新型云间谍攻击瞄准北约，专家提醒：钓鱼手法已全面升级

近日，全球网络安全研究机构披露了一起重大的国家级网络间谍行动，代号“Void Blizzard”（虚空暴风）。该组织被指由俄罗斯政府支持，正利用一种高度隐蔽的“中间人钓鱼”（AitM）技术，结合“活在当地”（Living-off-the-Land, LotL）策略，持续对北约成员国的政府与军事机构发起精准攻击。

与传统钓鱼邮件不同，“Void Blizzard”的攻击手段更加狡猾。他们不再依赖诱导用户点击恶意链接或下载病毒文件，而是通过伪造几乎与真实登录页面一模一样的钓鱼网站，直接在用户输入账号密码的瞬间截取凭证。更危险的是，这些伪造页面往往能绕过双重身份验证（2FA），让安全防护形同虚设。

“这就像你去银行取钱，门口的保安很严格，但骗子在银行门口搭了个‘假柜台’，你把卡和密码交了，还以为进了真银行。”公共互联网反网络钓鱼工作组技术专家芦笛在接受采访时表示，“AitM钓鱼的核心，就是‘中间人’——它夹在你和真正的服务之间，悄悄复制你的所有操作。”

一旦获取凭证，攻击者并不会立刻暴露。他们利用被盗账号登录合法的云服务（如微软Azure、Google Workspace等），将这些平台变成命令与控制（C2）服务器，进行数据窃取和远程操控。由于流量看起来完全正常，传统的防火墙和杀毒软件很难发现异常。

“这就是‘活在当地’策略的可怕之处。”芦笛解释道，“攻击者不带‘武器’进屋，而是用你家的刀叉作案。他们用的工具全是系统自带的，比如PowerShell、WMI，甚至云平台的管理接口。没有恶意文件落地，杀毒软件自然‘看不见’。”

更令人担忧的是，这种攻击具有极强的潜伏能力。研究人员发现，“Void Blizzard”能在目标网络中隐藏数月甚至更久，持续收集敏感文件、通信记录和内部权限信息，为后续更深层次的渗透做准备。

目前，该组织主要针对欧洲和北美地区的政府机构、国防承包商和外交部门。尽管尚未发现对中国境内目标的直接攻击，但专家警告，此类技术已趋于成熟，未来可能被用于更广泛的网络间谍活动。

面对如此高阶的钓鱼攻击，普通用户和机构该如何防范？

芦笛建议：“第一，启用真正的多因素认证（MFA），尤其是基于物理安全密钥（如YubiKey）的认证方式，能有效抵御AitM攻击；第二，警惕任何登录页面，尤其是通过邮件或短信收到的链接，尽量手动输入官网地址；第三，加强内部监控，对云服务的异常登录行为进行实时告警。”

此外，企业和机构应定期开展网络安全演练，提升员工对新型钓鱼手段的识别能力。技术团队也需部署更先进的威胁检测系统，关注异常的API调用和数据传输行为。

“网络钓鱼早已不是‘发个假链接’那么简单了。”芦笛强调，“它已经进化成一场结合社会工程、身份欺骗和云技术的精密作战。我们每个人都可能是目标，保持警惕，才是最好的防线。”

编辑：芦笛（公共互联网反网络钓鱼工作组）