上个月,威胁情报公司 Recorded Future 在常规暗网犯罪活动监视工作中发现了关于禁运武器MQ-9收割者无人机操作手册的拍卖。Recorded Future 所属 Insikt Group 分析师团队假装潜在买家参与竞拍,在确认被泄文件有效性之前,与新注册的说英语的黑客进行了接触。

进一步的互动让分析师们发现了该黑客手握的其他被泄军事资料。这名黑客声称能从某军官处搞到大量军事文件。

这些文档包含M1艾布拉姆斯( M1 Abrams )系列主战坦克维护手册、坦克分队训练课程、队员生存训练课程,以及简易爆炸装置(IED)拆除策略文档。

后续调查揭示,这些信息是从至少1台,更有可能是多台不安全FTP服务器上获得的。Recorded Future 称:“攻击者使用了众所周知的战术,通过设置不当的FTP登录凭证获得了Netgear路由器的访问权限。

研究人员2年前就警告称,带远程数据访问功能的Netgear路由器,如果没更新默认FTP身份验证凭证,很容易遭到入侵。尽管已经过去了2年,问题仍然存在,还很普遍。Recorded Future 在研究中发现了超过4000台易遭攻击的路由器。

该漏洞利用并不难。使用Shodan的主机数据搜索引擎,黑客扫描了互联网大量网段,找寻启用标准21端口的路由器以劫持所有被入侵机器上的有价值文档。

黑客首先渗透了内华达州克里奇空军基地432d飞机维修中队收割者维护小队一名队长的计算机,盗取了一系列敏感文档,其中就包括收割者无人机维护培训教材,以及负责维护收割者的人员名单。虽然教材本身不是机密级,但若在有心人手中,通过这些教材是能够评估这一全球最先进无人机的技术功能和弱点的。

这名队长的计算机似乎是最近才被入侵的,尽管他完成了网络安全意识培训,但并未给存放敏感文件的FTP服务器设置口令。这让黑客很容易地下载到了无人机维护手册。该黑客出售的其他几十份手册的具体来源尚未确定。

“手册来源并未透露给 Recorded Future,但从内容上判断,应该是偷自五角大楼或某位陆军军官。”

这么黑客无意中透露出他还有从边境监控摄像头和无人机监控上查看敏感录像的习惯。他还吹嘘说自己甚至截取到了巡航在墨西哥湾乔克塔瓦什上空的MQ-1捕食者无人机的录像。

研究人员挖出了据认为是美军手册非法出售案某相关人员的姓名和居住国。Recorded Future 并未指认该为此事负责的国家,但表示会继续配合司法机构调查机密文档交易案。

早期的一些证据表明这是单个黑客或小型黑客团队作案,并非有组织犯罪或国家支持的黑客行动。

“军方响应团队将确定出泄露的具体波及面。但中等技术水平的一名黑客便能在一周内发现数台有漏洞军事目标并渗漏出高敏感信息的事实,昭示出有强大技术和财力支持的黑客团队将会达成何等惊悚的战果。”

暗网市场上充斥着包括个人信息在内各种各样的非法资料,但机密文档还是少有涉及。这最新一起军方手册出售案例是史无前例的。

“在暗网上发现个人可识别信息(PII)、登录凭证、财务信息和医疗记录这些敏感数据并不稀奇。但网络罪犯极少会盗取并在公开市场上出售军方文档。”

相关阅读

深网与暗网初学者指南

远离还是监视?企业应该怎样对待暗网