打开网易新闻 查看精彩图片

周五FBI发了一份警报,把伊朗政府黑客的操作手法抖了个干净。他们专挑异见人士、反对派和记者下手,工具不是什么高端零日漏洞,而是你每天都在用的Telegram。

攻击分两步走。第一步,黑客冒充熟人或技术支持,骗目标点击伪装成Telegram、WhatsApp的恶意文件。目标一安装,第二步就启动:设备自动连上Telegram机器人,黑客远程接管,翻文件、截屏、录Zoom会议,全程走Telegram的正常流量,安全软件根本分不清哪条是恶意指令。

FBI说,这批黑客隶属伊朗情报与安全部(MOIS),行动服务于政权的「地缘政治议程」。警报里还点了Handala的名——这个亲伊朗、亲巴勒斯坦的假黑客组织本月刚认领了对医疗巨头Stryker的攻击,数万台员工设备被清空。Stryker周一向SEC提交的8-K文件显示,公司还在恢复中。

用即时通讯工具当C2服务器不是新招,但选Telegram确实精明:它在全球被封禁的概率低,流量特征又和普通用户无异。换句话说,防御方想拦截,得先有能力从海量正常聊天里捞出那几条恶意心跳。

Handala至今没回应FBI的点名,其Telegram频道最后更新停留在庆祝Stryker攻击「成功」的帖子。