谍“假扮成维修工,在你住的酒店里,悄悄将你的笔记本电脑充电器换成看起来很相似的充电器”(恶意女仆攻击),以便入侵目标的设备。

Project Raven 针对美国或其他国家新闻记者的做法在路透社的报道中已经披露,该报告提到在阿布扎比的 DarkMatter 总部“攻击目标列表中有三个……美国名字”。这些名字尚未确定。

“2012年,DarkMatter 的主要目标之一是 Rori Donaghy ……一位英国记者和人权活动家,撰写了批评该国人权记录的文章。”

NESA analysts and DarkMatter personnel discussed targeting The Intercept at a property in this neighborhood of Abu Dhabi’s Khalifa City, a private residential suburb whose rental villas are popular among business executives and expats. Photo illustration: Soohee Cho/The Intercept, Google Map

美国人

消息来源说,虽然他们个人拒绝帮助瞄准美国个人和组织,但是这项工作最终以这种或那种方式完成了。

“不幸的是,当你已经生成一个攻击目标列表并且你正在和一个老虎团合作时,我随时可以说我自己没有攻击列表上某个人,但是团队里其他人做了”。

消息来源说,普遍的感觉是,“这个就他妈的是客户现在要的人,我们需要这样做。客户不关心公民身份是什么。”

从事针对非美国目标的类似行动的 Cole 表示,他并没有参与或直接了解针对美国人或美国计算机系统攻击的行为,但是他回忆起当时有关美国同事对这些努力的警告。

Cole 还表示,他担心美国人会成为美国援助黑客的目标,尽管上述人士保证,“有关美国公民的任何信息被吸入该集团的骇客入侵数据库是偶然的”。

Cole 说,他现在认为这种收集是故意的,并且 Raven 项目的领导层“错误地声称”美国政府已经知道任何对美国人的所谓偶然监视,并且这些数据经常被从 DarkMatter 计算机中清除。

他说,“我怀疑了一段时间,我正在关注这件事。我的理解是[被收集的美国人数据]被传达回美国情报机构。这就是我们当时所认为的,但我们后来发现这是一个谬误。”

“总有不同的理由和借口,” Cole 说,就如承诺清除美国人的数据却未能实现。 “我被告知的事和我观察到的事完全相反。”

Cole 认为,同样令人担忧的是美国人在 Project Raven 中的角色转变。

他们表面上出现在 DarkMatter 的阿布扎比​​别墅中进行培而。在实践中,出于法律原因,这意味着他们会根据指导方针给出非常具体的指示,他们可以做“除了键盘工作的一切”。

他们 “提供步骤和说明”,用于在不亲自执行任何步骤的情况下攻击 NESA 想要的任何目标。全球范围内。

根据熟悉 DarkMatter 关于针对 Intercept 的讨论的第二个消息来源说,即使当美国公民不是明确的目标时,合法性问题也一直是对 DarkMatter 的长期担忧;

入侵居住在美国的非美国公民的 Facebook 或 Gmail 帐户仍然意味着可能破坏在美国的服务器。

路透社的报道还显示,美国国家安全局虽然没有直接参与 DarkMatter 的日常运营,但是,“已批准并定期听取 Raven 的活动简报。”

针对记者的攻击只是美国人被 Project Raven 攻击或监视的众多方式之一,Cole 和消息来源说。

连线电视杂志、国际特赦组织、和人权观察组织,也很可能成为攻击目标 —— 在 NESA 等阿联酋客户的要求下。他们告诉 Intercept,但无法回想起细节。⚪️

TEAM OF AMERICAN HACKERS AND EMIRATI SPIES DISCUSSED ATTACKING THE INTERCEPT

广告
Published

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据