分析反情报网络行动:马克龙如何永远改变了网络安全

分析反情报网络行动:马克龙如何永远改变了网络安全

原文：https://medium.com/hackernoon/analyzing-a-counter-intelligence-cyber-operation-how-macron-just-changed-cyber-security-forever-22553abb038b

Image source: https://acculturated.com/daily-scene/spy-vs-spy/

直到今天，我只能仰望俄罗斯(不管我是否同意他们)在网络上进行先进的信息操作。现在，我可以仰望马克龙和他背后的匿名安全专业人士，并对他们表示钦佩。最后，有人在自己的游戏中使用网络欺骗来击败攻击者。我并不孤单， Cymmetria 的想法又一次被证明是正确的。

让我们快速回顾一下发生了什么，然后分析操作以及为什么会这样…嗯，酷。

重要提示:现阶段我们知道的不多，所以我会假设很多。阅读这个故事时，请考虑这可能是一个精心设计的骗局，从来没有发生过。

但是请记住，不管实际发生了什么，网络安全的主要教训之一，正如 10 年前在爱沙尼亚以及此后无数次所学到的那样，就是人们所感知的与任何攻击的技术细节实际上一样重要，甚至更重要。进一步说，攻击是有目的的。动机可以是政治性的，也可以是其他方面的，但必须结合上下文来分析。

此外，如本分析所示，网络欺骗的威力在于增加了攻击者的成本。异常检测的负担，找出什么是真实的，什么不是，现在都落在了他们身上。几个伪造的文件杀死了选举黑客。未来的攻击者将不得不筛选数据。网络欺骗给攻击者造成经济损失。

注意:本帖的重大更新将标有【更新】。

据说发生了什么

就在法国大选前夕，期待已久的消息传来。法国总统候选人埃马纽埃尔·马克龙遭遇数据泄露，数据被公开供公众下载。

根据这篇文章，我将引用:

在周五午夜前的最后几个小时，就在法国选举法因预计周日的关键投票而实施的竞选封锁之前，有人倾倒了据称是从领先的总统候选人埃马纽埃尔·马克龙的竞选活动中窃取的 9gb 电子邮件和文件。

马克龙吸取了希拉里·克林顿竞选的教训，并立即控制了信息和公共关系:

就在第 11 个小时，在封锁将使其沉默之前，马克龙竞选团队发表了一份声明，称其遭到黑客攻击，许多被倾倒在美国 4Chan 网站上并由维基解密重新发布的文件都是伪造的。

质疑文件[更新]

维基解密在他们自己的声明中质疑马克龙如此快速浏览文件的能力，但这无关紧要。这种叙述控制了短暂的新闻周期。马克龙对这些报道表示怀疑，并展示了领导力，实际上为记者提供了他们可以用来撰写故事的数据。这本身就是对未来的一个教训。

如果马克龙所做的只是对泄露的有效性提出质疑，那已经是一个强大的胜利。维基解密自己对来源产生了怀疑:

#MacronLeaks 评估更新:几个 Office 文件有西里尔文元数据。不清楚是故意的，无能的，还是斯拉夫雇员。

很少有这种标记的文件，都是在有限的时间内完成的。不管怎样，他们在时间轴上完成了他们的目的，帮助马克龙应对公关危机。

几个孤独的假文件的效力[更新]

马林·勒·庞的支持者开始利用“所有这些该死的电子邮件”进行公关，尽管其中许多看起来像使用谷歌翻译信息的机器人，当一些文件被显示为荒谬时，这阻止了他们。数据转储中的一些文件明显是伪造的，并开始在法国社交媒体上出现。

大规模制造看起来真实的假文件很难。这个案例告诉我们，我们不一定需要这样做。

实际上，下一次威胁参与者试图这样做时，他们可能必须首先筛选所有数据。网络欺骗增加了攻击者的成本，改变了网络安全的经济学，从而改变了攻击者和防御者之间的不对称。

采取积极措施

然而，这种分析忽略了可能发生的事情的一个关键方面。一个可能的错误标记操作可能是 Macron，也可能是其他人。

这才是真正有趣的地方。

啊，但问题就在这里。据 The Daily Beast 报道，Macron 针对 Fancy Bear(也称为 Pawn Storm 和 Apt28)的竞选策略的一部分是登录钓鱼页面并植入虚假信息。

