郭一璞 发自 凹非寺 
量子位 报道 | 公众号 QbitAI

Yandex，这家被称作“俄罗斯百度”的搜索公司，被包括FBI、MI5在内的西方情报机构盯上了。

据路透社曝光，西方情报机构五眼联盟对俄罗斯搜索引擎Yandex植入了黑客软件Regin。

Regin，也被证明是棱镜门事件的作案工具。

被黑客攻击的Yandex，是一家俄罗斯互联网公司，头牌产品是搜索引擎，在俄罗斯市场占有率超过60%，相当于美国的Google，中国的百度。

此外，他们也有网约车、地图、支付、社交、AI语音助手、自动驾驶等业务，业务版图覆盖俄罗斯、乌克兰、白俄罗斯、哈萨克斯坦、乌兹别克斯坦等多个国家，可以说是斯拉夫世界的互联网巨头。

但是，这些情报机构并非直接通过黑客软件偷Yandex公司的情报，而是想要偷走这家公司给用户加V认证的技术，这样好开小号，装作是被认证的人物，并借此获取情报。

最后，非但没有成功，还被现场抓了包。

偷技术，装大V，搞情报

向路透社爆料的消息人士说，该软件的植入可以刺探Yandex用户账户的情况，背后的黑客似乎想要通过Regin寻找关于Yandex用户认证的技术信息，这样就可以冒充Yandex用户，窃取私人信息，用这种方式来进行间谍活动。

换一种方式来解释的话，就像黑客偷走社交网站的加V认证技术，给自己的小号加V，这样就能冒充知名人物招摇撞骗了。

而发起攻击的五眼联盟，是美国、英国、加拿大、澳大利亚、新西兰五个国家的情报组织，美国中央情报局（CIA）、联邦调查局（FBI）、国家安全局（NSA），英国军情五处（MI5）、军情六处（MI6）等著名情报机构都在五眼联盟范围内。

这起黑客攻击事件发生在去年10月和11月，Yandex发言人Ilya Grabovsky承认了这起攻击事件，表示在攻击初期就被Yandex安全团队发现，在造成破坏之前，恶意软件已经被清除掉了，因而没有用户数据被泄露出去。

攻击不成，反而一开始就被揪了出来，真是尴尬。

但是，Yandex是怎么确定这场攻击来自五眼联盟呢？

这个结论来自俄罗斯网络安全公司卡巴斯基(Kaspersky)。

爆料者说，Yandex曾经就此向卡巴斯基寻求帮助。卡巴斯基认为，这起攻击的事瞄准了Yandex公司的一个开发团队。

并且，卡巴斯基就此作了一份不公开的评估，将结论的矛头指向了这些西方情报机构，认为是他们用Regin软件入侵了Yandex。

无独有偶，美国网络安全公司赛门铁克（Symantec）最近也发现了新版的Regin软件，不过涉及客户机密，赛门铁克没有公开说是从哪里发现了Regin的踪迹。

“棱镜门”作案工具Regin

攻击Yandex的黑客软件Regin则是一个彻头彻尾官方背景的工具。

它出身美国国家安全局（NSA）和英国政府通信总部（GCHQ），针对Windows系统的计算机，背后连接NSA和GCHQ两个幕后机构。

在棱镜门事件的调查结果中，被NSA窃取资料的电脑上就发现了Regin存在的迹象，而英国GCHQ攻击比利时电信公司Belgacom也被怀疑利用了Regin。

根据卡巴斯基的信息，虽然早在2003年就出现了Regin的样本，但直到2012年他们才意识到这个恶意软件的存在。直到2014年11月，Regin才被卡巴斯基、赛门铁克和新闻网站The Intercept公之于众。

鉴于身后的“爸爸”都是西方世界的大国，Regin这个服务于情报机构的黑客软件常常被用在那些和“爸爸”们关系不太好的国家身上。

△ 图片来自赛门铁克

根据赛门铁克2014年的数据报告，被Regin感染的计算机中，大约28%都在俄罗斯，24%在沙特阿拉伯，另外墨西哥、爱尔兰、印度、阿富汗、伊朗、比利时、奥地利、巴基斯坦也都出现了Regin的攻击事件。

△ 图片来自赛门铁克

另外，他们攻击的目标也不限于大公司和政府机构，一大部分被攻击的计算机都是普通人自家的电脑和小公司的电脑，另外还有通信、医疗、能源、航空、科研等不同机构的电脑。

[1] https://cn.reuters.com/article/hacker-2018-russia-yandex-0628-idCNKCS1TT053
[2] https://www.symantec.com/connect/blogs/regin-0

—完—