引发大国冲突、攻击政府网站、冒充恐怖组织，在美国网络安全界，一个神秘组织正受到严密监控。但他们是谁？他们在哪？他们有多少人？这些基本问题依旧迷雾重重……（本文来自BuzzFeed，由腾讯科技整合编译。）

最近，美国和俄罗斯正吵得不可开交，其中一个原因就是美国指责俄罗斯授权并帮助黑客干预大选。

尽管俄罗斯将黑客之说斥为“一派胡言”，但白宫最近公布的一份声明，还是将一个神秘组织推到了聚光灯下。

根据美国网络安全公司及学者的说法，这个名叫“奇幻熊（Fancy Bear）”的黑客组织，正是希拉里“邮件门”等一系列事件的幕后黑手。他们已密切关注该组织多年，但至今，即使是对诸如“奇幻熊内部有几名黑客”、“奇幻熊是固定组织还是松散联盟”这样的问题，也都还停留在猜测阶段。

至于那些骇人听闻的传说，更是真假难辨，我们也只能从美国安全专家的一面之词中，窥探这个黑客组织“斑斑劣迹”。

一个惊心动魄的早晨：奇幻熊或是邮件门背后主使

3月10日早晨，克林顿竞选团队的高级成员几乎都收到了一系列像是发自谷歌官方的邮件。邮件的主要内容是，要求他们点击链接查看他们谷歌邮箱账户近期的可疑操作。

点击连接后，浏览器便自动跳转至一个看起来同谷歌官方密码重置页面一模一样的网页，并要求他们输入账户、密码登陆邮箱。然而希拉里竞选团队的精英们不知道的是，从那一刻开始，他们就已经落入“奇幻熊”所设置的陷阱中了。

6月15日，《华盛顿邮报》根据来自网络安全公司Crowdstrike的消息指出，是一个来自俄罗斯的黑客组织入侵了美国民主党国家委员会（DNC）的邮件服务器，并曝光了近2万封邮件的内容。

从目前收集到的信息来看，成立于2007年的奇幻熊又名“Sofacy Group”、APT28、Pawn Storm或者Sednit，攻击对象多为政府、军队及安全机构，是高级持续性威胁（Advanced Persistent Threat，即APT）攻击的典型代表。

尽管奇幻熊如今已经名声大噪，但没有人可以确认这一组织的具体黑客数量，也不知道该组织的总部位于何处，甚至不知道这一组织给自己定的正式名称是哪个。

所到之处一片焦土：奇幻熊传说中的“斑斑劣迹”

与之神秘身份相对的是，奇幻熊传说中发动的网络攻击却几乎都是大手笔。

除了黑掉美国大选外，奇幻熊的最新“战绩”就包括在里约奥运会期间侵入世界反兴奋剂机构（WADA）数据库。

里约奥运会“熊出没”

今年奥运期间，奇幻熊先后四次曝光了WADA数据，包括体操4金得主拜尔斯、网坛名将大小威廉姆斯以及男子5000米和10000米双料冠军法拉赫在内的几十名运动员均因此卷入禁药丑闻。

　　奇幻熊在Twitter上曝光大小威廉姆斯服用禁药

尽管WADA和受牵连的运动员们反复强调，他们服用禁药都是“以治疗为目的”，合法合规，但随后媒体的一系列深度曝光依然将禁药豁免权问题推上了风口浪尖。

据BBC报道，迫于奇幻熊的压力，英国率先自曝，在里约奥运会上有53人服用禁药，当然都使用了禁药豁免权。

法国电视台险遭之灾

如果你觉得里约奥运会事件还只是“小打小闹”，那么接下来这起事件可就称得上是灾难了。

2015年4月8日晚上，法国国营的国际电视五台（TV5Monde）突然遭到自称是来自极端组织“伊斯兰国（ISIS）”的黑客攻击，电视台和其官方Facebook账号都开始发布有关“圣战”的内容。

　　法国TV5Monde被黑后的Facebook账号

当时几乎全球媒体都对此事进行了报道。但是直到一个月后，负责调查该事件的网络安全公司才有了结果，他们认为，奇幻熊正是这起事件的主使。其中一家公司FireEye在接受BuzzFeed记者采访时表示，他们是通过比较攻击者的IP地址及此前奇幻熊攻击事件中的IP地址得出的结论。

TV5Monde电视台台长Yves Bigot回忆说，当天晚上8:40，他们接到无数报告，称该电视台的所有12个频道全部瘫痪，而且每分钟都有更多系统遭到破坏。当时，电视台的一位工程师迅速找到了受影响的机器，并切断网络，才终止了这场攻击。

战争中格鲁吉亚政府网站被黑

时间再往前追溯，2008年6月末，也就是在俄罗斯格鲁吉亚战争的前三周，一个由僵尸电脑（指感染恶意软件后受控于黑客的电脑）构成的网络开始对格鲁吉亚政府网站发动攻击。

格鲁吉亚政府网站的服务器因收到数以百万计的访问请求而濒临崩溃，当时的格鲁吉亚总统萨卡什维利的网页也瘫痪长达24小时，许多新闻媒体的网站也纷纷沦陷。

8月9日，战争开始，格鲁吉亚的网络陷入全面瘫痪，总统萨卡什维利的网页遭到篡改，黑客把他的照片和希特勒的照片放在了一起。

　　陷入瘫痪的格鲁吉亚政府网站

据网络安全领域的研究者分析，奇幻熊正是参与此次行动的组织之一，这也是网络攻击与现实中军事冲突同时发生的最早案例之一。

作案手段居然很low？

好了，到这里，你一定在猜如此叱咤风云的黑客组织到底使用了哪些高精尖技术。

如果这么想，你就不免要失望了。一些研究者表示，奇幻熊虽然在某些行动中使用了复杂而又昂贵的恶意软件，但他们最常用的伎俩还是钓鱼邮件。用户一旦打开邮件中的链接，就会跳转到一个和正规网站看起来一模一样的网站，以此骗取账号密码，或在用户电脑上安装恶意软件。

“他们伪造的谷歌网页真的很逼真，”网络安全公司SecureWorks的资深研究员Phil Burdette表示，他还说，如果不仔细看网址，还真是分辨不出来。

SecureWorks曝光的“邮件门”中钓鱼网站截图及网址

“这些黑客攻击几乎总是始于钓鱼邮件，他们也不傻，因为如果这种小伎俩就可以搞定，为什么还要用‘牛刀’呢？”网络安全公司Invincea的CEO Anup Ghosh表示。

另据网络安全专家提供的数据，大约有一半人都会打开钓鱼邮件。而在“邮件门”中，克林顿竞选团队成员也恰好有一半人上钩，但这已经足以让奇幻熊的计划得逞。

这种作案手段似乎并没有什么稀奇，但奇幻熊的阴影依然笼罩着网络安全界。

美国国防部的一位要求匿名的官员说：“如果把奇幻熊比作一个在学校操场上玩耍的小孩子，那么他就是那个抢了你的橙汁还要当着你的面喝完的淘气包，完事后还可以大摇大摆地离开，而不受任何惩罚。”