“你可以用多个密码和登录名淹没这些(网络钓鱼)地址，真的假的，所以他们背后的人会花很多时间试图弄清楚它们，”Macron 数字团队的负责人 Mounir Mahjoubi 告诉《每日野兽》关于这个主题的早期文章。

因此，马克龙的人，特别是我希望有一天能确认并会见的穆尼尔·马赫茹比(Mounir Mahjoubi)，声称在一次“反攻”中提供了 APT28 错误数据。也许他们有，也许没有。也许他们完全做了别的事情。也许不是他们。

不管怎样，如上图所示，他们的公关胜利——有计划的或无计划的——无论有没有赛博，都是囊中之物。

假设发生了攻击，这实际上是 APT28，然后 Mahjoubi 先生(或谁知道谁)的评论没有通过指责现在臭名昭著的 Fancy Bear 来自己插上一面假旗，以使 Macron 的公关看起来更真实，那么在这种假设下，我们可以看到 Macron 事先为此做了准备，研究了攻击他系统的对手，并继续向其提供假文件。那好吧，太棒了！

关于网络钓鱼的评论在技术上有点奇怪。我本以为他们会自己进行渗透，或者在他们准备好的电脑上运行钓鱼邮件。但是，嘿，这是一篇主流新闻文章，所以让我们暂时假定他们是无辜的。我们不能指望技术上的准确性。

在本文(引用如下)中可以找到一些进一步的技术信息，这些信息更清楚地说明了所做的工作。您可能会注意到，这类似于一些银行用来应对常规网络钓鱼攻击的技术(与 sprearphishing 相反)，即向网络钓鱼网站植入他们可以监控访问的虚假凭据。

与克林顿的竞选活动一样，马克龙的竞选活动经常成为网络钓鱼攻击的目标，这些攻击会发送带有链接的电子邮件，这些链接指向看起来可信的登录屏幕的副本，这些屏幕的网址略有不同，比如使用点而不是连字符等。“如果你快速阅读网址，你无法区分，”Mahjoubi 说。

Mahjoubi 将这个虚假的登录页面描述为“完美的像素”，一旦用户登录，黑客就可以访问用户的所有电子邮件。

Mahjoubi 解释说:“每周我们都会向团队发送一周内发现的所有网络钓鱼地址的截屏。

但是真正的天才之处在于 Mahjoubi 的团队如何利用黑客的技术来对付他们。

“你可以用多个密码和登录名淹没这些地址，真的假的，所以他们背后的人会花很多时间试图弄清楚。”

这清楚地告诉我们一件事，即使我们不完全理解该团队做了什么来提供 APT28 / Fancy Bear 虚假信息，但很明显他们试图通过提供虚假凭证来减缓他们的速度。这也有可能让防御者措手不及，这取决于他们的战略目标。你否认攻击者的数据吗？你是否破坏了他们的行动能力？你可能会降低他们的可信度吗？这些不一定相互支持。

考虑到虚假信息活动，维基解密在上面的推文中遗漏了一件事，即如果马克龙的人用他们自己的文件播种了 APT28 的渗透，这可能意味着他们也用西里尔文植入了假旗，这不仅仅是所谓的俄罗斯威胁演员方面的 OPSEC 失败(有人计划不周，或者只是犯了一个错误)，或者马克龙的一名使用西里尔文键盘的员工。

无论如何，数据转储中明显的假货足以实现降低数据转储成功率的战略目标。

我的主要外卖？兴奋之外？

网络欺骗让攻击者付出了代价，改变了网络安全的经济学，从而改变了攻击者和防御者之间的不对称。异常检测的负担，找出什么是真实的，什么不是，现在都在他们身上。

其他外卖:

