数字线索将安全专家的视线引向普京政府,对于美国来说,从未有过如此近距离的机会,证明俄罗斯是幕后黑手。而这无异于重磅炸弹。
俄罗斯两大间谍组织的操作人员从民主党国家委员会(dnc)的计算机中渗漏了大量数据,就在美国大选几个月之前。
其中一个组织被网络安全公司crowdstrike昵称为安逸熊( cozy bear ),所用工具简单又强大,可以将恶意代码注入到dnc电脑中。另一个组织昵称为奇幻熊( fancy bear ),可远程夺取dnc电脑控制权。
10月份的时候,国土安全部(dhs)和选举安全国家情报总监办公室,认为俄罗斯就是dnc黑客事件背后黑手。10月29日,这两个机构连同fbi,发布了一份联合声明,重申了该结论。
一周后,国家情报总监办公室,在一份脱密报告中总结了其发现。几天后,甚至特朗普总统也承认,“就是俄罗斯”——尽管本周早些时候参加《面向全国》( face the nation )节目是他还说“可能是中国”……
5月2日,美国众议院情报委员会将听取顶级情报官员的证词,包括fbi局长詹姆斯·科米和nsa局长麦克·罗杰斯。但该听证会并不对公众开放,众议院和参议院对俄罗斯试图影响大选的调查,也没有流出任何有关黑客攻击的新消息。
我们或许永远不会真正弄清美国情报界或crowdstrike是否知道是俄罗斯干的,也无法得知他们是怎么知道的。我们确实知道的只有:
crowdstrike和其他网络侦探发现了攻击工具,并称他们观测到安逸熊和奇幻熊用这些工具很多年了。安逸熊据信要么是俄罗斯联邦安全局(fsb),要么是其对外情报局(svr)。奇幻熊被认为是俄罗斯军方情报机构格勒乌(gru:俄罗斯联邦军队总参谋部情报总局)。
发现这一点,是长期模式识别的成果——将黑客组织最常用的攻击模式拼接出来,发现他们最活跃的时间段(用于定位时区),找出黑客母语标志和用于收发文件的互联网地址。
曾任迈克菲和火眼公司ceo的戴夫·德瓦尔特说:“在100%确认前,你都只是在衡量这种种因素,就像在为系统收集足够多的指纹一样。”
看网络侦探是怎么做的
4月,dnc高层让其数字鉴证专家和定制软件进场,crowdstrike将这些知识用了起来,发现网络账号被操控、恶意软件被安全、文档被盗的时间,找出是谁在他们的系统里捣乱,为什么捣乱。
crowdstrike首席技术官阿尔佩洛维奇说:“几分钟之内,我们就检测到了,并在24小时之内找到了其他线索。”
一个组织使用简单又强大的工具去黑dnc。
——阿尔佩洛维奇
这些线索包含了powershell指令片段。powershell指令就像反向的俄罗斯套娃。从最小的娃娃开始,也就是powershell代码。这只是看起来无意义的数字和字母组成的一个字符串。然而,打开以后,会弹出一个更大的模块,理论上能对受害系统做任何事。
dnc系统中的一个powershell模块会连接一个远程服务器,下载更多的powershell模块,往dnc网络中添加更多的套娃。另一个模块则安装并运行登录信息盗取工具mimikatz。该工具可使黑客获得有效用户名和口令,在dnc网络中畅行无阻,登录网络内一台又一台主机。这些都是安逸熊选择的武器。
奇幻熊使用的工具名为x-agent和x-tunnel,可远程访问和控制dnc网络,盗取口令,传输文件。另外还有供他们从网络日志中清除痕迹的其他工具。
crowdstrike此前多次见到过这种模式。
模式识别
阿尔佩洛维奇将自己的工作,与91年大热电影《惊爆点》中基努·里维斯饰演的新人fbi探员所为相提并论。电影中,新人探员通过分析劫匪习惯和作案方法,找出了劫案背后黑手。阿尔佩洛维奇在2月的一次访谈中说:“他已经分析了15个银行劫匪,所以他可以说,‘我知道是谁’。”
“同样的事情也适用于网络安全。”
证据之一,是一致性。德尔瓦特说:“键盘前的黑客不太会改变他们的手法。”他认为民族国家黑客很可能是职业的,要么是军人,要么是情报人员。
模式识别,也是火眼旗下曼迪安特公司常用的分析方法,他们发现朝鲜在2014年侵入了索尼影业公司网络。
朝鲜政府盗取了该公司4.7万员工的社会安全号,泄露了内部文档和邮件。因为索尼攻击者留下了一个他们很喜欢的黑客工具,用来给硬盘反复填零清除数据的。网络安全界之前就曾追踪该工具到了朝鲜头上,朝鲜使用该工具的时间至少有4年之久,期间包括了对韩国银行的大规模攻击。
迈克菲的研究人员也是用模式识别的方法,找出了2009年“极光行动”的背后执行人是中国黑客。极光行动中,黑客取得了中国人权活动家的gmail邮箱,还从150多家公司盗取源代码。
调查人员发现他们所用的恶意软件里包含中文,代码是在中文操作系统下编译的,而且时间戳落在中国时区,还有其他线索也是调查人员之前在源自中国的攻击中看到过的。
告诉我们更多
对crowdstrike呈现的证据最常见的一个抱怨,就是这些线索有可能是伪造的:黑客可以使用俄罗斯工具,也可以专挑俄罗斯正常上班时间开工,还可以在dnc电脑上发现的恶意软件中故意留下点俄语。
dnc一揭露自己被黑,就有自称 guccifer 2.0 的罗马尼亚人跳出来说,自己是渗透了dnc网络的唯一黑客。
guccifer 2.0 的出现,激发了对dnc黑客身份无穷无尽的争论,正当前希拉里竞选主席波德斯塔和其他人被黑导致更多邮件被泄之际。
网络安全专家称,黑客想要保持让攻击看起来像是来自另一个黑客组织是非常难的。一个小失误就会撕破整个伪装。
批评家们可能无法很快得到确定性答案,因为无论crowdstrike还是美国情报机构,都无意向公众提供更多细节。国家情报总监办公室在其报告中写道:“此类信息的公布可能会暴露敏感来源或方法,危及我们在未来收集外国情报的能力。”
这份脱密报告没有,也不能,包含完整的支持信息,比如具体情报来源和方法。
争论让阿尔佩洛夫维奇很意外。
“安全界做归因已经30年了,尽管此类工作的重点在犯罪活动上。一走出网络犯罪,竟然就变争议了。”
作者:nana
来源:51cto