伊朗间谍活动曝光:一场“狩猎”展开,4200万用户信息惨遭泄露

 

上个月,乌克兰研究员意外发现了一个存储着4200万伊朗Telegram用户信息的服务器,其中不乏用户名、电话、密钥等机密数据。这些数据在分布式搜索引擎Elasticsearch上曝光了大约11天,直到该研究员提交滥用报告后才被删除。然而,事情却远远没有结束。近日有消息称,这项有着“狩猎系统”数据泄露的背后是伊朗政府在使用聊天应用进行间谍活动,而且相关信息进一步证实:此次活动的执行者为伊朗国家级APT组织“迷人的小猫”(Charming Kitten)。

Telegram:一款即时通讯软件。由于其极强的安全性能,深受伊朗最受欢迎,尤其被持不同政见者和政府反对者使用。Telegram相关优势如下:

  • 采用端对端加密方式,所有聊天内容(包括附件)均不会通过其服务器传输;
  • 提供“阅后即焚”的定时设置,即一定时间后,私密消息便会自动消失;
  • 具备强调加密和“频道”特性,允许用户向无限数量的订阅用户广播;
  • 不用手机号码也可以在Telegram创建用户名,无需担心暴露与用户名绑定的电话号码。

 

神秘“狩猎”服务器 暗藏4200万伊朗用户信息

上个月,乌克兰研究员Bob Diachenko在修复互联网数据时,在分布式搜索引擎Elasticsearch上发现了一个无需任何验证即可访问的神秘服务器。

该服务器名为“狩猎系统”,其中秘密存储了4200万条伊朗Telegram账户信息,包括用户名、电话、个人简历、哈希、密钥等机密数据。它们在网络上公开曝光了大约11天,直到Diachenko提交了一份滥用报告后才被删除。

此事一出,立即引发安全界的一阵警觉。首先,Telegram是一款具备超高安全性能的即时通讯软件。如今却被曝用户数据泄露,为什么?

对此,Telegram官方第一时间做出回应,并强调,泄露的数据来自非官方的Telegram应用,而是所谓的Telegram“分叉”,它们与官方公司无关。

“我们可以确认,这些数据似乎来自提取用户联系人的第三方分叉。不幸的是,尽管我们发出了警告,伊朗的人们仍然在使用未经验证的应用程序。Telegram应用是开源的,所以使用我们支持验证的官方应用非常重要.”

由于Telegram是一个开源应用程序,允许第三方创建自己的版本。所以,上述“分叉”版本的Telegram有可能出现。

尤其,在2018年初Telegram被伊朗永久封锁后,伊朗用户借助Telegram开源程序的特性,创建了许多第三方的Telegram“分叉”应用,如TelegramTalaeii和Hotgram等继续广泛使用。据估计,截至2018年12月,Talaeii和Hotgram已累积了约3000万用户。

可以说,这是一起因使用了“非官方的伊朗Telegram应用”导致的巨额用户数据泄露事件。

其次,从“狩猎”这一关键词到几乎“全员用户感染”,此次事件有何重大隐患?

开篇我们已知,“狩猎”服务器中所列出的Telegram账户信息皆涉及到账号主人的核心隐私内容,透过这些数据完全可能被用来克隆使用者的其他账户,识别出匿名使用Telegram人的真实身份,进而实现对特定目标人的监控活动。

无论何种攻击,在4200万的数量级加持之下,此事都将造成灾难性的后果。

然而,更令人震惊的是,研究人员表示,”如果你的朋友中有人使用了你的号码,即便你自己没有用过Telegram的分叉应用,你的号码和用户名也有可能会出现在‘狩猎系统’的数据库中。”

因为,在对比了“狩猎”服务器上的账户和Telegram上的账户后,发现:该服务器中的部分账户与官方Telegram应用的活跃用户有关。时间戳显示,部分Telegram用户记录的访问时间最早是在2020年3月。

所以,尽管目前泄露数据的服务器已在网络上删除,但因已被曝光了近11天,一些间谍活动家或许已经掌握这些信息,一些不可知的重大隐患或许早已被埋下。

 

数据泄露幕后的惊人秘密 伊朗政府在进行间谍活动

似乎“狩猎”一词,曝露了该事件远非巨额数据泄露这么简单。伴随进一步研究,一个惊人的秘密正“浮出水面”。

相关安全研究者根据曝光的数据信息内容,发现其背后“操盘手”为:伊朗国家级APT组织“迷人的小猫”(Charming Kitten),他们正在利用此内容进行间谍行动,而且这一结论被数个研究员证实。

其中关键点,是其中一安全研究员发现:存储用户数据的服务器被一个叫 Manouchehr Hashemloo的人注册到了德黑兰西北部的一个办公室。

紧接着,该研究员利用彭博新闻社看到的在线记录,确定Hashemloo使用的Gmail地址与一名与伊朗政府有联系的知名黑客使用的Gmail地址相同。

该知名黑客名叫ArYaIeIrAN,据称他与伊朗政府支持的黑客组织“迷人的小猫”(Charming Kitten)有关联。

“迷人的小猫”黑客组织:成立于2014年,主要针对伊朗持不同政见者、学者、记者和人权活动家发起攻击,通常会利用私人电子邮件和Facebook帐户的访问权限,渗入目标的社交网络收集信息,并以此突破目标社交网络,进而攻击其他帐户。

为此,该研究员断定,建立 “狩猎系统 “服务器的人很可能是为伊朗政府工作。而有关这一行动的目的,智库猜测或许与伊朗政府监控本国公民动向、遏制舆论恐慌,维护本国政权稳定有关。

当下全球新冠疫情蔓延,伊朗国内局势也不容乐观,第一副总统贾汗吉里感染新冠肺炎后,包括三名内阁成员在内的多名官员也相继确诊,而与此同时,其劲敌美国依然在一旁虎视眈眈,值此动乱时刻,维护政权稳固自然是伊朗政府的首要任务。

而有关此事,截至目前,伊朗网络警察部门没有回应置评请求。伊朗通信和信息技术部副部长AmirNazemi表示,他已向伊朗总检察长办公室提交了关于数据泄露事件的投诉,但他拒绝就网络警察或其他政府机构是否参与 “猎杀系统 “发表评论。

 

智 库 时 评

此前,伊朗就曾有选择地针对特定人群的账号,并对其进行黑客攻击。但此次 “狩猎系统”的曝光,表明伊朗当局正在使用新的、更激进的技术来收集和分析关于其公民的巨量信息。就连研究员都表示:”这是我第一次看到,他们试图大规模分析数据的证据。” 本文为国际安全智库作品

微信公众号:

guoji-anquanzhiku

关注“国际安全智库”公共号

了解更多国内外网络空间安全资讯

https://mmbiz.qpic.cn/mmbiz_gif/RjjALhP73GUDJfcEj7QWIjp9AEicFtzwjyAQf1LEdDekVYmlkn0m6JGribsHnYjGNUMI5r7hnYXic8FP2yZ0aUEMw/640?wx_fmt=gif&tp=webp&wxfrom=5&wx_lazy=1

(完)