數字線索将安全專家的視線引向普京政府,對于美國來說,從未有過如此近距離的機會,證明俄羅斯是幕後黑手。而這無異于重磅炸彈。
俄羅斯兩大間諜組織的操作人員從民主黨國家委員會(dnc)的計算機中滲漏了大量資料,就在美國大選幾個月之前。
其中一個組織被網絡安全公司crowdstrike昵稱為安逸熊( cozy bear ),所用工具簡單又強大,可以将惡意代碼注入到dnc電腦中。另一個組織昵稱為奇幻熊( fancy bear ),可遠端奪取dnc電腦控制權。
10月份的時候,國土安全部(dhs)和選舉安全國家情報總監辦公室,認為俄羅斯就是dnc黑客事件背後黑手。10月29日,這兩個機構連同fbi,釋出了一份聯合聲明,重申了該結論。
一周後,國家情報總監辦公室,在一份脫密報告中總結了其發現。幾天後,甚至特朗普總統也承認,“就是俄羅斯”——盡管本周早些時候參加《面向全國》( face the nation )節目是他還說“可能是中國”……
5月2日,美國衆議院情報委員會将聽取頂級情報官員的證詞,包括fbi局長詹姆斯·科米和nsa局長麥克·羅傑斯。但該聽證會并不對公衆開放,衆議院和參議院對俄羅斯試圖影響大選的調查,也沒有流出任何有關黑客攻擊的新消息。
我們或許永遠不會真正弄清美國情報界或crowdstrike是否知道是俄羅斯幹的,也無法得知他們是怎麼知道的。我們确實知道的隻有:
crowdstrike和其他網絡偵探發現了攻擊工具,并稱他們觀測到安逸熊和奇幻熊用這些工具很多年了。安逸熊據信要麼是俄羅斯聯邦安全局(fsb),要麼是其對外情報局(svr)。奇幻熊被認為是俄羅斯軍方情報機構格勒烏(gru:俄羅斯聯邦軍隊總參謀部情報總局)。
發現這一點,是長期模式識别的成果——将黑客組織最常用的攻擊模式拼接出來,發現他們最活躍的時間段(用于定位時區),找出黑客母語标志和用于收發檔案的網際網路位址。
曾任邁克菲和火眼公司ceo的戴夫·德瓦爾特說:“在100%确認前,你都隻是在衡量這種種因素,就像在為系統收集足夠多的指紋一樣。”
看網絡偵探是怎麼做的
4月,dnc高層讓其數字鑒證專家和定制軟體進場,crowdstrike将這些知識用了起來,發現網絡賬号被操控、惡意軟體被安全、文檔被盜的時間,找出是誰在他們的系統裡搗亂,為什麼搗亂。
crowdstrike首席技術官阿爾佩洛維奇說:“幾分鐘之内,我們就檢測到了,并在24小時之内找到了其他線索。”
一個組織使用簡單又強大的工具去黑dnc。
——阿爾佩洛維奇
這些線索包含了powershell指令片段。powershell指令就像反向的俄羅斯套娃。從最小的娃娃開始,也就是powershell代碼。這隻是看起來無意義的數字和字母組成的一個字元串。然而,打開以後,會彈出一個更大的子產品,理論上能對受害系統做任何事。
dnc系統中的一個powershell子產品會連接配接一個遠端伺服器,下載下傳更多的powershell子產品,往dnc網絡中添加更多的套娃。另一個子產品則安裝并運作登入資訊盜取工具mimikatz。該工具可使黑客獲得有效使用者名和密碼,在dnc網絡中暢行無阻,登入網絡内一台又一台主機。這些都是安逸熊選擇的武器。
奇幻熊使用的工具名為x-agent和x-tunnel,可遠端通路和控制dnc網絡,盜取密碼,傳輸檔案。另外還有供他們從網絡日志中清除痕迹的其他工具。
crowdstrike此前多次見到過這種模式。
模式識别
阿爾佩洛維奇将自己的工作,與91年大熱電影《驚爆點》中基努·裡維斯飾演的新人fbi探員所為相提并論。電影中,新人探員通過分析劫匪習慣和作案方法,找出了劫案背後黑手。阿爾佩洛維奇在2月的一次訪談中說:“他已經分析了15個銀行劫匪,是以他可以說,‘我知道是誰’。”
“同樣的事情也适用于網絡安全。”
證據之一,是一緻性。德爾瓦特說:“鍵盤前的黑客不太會改變他們的手法。”他認為民族國家黑客很可能是職業的,要麼是軍人,要麼是情報人員。
模式識别,也是火眼旗下曼迪安特公司常用的分析方法,他們發現北韓在2014年侵入了索尼影業公司網絡。
北韓政府盜取了該公司4.7萬員工的社會安全号,洩露了内部文檔和郵件。因為索尼攻擊者留下了一個他們很喜歡的黑客工具,用來給硬碟反複填零清除資料的。網絡安全界之前就曾追蹤該工具到了北韓頭上,北韓使用該工具的時間至少有4年之久,期間包括了對南韓銀行的大規模攻擊。
邁克菲的研究人員也是用模式識别的方法,找出了2009年“極光行動”的背後執行人是中國黑客。極光行動中,黑客取得了中國人權活動家的gmail郵箱,還從150多家公司盜取源代碼。
調查人員發現他們所用的惡意軟體裡包含中文,代碼是在中文作業系統下編譯的,而且時間戳落在中國時區,還有其他線索也是調查人員之前在源自中國的攻擊中看到過的。
告訴我們更多
對crowdstrike呈現的證據最常見的一個抱怨,就是這些線索有可能是僞造的:黑客可以使用俄羅斯工具,也可以專挑俄羅斯正常上班時間開工,還可以在dnc電腦上發現的惡意軟體中故意留下點俄語。
dnc一揭露自己被黑,就有自稱 guccifer 2.0 的羅馬尼亞人跳出來說,自己是滲透了dnc網絡的唯一黑客。
guccifer 2.0 的出現,激發了對dnc黑客身份無窮無盡的争論,正目前希拉裡競選主席波德斯塔和其他人被黑導緻更多郵件被洩之際。
網絡安全專家稱,黑客想要保持讓攻擊看起來像是來自另一個黑客組織是非常難的。一個小失誤就會撕破整個僞裝。
批評家們可能無法很快得到确定性答案,因為無論crowdstrike還是美國情報機構,都無意向公衆提供更多細節。國家情報總監辦公室在其報告中寫道:“此類資訊的公布可能會暴露敏感來源或方法,危及我們在未來收集外國情報的能力。”
這份脫密報告沒有,也不能,包含完整的支援資訊,比如具體情報來源和方法。
争論讓阿爾佩洛夫維奇很意外。
“安全界做歸因已經30年了,盡管此類工作的重點在犯罪活動上。一走出網絡犯罪,竟然就變争議了。”
作者:nana
來源:51cto