导语:美国联邦调查局于上周六(6月3日)以涉嫌向在线新闻媒体泄漏政府机密文件的罪名逮捕了一名25岁的政府约聘人员。

屏幕快照 2017-06-07 上午10.09.16.png

美国联邦调查局于上周六(6月3日)以涉嫌向在线新闻媒体泄漏政府机密文件的罪名逮捕了一名25岁的政府约聘人员。该在线新闻网站即The Intercept,已于本周一(6月5日)发布了该报告,这也就意味着在实际披露信息上线前两天,这名“内鬼”就已经成功落网,一起看看究竟是怎么回事吧。 

The Intercept发布NSA绝密文件 

近日,美国新闻网站《The Intercept》收到了一份被列为最高机密的美国国家安全局(NSA)报告(报告日期为2017年5月5日),内容称NSA认为,俄罗斯参谋总部情报局(Russian General Main Staff Intelligence Directorate,GRU)有关黑客曾于去年美国大选期间入侵VR Systems公司(该公司销售2016年选举投票所使用的投票设备),并获取到攻击对象的个人资料。

之后,他们开始针对美国100多名负责选举事务的地方官员发动两次鱼叉式网络钓鱼(spear phishing)攻击行动。据悉,其中一波网络钓鱼邮件还以查看投票人的登记状态为名,附加了含有恶意VB程式的Word文档,一旦点击就会重定向至恶意网站中,并自动下载间谍软体。

不过,该文件并没有明确证据表明这些黑客的行为是否对选举结果有任何影响。

以下为NSA文件对于俄罗斯黑客入侵美国投票系统的相关陈述:

俄罗斯参谋总部情报局(GRU)行动者于2016年8月对美国一家指定的公司进行了网络间谍活动,其目的显然是为了获得跟选举相关的软件和硬件解决方案的信息。这些行动者可能使用从该操作获得的数据,以发起针对美国地方政府组织的以选民登记为主题的“鱼叉式钓鱼”活动。

c8f42a385343fbf28514484eba7eca8064388fcf.jpeg

【The Intercept公布的“绝密文件”】

美国国家安全局的文件称,GRU黑客入侵投票系统公司(VR Systems)使用虚假的Google警报,要求目标人员输入登录凭据。根据报告,该公司还试图利用虚假的电子邮件账户与第二家公司混淆。然而,他们却不慎留下了痕迹,让NSA可以在一个月之内得出结论:俄罗斯GRU就是幕后黑手。

1496806936522153.jpeg

【钓鱼攻击活动示意图】

美俄之间的网络间谍攻防战早就不是新鲜事,今天我们的主题是分析The Intercept的爆料者是如何被FBI逮到的?

The Intercept爆料者是如何被抓获的? 

据悉,这名爆料者名为Reality Leigh Winner,1991年10月出生于德克萨斯州。根据卫报报道,她曾于2013年1月起在美国空军服役。而根据美国司法部的文件显示,Winner现在是普勒里伯斯国际集团派到佐治亚州一家美国政府机构的雇员,今年2月13日前后开始在这家政府机构工作,并通过了“绝密级别”的安全审查。而就在今年5月9日左右,Winner打印了这份政府机密报告,并在数日后邮寄给了一家在线新闻机构——The Intercept。

根据后来分布的一份针对NSA承包商“Reality Leigh Winner”的逮捕令,展示了他们是如何追踪到Winner的全过程,原来Winner并没有直接将打印的文件(PDF)发送给The Intercept,相反,她拍摄了该文件的打印件,然后通过电子邮件将其扫描的副本发送给了The Intercept。

Errata的安全专家Robert Graham分析称,很不幸的是,她不知道现在大多数的新打印机都会在打印时于文件上嵌入几乎看不见的黄点,而通过这些黄点可以追踪到文件是在何时及何地所打印的。因为FBI在其打印机上记录了所有的打印记录,当其得知该外流报告的打印装置与时间时,几乎就能根据该打印纪录确定是谁打印了该报告。

如下是详细解析过程:

可以点击原始文件下载文档。然后在PDF阅读器中打开它,例如macOS上的常规“预览”应用程序。放大文档上的一些空格,并获得如下屏幕截图。在macOS上,你可以点击[Command-Shift-3]来获取窗口的屏幕截图。我们获取的这个图像中有黄点,但你几乎看不到它们,特别是如果你的屏幕很脏的话。

1496807270556763.png

现在我们需要突出显示黄点。打开图像编辑器中的屏幕截图,如MacOS内置的“画笔”程序。现在使用图像中的“反转颜色”选项,就可以得到下图所示的图像。您应该可以看到在空白处有一个大致的矩形棋盘图案。

 1496807342484689.png

它是颠倒的,所以我们需要旋转180度,或水平翻转或垂直翻转:

1496807353383195.png

现在我们可以前往EFF页面,手动点击让其工具对图像进行解码:

 1496807346545304.png

其解码的结果如下所示:

1496807351858487.png

结果显示,Intercept发布的文件来自型号为54,序列号29535218的打印机。该文件于2017年5月9日6时20分印发。 如此一来,NSA几乎就可以锁定当时有谁在使用打印机印发文件。

由于NSA在其打印机上记录了所有的打印作业,所以他们很快就确定了只有6名员工可以访问该文件,而Winner正是从安全设施中打印和删除文档的人员。

NSA还发现,这6名可疑人员中只有Winner通过电子邮件与The Intercept进行过联系,其他员工并没有与之联系。

根据周一DoJ发布的刑事诉讼文件(PDF)显示,Winner承认“她知道该机密情报报告的内容,而且她也知道这份报道的内容会伤害美国和国外民族的利益”。

司法部副部长Rod J. Rosenstein说,

感谢执法部门的努力使得我们能够快速地识别并逮捕被告。在没有获得授权的情况下公开机密信息会威胁我们国家的安全,破坏公众对政府的信任。那些被给予信任可以接触机密信息并承诺保护它的人,如果违反其义务,就必须被追究责任。

目前,Winner正面临“收集、传播或丢失国防信息”等数条指控,一旦定罪,她将面临长达10年的监禁。

源链接

Hacking more

...