Bellingcat机构研究人员在调查马航MH17坠机事件期间受到鱼叉式网络钓鱼攻击和账号入侵威胁。

网络安全专家再次发出警告：一场针对调查马航 MH17 坠机事件记者们的黑客攻击活动正在袭来。Bellingcat机构已经连续一年多不断地遭受着鱼叉式钓鱼攻击，并且账户险些被盗取。另外，该机构因其对世界各地强权政府和机构的调查而闻名于世。

昨天路透社报道称马航MH17是被亲俄叛军发射的俄制导弹击落的：

国际调查员周三称，击落马来西亚航班MH17导弹的发射器是从俄罗斯被运送到乌克兰，放置在一个小村庄，并被亲俄叛军所控制。路透社的一篇文章中写道， 这次坠机事件曾一度引起俄罗斯和西方世界的关系紧张。在耗时两年，通过对大量窃听设备、目击者证词的调查和司法取证，国际调查员们得出上述结论。

背后的攻击者可能和俄罗斯政府有关

调查此次攻击的ThreatConnect猜测攻击者可能与俄罗斯政府有较强的联系，他们主要攻击对象是那些曾撰文批评俄罗斯政府的公民记者。从Bellingcat机构创始者Eliot Higgins分享的数据显示至少两个俄罗斯民族国家组织参与其中。

ThreatConnect的专家称Fancy Bear APT黑客组织参与了这场攻击，该组织之前因攻击美国总统大选系统和参与者而上了新闻头条。

“因为我们曾发布过一篇文章——《DCleaks背后的俄罗斯力量》，Bellingcat就联系了我们。Bellingcat 是一个公民记者调查组织，发表过很多批评俄罗斯的文章，也是2014年马航MH17在乌克兰坠毁事件国际调查的主要力量。”

“Higgins分享给我们的数据显示Bellingcat受到了来自俄罗斯的攻击者的攻击，经我们进一步调查识别出此次鱼叉式钓鱼攻击与FANCY BEAR之前的攻击手段、技术和流程完全一致。”

ThreatConnect的专家称Bellingcat机构自从开始调查2014马航MH17坠毁事件后就成为了Fancy Bear APT的攻击对象。此次攻击背后的第二个组织是CyberBerkut，一群亲俄的乌克兰黑客。

政府黑客向3名Bellingcat调查人员发动攻击

在2015年2月和2016年6月，这群由政府支持的黑客发起了对3名Bellingcat调查人员的鱼叉式钓鱼网站攻击，企图窃取信息。攻击者使用伪造的Gmail安全提示，试图诱导目标对象点击嵌入的链接。不过，据ThreatConnect，攻击并没有成功。

“攻击者使用了伪造的Gmail安全提示警告目标对象其账户存在可疑行为，并提示其点击一个URL以查看详情。”

报道中还分析了CyberBerkut今年早些时候对 Bellingcat网站的破坏和盗取政府反对派博主Ruslan Leviev账户的行为。ThreatConnect猜测Leviev’s邮箱账号服务商Yandex被俄罗斯情报机构或者公司内部员工操控了，当时攻击者对Yandex服务器发起了一次零日攻击。

“2015年5月22日，Yandex发布了他编著的一些公民新闻，探讨了五月初在乌克兰的一场战斗中被杀死的俄罗斯特种部队士兵的话题。根据Higgins的说法，Leviev的账户被盗用，并发布了一些 CyberBerkut的信息。Leviev在电子邮件访谈中说他在Yandex服务器上的旧邮箱账户被黑了，尽管他的密码很长而且强度高：没有一个单词，是由很多字母，数字和特殊符号组成，而且还绑定了手机号作为第二道安全屏障，但还是被成功黑掉。具体怎么被黑的，我不清楚：

1. 要不然是公司员工，在他们的协助下截取了SMS 认证码；
2. 又或是有当局的官员或是在当局官员的协助下直接访问了Yandex邮箱服务器，并从我的旧邮箱中获取了邮件；
3. 或者是他们知道别人不知道的Yandex邮箱漏洞。

根据TrendMicro的说法，这已经不是俄罗斯黑客第一次采取行为搜集关于MH17坠毁的敏感信息。2015年10月Pawn Storm APT组织 (也就是 Fancy Bear)攻击了荷兰安全委员会试图搜集关于调查状态的信息。

“在2015年10月13日发布了一份关于MH17事件的详尽报告之后，荷兰安全委员会(也即 Onderzoeksraad)就变成了网络间谍组织的目标。我们相信有多个组织参与发起了一次攻击试图非法获取由荷兰、马来西亚、澳大利亚、比利时和乌克兰政府组织的调查中的敏感材料。”