【导读】上个月，乌克兰研究员意外发现了一个存储着4200万伊朗Telegram用户信息的服务器，其中不乏用户名、电话、密钥等机密数据。这些数据在分布式搜索引擎Elasticsearch上曝光了大约11天，直到该研究员提交滥用报告后才被删除。然而，事情却远远没有结束。近日有消息称，这项有着“狩猎系统”数据泄露的背后是伊朗政府在使用聊天应用进行间谍活动，而且相关信息进一步证实：此次活动的执行者为伊朗国家级APT组织“迷人的小猫”（Charming Kitten）。

Telegram：一款即时通讯软件。由于其极强的安全性能，深受伊朗最受欢迎，尤其被持不同政见者和政府反对者使用。Telegram相关优势如下：

• 采用端对端加密方式，所有聊天内容（包括附件）均不会通过其服务器传输；

• 提供“阅后即焚”的定时设置，即一定时间后，私密消息便会自动消失；

• 具备强调加密和“频道”特性，允许用户向无限数量的订阅用户广播；

• 不用手机号码也可以在Telegram创建用户名，无需担心暴露与用户名绑定的电话号码。

• 
  

神秘“狩猎”服务器

上个月，乌克兰研究员Bob Diachenko在修复互联网数据时，在分布式搜索引擎Elasticsearch上发现了一个无需任何验证即可访问的神秘服务器。

该服务器名为“狩猎系统”，其中秘密存储了4200万条伊朗Telegram账户信息，包括用户名、电话、个人简历、哈希、密钥等机密数据。它们在网络上公开曝光了大约11天，直到Diachenko提交了一份滥用报告后才被删除。

此事一出，立即引发安全界的一阵警觉。首先，Telegram是一款具备超高安全性能的即时通讯软件。如今却被曝用户数据泄露，为什么？

对此，Telegram官方第一时间做出回应，并强调，泄露的数据来自非官方的Telegram应用，而是所谓的Telegram“分叉”，它们与官方公司无关。

“我们可以确认，这些数据似乎来自提取用户联系人的第三方分叉。不幸的是，尽管我们发出了警告，伊朗的人们仍然在使用未经验证的应用程序。Telegram应用是开源的，所以使用我们支持验证的官方应用非常重要。”

由于Telegram是一个开源应用程序，允许第三方创建自己的版本。所以，上述“分叉”版本的Telegram有可能出现。 尤其，在2018年初Telegram被伊朗永久封锁后，伊朗用户借助Telegram开源程序的特性，创建了许多第三方的Telegram“分叉”应用，如TelegramTalaeii和Hotgram等继续广泛使用。据估计，截至2018年12月，Talaeii和Hotgram已累积了约3000万用户。

可以说，这是一起因使用了“非官方的伊朗Telegram应用”导致的巨额用户数据泄露事件。

其次，从“狩猎”这一关键词到几乎“全员用户感染”，此次事件有何重大隐患？ 

开篇我们已知，“狩猎”服务器中所列出的Telegram账户信息皆涉及到账号主人的核心隐私内容，透过这些数据完全可能被用来克隆使用者的其他账户，识别出匿名使用Telegram人的****，进而实现对特定目标人的监控活动。无论何种攻击，在4200万的数量级加持之下，此事都将造成灾难性的后果。

然而，更令人震惊的是，研究人员表示，"如果你的朋友中有人使用了你的号码，即便你自己没有用过Telegram的分叉应用，你的号码和用户名也有可能会出现在‘狩猎系统’的数据库中。” 

因为，在对比了“狩猎”服务器上的账户和Telegram上的账户后，发现：该服务器中的部分账户与官方Telegram应用的活跃用户有关。时间戳显示，部分Telegram用户记录的访问时间最早是在2020年3月。 

所以，尽管目前泄露数据的服务器已在网络上删除，但因已被曝光了近11天，一些间谍活动家或许已经掌握这些信息，一些不可知的重大隐患或许早已被埋下。

数据泄露幕后的惊人秘密

似乎“狩猎”一词，曝露了该事件远非巨额数据泄露这么简单。伴随进一步研究，一个惊人的秘密正“浮出水面”。

相关安全研究者根据曝光的数据信息内容，发现其背后“操盘手”为：伊朗国家级APT组织“迷人的小猫”（Charming Kitten），他们正在利用此内容进行间谍行动，而且这一结论被数个研究员证实。

其中关键点，是其中一安全研究员发现：存储用户数据的服务器被一个叫 Manouchehr Hashemloo的人注册到了德黑兰西北部的一个办公室。

紧接着，该研究员利用彭博新闻社看到的在线记录，确定Hashemloo使用的Gmail地址与一名与伊朗政府有联系的知名黑客使用的Gmail地址相同。

该知名黑客名叫ArYaIeIrAN，据称他与伊朗政府支持的黑客组织“迷人的小猫”（Charming Kitten）有关联。

“迷人的小猫”黑客组织：成立于2014年，主要针对伊朗持不同政见者、学者、记者和人权活动家发起攻击，通常会利用私人电子邮件和Facebook帐户的访问权限，渗入目标的社交网络收集信息，并以此突破目标社交网络，进而攻击其他帐户。

为此，该研究员断定，建立 "狩猎系统 "服务器的人很可能是为伊朗政府工作。而有关这一行动的目的，智库猜测或许与伊朗政府监控本国公民动向、遏制舆论恐慌，维护本国政权稳定有关。

当下全球新冠疫情蔓延，伊朗国内局势也不容乐观，第一副总统贾汗吉里感染新冠肺炎后，包括三名内阁成员在内的多名官员也相继确诊，而与此同时，其劲敌美国依然在一旁虎视眈眈，值此动乱时刻，维护政权稳固自然是伊朗政府的首要任务。

而有关此事，截至目前，伊朗网络警察部门没有回应置评请求。伊朗通信和信息技术部副部长AmirNazemi表示，他已向伊朗总检察长办公室提交了关于数据泄露事件的投诉，但他拒绝就网络警察或其他政府机构是否参与 "猎杀系统 "发表评论。

智库时评

此前，伊朗就曾有选择地针对特定人群的账号，并对其进行黑客攻击。但此次 "狩猎系统”的曝光，表明伊朗当局正在使用新的、更激进的技术来收集和分析关于其公民的巨量信息。就连研究员都表示："这是我第一次看到，他们试图大规模分析数据的证据。"