“黑客帝国”开展网络攻击又添实锤

本期关键词：美国 情报机构 网络攻击

“黑客帝国”再次被揪住了狐狸尾巴。颇具讽刺意味的是，这一次是美国的盟国---荷兰公开了为美国情报机构服务的黑客信息。荷兰《新鹿特丹商业报》2021年11月10日发布消息称，2016年，为获取中东外交人员和其他个人的信息，美国情报机构出动黑客攻击了总部位于荷兰的旅游电子商务公司---缤客（Booking.com）酒店预订网站，窃取了中东国家数千家酒店的客户数据、旅行计划和用户个人识别码等。在美国私人调查员的协助下，Booking.com的网络安全部门在两个月后确定了黑客是一个美国人，名为安德鲁，家住美国东海岸，在一家为美国某个情报机构工作的私营安全公司工作。这起攻击事件却因荷兰情报机构---荷兰情报与安全总局（AIVD）反应冷淡、甚至认为Booking.com的调查结果是“想当然的”，最终不了了之。

图片来源于网络

网络安全人员怀疑针对缤客公司的攻击由国家背景APT组织发起

Booking.com是世界上最大的预订平台，成立已有25年，拥有2800万个住宿单位可提供给客户。荷兰媒体新鹿特丹商业报（NRC Handelsblad）近日刊文曝光称，在最近出版的《De Machine》（《机器》）一书中，荷兰国家报纸NRC的三名记者描述了美国的间谍行为。

2016年初，Booking.com网站的一名安全人员在检查该公司用于网站设计测试的一台旧服务器时发现了可疑活动---这台服务器理应在使用完毕后清理干净，但它不但没有被清理，还被一个不知名的黑客秘密地作为渗透该公司内部网络并窃取大量酒店预订信息的跳板。作为全球最大的酒店预订网站，Booking.com网站的安全团队需要时刻准备好应对那些试图攻入该公司服务器并窃取其数百万用户包括姓名、联系方式、旅游目的地、信用卡支付信息等敏感数据的网络犯罪组织和数字窃贼。通常情况下，这些攻击者的目标是非法经济收益，例如2014年就曾有网络犯罪分子通过操纵呼叫中心向Booking.com网站用户拨打电话、骗取预定信息后进行诈骗。然而2016年的这一次是不同的，Booking.com网站大量的用户酒店订单数据被不知名黑客窃走，但这些高价值的数据之后却并未如往常那样被拿到暗网上交易---看起来攻击者感兴趣的根本不是用户的信用卡信息，同时也没有任何使用Booking.com网站服务的酒店或用户投诉称自己的数据被盗。在Booking.com网站的安全团队封堵网络漏洞并开始调查后，他们得出了一个重要的结论：实施这次攻击活动的可能不是一般的黑客，而是某个国家的情报机构。

Booking.com网站在此之前并未遇到过外国情报机构这样的对手，该公司管理层心照不宣的共识是：虽然怀疑他国情报机构在监视该网站的运作，但只要这类活动不被他们看到，就当无事发生。但这次不一样，Booking.com网站的安全团队已发现了一个疑似间谍的不知名黑客在该公司网络中活动，基于这个判断，他们启动了为期两个月的秘密调查。为避免调查活动惊动目标，由四名网络安全专家组成的调查小组将调查所得的所有数据都拷贝到移动硬盘或打印到纸上，并锁在一个只有用特殊钥匙才能打开的深蓝色保险柜中。

2016年3月，这个调查小组邀请了荷兰情报机构荷兰情报与安全总局的两名网络安全专家。在Booking.com网站阿姆斯特丹总部的某个拉上窗帘的房间里，调查小组向荷兰情报与安全总局的网络安全专家展示了不知名黑客正在寻找的数据：在沙特阿拉伯、卡塔尔、阿联酋等中东国家的酒店订单，他们还整理了一份黑客入侵Booking.com网站时使用的IP地址清单，他们想从荷兰情报机构处了解后者是否掌握这些IP地址的情况，不知名黑客到底是来自以色列、俄罗斯还是其他国家。然而荷兰情报与安全总局的两名网络安全专家对Booking.com网站调查小组提供的情况反应冷淡，他们表示，他们认识全球间谍界的“大人物”，但这些情况对Booking.com网站的调查小组“毫无意义”；他们可以把Booking.com网站调查小组获得的数据带回单位进行分析，其中一个专家还拿出了一个新买的移动硬盘——欧洲最大消费电子商店MediaMarkt的价格标签都还贴在上面。

