繼FBI和DHS發(fā)布聯(lián)合報(bào)告，奧巴馬對(duì)俄羅斯涉嫌干預(yù)美國(guó)大選進(jìn)行制裁之后，事態(tài)進(jìn)一步發(fā)酵，比如最近華盛頓郵報(bào)撰寫的新聞《俄羅斯黑客利用佛蒙特州的公共設(shè)施滲透美國(guó)國(guó)家電網(wǎng)》，俄羅斯似乎已經(jīng)是千夫所指了。但發(fā)展的方向卻好像并不是美國(guó)官方預(yù)期的那樣——很多安全專家都認(rèn)為，先前發(fā)布的那份聯(lián)合報(bào)告實(shí)際上并沒(méi)有什么軟用。

俄羅斯頂風(fēng)作案?

就在不久前，美國(guó)《華盛頓郵報(bào)》發(fā)布一篇標(biāo)題為“俄羅斯黑客利用佛蒙特州的公共設(shè)施滲透美國(guó)國(guó)家電網(wǎng)”的文章再次讓俄羅斯成為頭條，文章中提到此消息是來(lái)自美國(guó)官方的匿名舉報(bào)，文章的主要內(nèi)容就是俄羅斯黑客入侵了美國(guó)電網(wǎng)。這篇文章引起廣泛關(guān)注，令多名美國(guó)政客發(fā)起針對(duì)俄羅斯與黑客的警告言論。

但是，作為此次事件的受害者，所謂的佛蒙特州的公共設(shè)施，即伯靈頓電力公司發(fā)表聲明對(duì)這起指控進(jìn)行反駁。

在華盛頓郵報(bào)的文章中提到，能夠發(fā)現(xiàn)這起入侵還要多虧了FBI和DHS發(fā)布聯(lián)合報(bào)告(JAR)，在報(bào)告中曾將Grizzly Steppe作為俄羅斯的一系列入侵行為的代號(hào)。因?yàn)閳?bào)告中發(fā)布了一段惡意代碼的樣本，而這段代碼在佛蒙特州的公共設(shè)施即伯靈頓電力部門中被檢測(cè)出來(lái)了。

但是柏林頓電力卻在聲明中說(shuō)：“公司檢測(cè)到的運(yùn)行Grizzly Steppe中惡意代碼的筆記本并沒(méi)有連接國(guó)家電網(wǎng)。在發(fā)現(xiàn)惡意代碼后，公司立即采取應(yīng)急措施：將筆記本隔離并警告了聯(lián)邦當(dāng)局?！?/p>

安全專家：證據(jù)不足

Wordfence的安全專家在分析了這段由美國(guó)政府提供的作為指控俄羅斯黑客入侵美國(guó)國(guó)家電網(wǎng)的證據(jù)：PHP惡意軟件樣本和IP地址之后，隨后發(fā)布了一份更有意思的報(bào)告。

專家對(duì)這段惡意代碼追根溯源到了一款叫做P.A.S.的在線工具，而這款工具是“烏克蘭制造”。

也有安全專家直接批判美國(guó)政府并沒(méi)有提供強(qiáng)有力的證據(jù)能證實(shí)俄羅斯確實(shí)干涉了美國(guó)大選。此外，聯(lián)合報(bào)告(JAR)中提到的一些所謂的IoC并不確鑿，還很容易帶來(lái)誤導(dǎo)。

在柏林頓電力公司發(fā)布聲明之后，華盛頓郵報(bào)也改寫了原本的報(bào)道新聞，說(shuō)是當(dāng)局并沒(méi)有任何國(guó)家電網(wǎng)被滲透的證據(jù)。還將標(biāo)題改為“俄羅斯入侵佛蒙特州的公共設(shè)施，美國(guó)國(guó)家電網(wǎng)存在安全風(fēng)險(xiǎn)”。但這依舊被安全專家稱為FUD(Fear,Uncertainty,Doubt)。

此次的事件可能跟俄羅斯并沒(méi)有特別大的關(guān)系，但是之前烏克蘭已經(jīng)遭遇過(guò)類似攻擊。像是2015年12月烏克蘭的大規(guī)模嚴(yán)重停電事件和近期由于網(wǎng)絡(luò)攻擊造成的多次斷電情況，俄羅斯都難辭其咎。

川普要給俄羅斯洗白?

