美國是怎么確定俄羅斯黑了DNC的
數字線索將安全專家的視線引向普京政府,對于美國來說,從未有過如此近距離的機會,證明俄羅斯是幕后黑手。而這無異于重磅炸彈。
俄羅斯兩大間諜組織的操作人員從民主黨國家委員會(DNC)的計算機中滲漏了大量數據,就在美國大選幾個月之前。
其中一個組織被網絡安全公司CrowdStrike昵稱為安逸熊( Cozy Bear ),所用工具簡單又強大,可以將惡意代碼注入到DNC電腦中。另一個組織昵稱為奇幻熊( Fancy Bear ),可遠程奪取DNC電腦控制權。
10月份的時候,國土安全部(DHS)和選舉安全國家情報總監辦公室,認為俄羅斯就是DNC黑客事件背后黑手。10月29日,這兩個機構連同FBI,發布了一份聯合聲明,重申了該結論。
一周后,國家情報總監辦公室,在一份脫密報告中總結了其發現。幾天后,甚至特朗普總統也承認,“就是俄羅斯”——盡管本周早些時候參加《面向全國》( Face the Nation )節目是他還說“可能是中國”……
5月2日,美國眾議院情報委員會將聽取頂級情報官員的證詞,包括FBI局長詹姆斯·科米和NSA局長麥克·羅杰斯。但該聽證會并不對公眾開放,眾議院和參議院對俄羅斯試圖影響大選的調查,也沒有流出任何有關黑客攻擊的新消息。
我們或許永遠不會真正弄清美國情報界或CrowdStrike是否知道是俄羅斯干的,也無法得知他們是怎么知道的。我們確實知道的只有:
CrowdStrike和其他網絡偵探發現了攻擊工具,并稱他們觀測到安逸熊和奇幻熊用這些工具很多年了。安逸熊據信要么是俄羅斯聯邦安全局(FSB),要么是其對外情報局(SVR)。奇幻熊被認為是俄羅斯軍方情報機構格勒烏(GRU:俄羅斯聯邦軍隊總參謀部情報總局)。
發現這一點,是長期模式識別的成果——將黑客組織最常用的攻擊模式拼接出來,發現他們最活躍的時間段(用于定位時區),找出黑客母語標志和用于收發文件的互聯網地址。
曾任邁克菲和火眼公司CEO的戴夫·德瓦爾特說:“在100%確認前,你都只是在衡量這種種因素,就像在為系統收集足夠多的指紋一樣。”
看網絡偵探是怎么做的
4月,DNC高層讓其數字鑒證專家和定制軟件進場,CrowdStrike將這些知識用了起來,發現網絡賬號被操控、惡意軟件被安全、文檔被盜的時間,找出是誰在他們的系統里搗亂,為什么搗亂。
CrowdStrike首席技術官阿爾佩洛維奇說:“幾分鐘之內,我們就檢測到了,并在24小時之內找到了其他線索。”
| 一個組織使用簡單又強大的工具去黑DNC。
——阿爾佩洛維奇 |
這些線索包含了PowerShell指令片段。PowerShell指令就像反向的俄羅斯套娃。從最小的娃娃開始,也就是PowerShell代碼。這只是看起來無意義的數字和字母組成的一個字符串。然而,打開以后,會彈出一個更大的模塊,理論上能對受害系統做任何事。
DNC系統中的一個PowerShell模塊會連接一個遠程服務器,下載更多的PowerShell模塊,往DNC網絡中添加更多的套娃。另一個模塊則安裝并運行登錄信息盜取工具MimiKatz。該工具可使黑客獲得有效用戶名和口令,在DNC網絡中暢行無阻,登錄網絡內一臺又一臺主機。這些都是安逸熊選擇的武器。
奇幻熊使用的工具名為X-Agent和X-Tunnel,可遠程訪問和控制DNC網絡,盜取口令,傳輸文件。另外還有供他們從網絡日志中清除痕跡的其他工具。
CrowdStrike此前多次見到過這種模式。
模式識別
阿爾佩洛維奇將自己的工作,與91年大熱電影《驚爆點》中基努·里維斯飾演的新人FBI探員所為相提并論。電影中,新人探員通過分析劫匪習慣和作案方法,找出了劫案背后黑手。阿爾佩洛維奇在2月的一次訪談中說:“他已經分析了15個銀行劫匪,所以他可以說,‘我知道是誰’。”
“同樣的事情也適用于網絡安全。”
證據之一,是一致性。德爾瓦特說:“鍵盤前的黑客不太會改變他們的手法。”他認為民族國家黑客很可能是職業的,要么是軍人,要么是情報人員。
模式識別,也是火眼旗下曼迪安特公司常用的分析方法,他們發現朝鮮在2014年侵入了索尼影業公司網絡。
朝鮮政府盜取了該公司4.7萬員工的社會安全號,泄露了內部文檔和郵件。因為索尼攻擊者留下了一個他們很喜歡的黑客工具,用來給硬盤反復填零清除數據的。網絡安全界之前就曾追蹤該工具到了朝鮮頭上,朝鮮使用該工具的時間至少有4年之久,期間包括了對韓國銀行的大規模攻擊。
邁克菲的研究人員也是用模式識別的方法,找出了2009年“極光行動”的背后執行人是中國黑客。極光行動中,黑客取得了中國人權活動家的Gmail郵箱,還從150多家公司盜取源代碼。
調查人員發現他們所用的惡意軟件里包含中文,代碼是在中文操作系統下編譯的,而且時間戳落在中國時區,還有其他線索也是調查人員之前在源自中國的攻擊中看到過的。
告訴我們更多
對CrowdStrike呈現的證據最常見的一個抱怨,就是這些線索有可能是偽造的:黑客可以使用俄羅斯工具,也可以專挑俄羅斯正常上班時間開工,還可以在DNC電腦上發現的惡意軟件中故意留下點俄語。
DNC一揭露自己被黑,就有自稱 Guccifer 2.0 的羅馬尼亞人跳出來說,自己是滲透了DNC網絡的唯一黑客。
Guccifer 2.0 的出現,激發了對DNC黑客身份無窮無盡的爭論,正當前希拉里競選主席波德斯塔和其他人被黑導致更多郵件被泄之際。
網絡安全專家稱,黑客想要保持讓攻擊看起來像是來自另一個黑客組織是非常難的。一個小失誤就會撕破整個偽裝。
批評家們可能無法很快得到確定性答案,因為無論CrowdStrike還是美國情報機構,都無意向公眾提供更多細節。國家情報總監辦公室在其報告中寫道:“此類信息的公布可能會暴露敏感來源或方法,危及我們在未來收集外國情報的能力。”
這份脫密報告沒有,也不能,包含完整的支持信息,比如具體情報來源和方法。
爭論讓阿爾佩洛夫維奇很意外。
“安全界做歸因已經30年了,盡管此類工作的重點在犯罪活動上。一走出網絡犯罪,竟然就變爭議了。”