缤客公司 图片来源于网络

锁定为美国情报机构工作的黑客

这次会面让Booking.com网站调查小组的成员们非常沮丧。之后，他们转而向英国网络安全公司NCC集团（荷兰网络安全公司Fox-IT的母公司）求助，后者给出的建议是让他们雇佣一家在美国情报界有丰富人脉的美国私家侦探公司——以解决跨国公司人员安全及网络安全问题著称、雇员包括前美国海军特种部队成员及中情局特工的佛罗里达州阿克曼集团（Ackerman）。Booking.com网站的调查小组用了数周时间寻找不知名黑客的蛛丝马迹，很快黑客犯下的一个错误被发现：他在工作场所和家里都使用同一个手机浏览Booking.com网站，还用这个手机在该网站上预订酒店。取证人员还获取了黑客的社会安全号码和一个旧驾照。通过综合所有的数据，Booking.com网站的调查小组获得了这名黑客的真实身份：安德鲁，家住美国东海岸，在一家为美国某个情报机构工作的私营安全公司工作，他有时在家工作，有时在一个数据中心工作---这个数据中心实际是美国情报界的一个重要网络节点---英国NCC集团如此告知Booking.com网站的调查小组。安德鲁还在美国的办公时间登录，这表明他是一名全职雇员。安德鲁进入了Booking.com在中东地区（包括沙特阿拉伯、卡塔尔和阿拉伯联合酋长国）的数千家酒店预订系统，获取了包括外交官在内的Booking客户的姓名和他们的旅行计划。阿克曼集团的私家侦探之后给他拨去电话，安德鲁用明显的德州口音接电话---阿克曼集团的私家侦探立即挂断了电话。

荷兰情报机构和缤客公司管理层对调查结果反应冷淡

综上所述，Booking.com网站的调查小组已确信该网站被为美国情报机构工作的黑客攻击。尽管Booking.com网站的安全团队对他们的发现十分兴奋，但荷兰情报机构和该公司管理层的反应却很冷淡，荷兰情报与安全总局认为Booking.com网站调查小组得出的结论是“非常想当然的”，而该公司的管理层则认为没有用户登录信息或信用卡信息被盗，因此这个事件对该网站用户来说是“低风险的”。外界现在已无法获悉在调查过程中发挥重要作用的Booking.com网站安全人员如何看待这一结果，他在事件结束之后不久就辞去工作，因为他拒绝在一家准备以Facebook Workplace作为内网社交平台的公司内工作，他认为这是“与魔鬼同床共枕”。

缤客公司没有通知客户数据泄露事件

缤客公司将这次黑客攻击事件告知了荷兰情报部门AIVD请求其帮助调查，但没有通知受影响的客户或荷兰数据保护局（AP）。缤客公司管理层称，根据霍金路伟律师事务所的建议，它当时没有法律要求这样做。据相关人士透露，Booking公司IT专家对管理层对数据泄露保持沉默的决定感到不舒服。专家们对这一决定也持批评态度。根据当时适用的隐私法，当有关的数据泄露可能会对个人私人生活产生不利影响时，公司必须通知受影响的人。根据莱顿大学法律和数字技术教授Gerrit-Jan Zwenne的说法，Booking公司不能假设相关人员不会受到间谍活动的影响，这种被窃取的信息可以用来将人们列入禁飞名单，禁止他们进入特定国家或对他们进行窃听。

酒店住客是西方情报机关的重要攻击目标

美国情报界大肆监听监控全球政要，就算盟友也不放过。早在2013年，美国前防务承包商雇员爱德华·斯诺登就揭露了美国情报部门广泛监听国内外电话及互联网通信的行为。今年5月，美国国家安全局被曝利于2012年和2014年，通过丹麦的信息电缆监视瑞典、挪威、法国和德国的高级官员，被监视对象还包括德国前总理默克尔。

美国等西方情报机构对于酒店预订网站的数据感兴趣并不奇怪，因为Booking.com等酒店预订网站知道用户在何时住在何处，比如公司高管及外交官们在哪里，有谁正在前往可疑的国家或地区。爱德华.斯诺登在2013年已向全世界展示了美国国安局（NSA）对于掌握全球数据的欲望有多么强烈，英国情报机构政府通信总部（GCHQ）也惯于以“英国皇家礼宾部”为掩护身份，通过酒店预订网站监控外国政府官员和外交官们的旅行动向，之后再在其目标人物所居住的酒店房间内安装窃听装置或派人到酒店餐厅酒吧偷听目标人物的交谈。韩国政府支持的Darkhotel（黑店）APT组织通过控制酒店内部的WiFi网络，有选择地攻击企业高管、政府机构、国防工业等重要人员，攻击目标包括中国、朝鲜、日本俄罗斯等国家。

（参考来源：荷兰新鹿特丹商业报网站、荷兰时报网站等）