川普在2016年12月31日說(shuō)，他知道一些“別人不知道的”關(guān)于俄羅斯干涉美國(guó)大選的內(nèi)幕，而他會(huì)在本周二或周三的時(shí)候公布出來(lái)。

紐約時(shí)報(bào)的記者在川普位于佛羅里達(dá)棕櫚灘的Mar-a-Lago房產(chǎn)對(duì)這個(gè)70歲的老人進(jìn)行了采訪，采訪中川普對(duì)FBI和DHS發(fā)布的聯(lián)合報(bào)告的真實(shí)性表達(dá)了自己的疑慮。

川普說(shuō)：“對(duì)于這種嚴(yán)厲的指控，我希望他們清楚自己在做什么?！贝ㄆ者€援引了小布什政府在2003年對(duì)伊拉克發(fā)起攻擊的說(shuō)辭，“你們說(shuō)對(duì)方有大規(guī)模殺傷性武器，會(huì)造成一場(chǎng)災(zāi)難，但事實(shí)證明你們錯(cuò)了。”

另外，川普還建議大家在不要用電腦去處理敏感數(shù)據(jù)了?！罢?qǐng)切記，如果你有什么重要的信息，寫下來(lái)并利用傳統(tǒng)的快遞方式去投遞，因?yàn)闆](méi)有電腦是安全的。”

JAR報(bào)告到底有多少含金量

繼上周JAR報(bào)告發(fā)布之后，奧巴馬的強(qiáng)勢(shì)態(tài)度以及一系列針對(duì)俄羅斯的制裁就吸引了全世界的眼球，更是引發(fā)了多方議論。但隨著時(shí)間的推移，經(jīng)多個(gè)安全專家鑒定研究，這份報(bào)告好像并不像它宣稱的那樣真實(shí)可信，那么其中到底有多少內(nèi)容有水分，這份報(bào)告真的能夠證明俄羅斯存在針對(duì)美國(guó)的黑客行為嗎?這就要看看安全專家的意見(jiàn)了。

有部分專家認(rèn)為，報(bào)告中所說(shuō)的APT29及APT28黑客組織針對(duì)美國(guó)大選的入侵并不能證明是由俄羅斯政府指使的。安全專家Robert Graham說(shuō)，“這份報(bào)告是作為政治工具被發(fā)布的，目的就是為了給俄羅斯干涉美國(guó)大選提供證據(jù)?！眻?bào)告給出的證據(jù)質(zhì)量很差，并沒(méi)有太大的說(shuō)服力。

JAR報(bào)告中有提到利用YARA監(jiān)測(cè)到了一個(gè)俄羅斯和烏克蘭黑客經(jīng)常使用的叫做“PAS TOOL WEB KIT”的web shell工具，這里所說(shuō)的YARA rules，通常是安全研究人員用來(lái)識(shí)別和分類惡意軟件樣本的開(kāi)源工具。

??

[[181507]]

Graham反駁道：“同樣的web shell存在于所有被入侵的受害者電腦中，YARA規(guī)則的優(yōu)勢(shì)就在于能夠根據(jù)入侵者經(jīng)常使用的工具來(lái)追蹤他。但是在報(bào)告中，他們用YARA追蹤了所有P.A.S.web shell的受害人，而使用了這種入侵工具的黑客沒(méi)有上千、也有成百。所以很難從這么多的受害人之中找到真正的入侵原因，除非報(bào)告還隱藏了一些其他因素。”

Dragos的CEO及創(chuàng)始人Robert M. Lee同樣認(rèn)為JAR報(bào)告中存在證據(jù)不足的問(wèn)題，他認(rèn)為其中的技術(shù)細(xì)節(jié)并不能證明兩次攻擊的意圖：除了將兩次攻擊歸咎于APT黑客組織，并沒(méi)有揭露什么新的有力證據(jù)。

??

[[181508]]

Lee認(rèn)為JAR應(yīng)該包括俄羅斯惡意軟件的解密信息，俄羅斯所用的新技術(shù)或新策略的細(xì)節(jié)，并對(duì)之前發(fā)布的一些非官方數(shù)據(jù)加以驗(yàn)證。但是這些目前都沒(méi)有看到。Lee還認(rèn)為報(bào)告利用很多交織在一起的數(shù)據(jù)來(lái)制造混亂，既沒(méi)能提供部分?jǐn)?shù)據(jù)的源(令信息不可用)，還有一些數(shù)據(jù)用來(lái)混淆視聽(tīng)，像是IP地址什么的。

不過(guò)在Lee看來(lái)，并不是撰寫報(bào)告的人沒(méi)有做好他們工作，而是經(jīng)過(guò)一系列政府和官員的審查之后很多關(guān)鍵信息都被刪了，就像美國(guó)情報(bào)機(jī)構(gòu)對(duì)公眾發(fā)布的任何消息都一直這么做一樣。