• 长期以来，网络安全一直处于守势。最终看到人们像我一样思考并控制战场，而不只是坐着等待敌人绕过我们的静态防御，而是使用攻击者自己可预测的方法和手法来对付他们，这非常令人兴奋。
• 如果它确实发生了描述，这是第一次公开(！)以及即将成为著名的针对网络宣传活动的反间谍尝试，意在影响一个国家的政治和政策(也可能被称为反 maskirovka，或反战略 maskirovka)。
• 我们没有取得真正的成功，也不知道如何对抗信息战或现在所谓的网络战。甚至是“假新闻”。事实上，它可能已经发生了，这给了我作为一名后卫的力量，激励我继续前进。上周标志着爱沙尼亚事件(“第一次互联网战争”)10 周年，我写了一篇专门关于这种影响整个国家、人口和选举的宣传类型的故事: https://security ledger . com/2017/04/爱沙尼亚-10 年后-从世界第一次互联网战争中吸取的教训/
• 他们这样做的方式是通过网络欺骗。我自己的初创公司 Cymmetria 提供 MazeRunner(免费版本),这是一个网络欺骗平台，可以实现这一点——控制战场和攻击者的信息。如果我们能控制对手收集的关于我们的信息，我们就能控制他们的决策过程(影响他们的 OODA 循环)。然后，我们可以影响他们去哪里，他们如何行动，更快地发现他们，并压制他们。
• 这个故事是公开的。可能还有更有趣的故事。而且，我严重怀疑那些幕后黑手是否有兴趣让这一行动公之于众(如果它真的发生了，正如所描述的那样)。一定有人今天过得很糟糕。也有可能它不是有能力创建这样一个操作的少数几个“可能的嫌疑人”之一，事实上这是这个团队第一次做这样的事情，在这种情况下应该受到称赞，不管 OPSEC 现在公开了再次做它的能力的影响。
• 这是(第一个？)第一次公开发起这样的行动时，尽管 OPSEC 有任何潜在的失败和相互冲突的战略目标，但防御者的一些工具可能还是起了作用。这并不意味着我们不应该欣赏他们的工作，从中学习和适应。另一边会。看看我和 Inbar Raz 关于 APT OPSEC evolution 的对话:【https://www.youtube.com/watch?v=GbpJhoYngMo

记住:现阶段我们了解的不多，所以这篇帖子有很多假设。

政治背景下的分析[更新]

有一点是清楚的。网络安全就像任何其他工具或武器一样，服务于政策或战略目的。它本身并不经常成为一种动机，需要在这种背景下进行分析。在即将到来的选举中，想一想——谁可能有兴趣扰乱他们，为什么？

就像最近 M&A 收购案一样，网络安全现在已经成为一个尽职调查的问题，选举预算现在将包括一个网络安全条款。

信息作战和历史一样古老。那么，为什么我对这一事件如此重视呢？

APT1 报告发表后，震惊了世界。一个完整的网络安全产业被“创造”出来对抗这种威胁。它提供了公开和具体的证据。这同样适用于这里。

作为一名网络安全专业人士，最糟糕的事情莫过于每天早上上班时都知道自己会输。这是一个失败主义的行业。看到一个复杂而有趣的成功抵抗的活生生的公开例子，表明我们不仅能够获胜，而且与进攻方一样有趣，如果不是更有趣的话。

资源

• 你可以找到并下载 Cymmetria 的网络欺骗平台的免费社区版，这里: https://www.cymmetria.com/
• 你可能还想检查多动症的分布，这里: 【http://www.blackhillsinfosec.com/?page_id=4419

最后，我们中的一些人已经在脸书的一个小团体中讨论这个话题有一段时间了。有兴趣就加入:https://www.facebook.com/groups/949960748352854/

激动人心的时刻！

加迪·埃夫隆。 (推特: @gadievron ，脸书: @gadioncyber )

网络欺骗#马克龙#法国选举#宣传#网络#爱沙尼亚

黑客中午是黑客如何开始他们的下午。我们是阿妹家庭的一员。我们现在接受投稿并乐意讨论广告&赞助机会。

如果你喜欢这个故事，我们推荐你阅读我们的最新科技故事和趋势科技故事。直到下一次，不要把世界的现实想当然！