继FBI和DHS发布联合报告,奥巴马对俄罗斯涉嫌干预美国大选进行制裁之后,事态进一步发酵,比如最近华盛顿邮报撰写的新闻《俄罗斯黑客利用佛蒙特州的公共设施渗透美国国家电网》,俄罗斯似乎已经是千夫所指了。但发展的方向却好像并不是美国官方预期的那样——很多安全专家都认为,先前发布的那份联合报告实际上并没有什么软用。
俄罗斯顶风作案?
就在不久前,美国《华盛顿邮报》发布一篇标题为“俄罗斯黑客利用佛蒙特州的公共设施渗透美国国家电网”的文章再次让俄罗斯成为头条,文章中提到此消息是来自美国官方的匿名举报,文章的主要内容就是俄罗斯黑客入侵了美国电网。这篇文章引起广泛关注,令多名美国政客发起针对俄罗斯与黑客的警告言论。
但是,作为此次事件的受害者,所谓的佛蒙特州的公共设施,即伯灵顿电力公司发表声明对这起指控进行反驳。
在华盛顿邮报的文章中提到,能够发现这起入侵还要多亏了FBI和DHS发布联合报告(JAR),在报告中曾将Grizzly Steppe作为俄罗斯的一系列入侵行为的代号。因为报告中发布了一段恶意代码的样本,而这段代码在佛蒙特州的公共设施即伯灵顿电力部门中被检测出来了。
但是柏林顿电力却在声明中说:“公司检测到的运行Grizzly Steppe中恶意代码的笔记本并没有连接国家电网。在发现恶意代码后,公司立即采取应急措施:将笔记本隔离并警告了联邦当局。”
“没有任何迹象可以表明国家电网或客户信息被感染了,媒体报道说国家电网被渗透这样的新闻是不实的。”声明中提到。 “联邦当局所指的这一段特定类型的代码并不只在柏林顿电力被发现。很不幸有某个或某些官员将这种不实的信息透漏给媒体,导致国家范围内出现了多种不实报道。” |
安全专家:证据不足
Wordfence的安全专家在分析了这段由美国政府提供的作为指控俄罗斯黑客入侵美国国家电网的证据:PHP恶意软件样本和IP地址之后,随后发布了一份更有意思的报告。
专家对这段恶意代码追根溯源到了一款叫做P.A.S.的在线工具,而这款工具是“乌克兰制造”。
“这段恶意代码样本是很老的版本了,一直在乌克兰被广泛应用,跟俄罗斯情报机构并没有什么明显的关联。如果你想的话,这段恶意代码可以被用来暗指任意网站被感染。” ——Wordfence |
也有安全专家直接批判美国政府并没有提供强有力的证据能证实俄罗斯确实干涉了美国大选。此外,联合报告(JAR)中提到的一些所谓的IoC并不确凿,还很容易带来误导。
在柏林顿电力公司发布声明之后,华盛顿邮报也改写了原本的报道新闻,说是当局并没有任何国家电网被渗透的证据。还将标题改为“俄罗斯入侵佛蒙特州的公共设施,美国国家电网存在安全风险”。但这依旧被安全专家称为FUD(Fear,Uncertainty,Doubt)。
此次的事件可能跟俄罗斯并没有特别大的关系,但是之前乌克兰已经遭遇过类似攻击。像是2015年12月乌克兰的大规模严重停电事件和近期由于网络攻击造成的多次断电情况,俄罗斯都难辞其咎。
川普要给俄罗斯洗白?
川普在2016年12月31日说,他知道一些“别人不知道的”关于俄罗斯干涉美国大选的内幕,而他会在本周二或周三的时候公布出来。
纽约时报的记者在川普位于佛罗里达棕榈滩的Mar-a-Lago房产对这个70岁的老人进行了采访,采访中川普对FBI和DHS发布的联合报告的真实性表达了自己的疑虑。
川普说:“对于这种严厉的指控,我希望他们清楚自己在做什么。”川普还援引了小布什政府在2003年对伊拉克发起攻击的说辞,“你们说对方有大规模杀伤性武器,会造成一场灾难,但事实证明你们错了。”
“所以我希望你们对此次指控是认真并且证据确凿的,不然对被指控的一方就太不公平了。虽然我不太懂什么网络攻击和入侵,但我也知道这一类攻击是很难找到证据的,攻击者也很有可能是其他人或者国家。况且我还知道一些别人不知道的事情,所以我相信在目前的情况下到底谁是幕后黑手是无法确定的。” |
另外,川普还建议大家在不要用电脑去处理敏感数据了。“请切记,如果你有什么重要的信息,写下来并利用传统的快递方式去投递,因为没有电脑是安全的。”
JAR报告到底有多少含金量
继上周JAR报告发布之后,奥巴马的强势态度以及一系列针对俄罗斯的制裁就吸引了全世界的眼球,更是引发了多方议论。但随着时间的推移,经多个安全专家鉴定研究,这份报告好像并不像它宣称的那样真实可信,那么其中到底有多少内容有水分,这份报告真的能够证明俄罗斯存在针对美国的黑客行为吗?这就要看看安全专家的意见了。
有部分专家认为,报告中所说的APT29及APT28黑客组织针对美国大选的入侵并不能证明是由俄罗斯政府指使的。安全专家Robert Graham说,“这份报告是作为政治工具被发布的,目的就是为了给俄罗斯干涉美国大选提供证据。”报告给出的证据质量很差,并没有太大的说服力。
JAR报告中有提到利用YARA监测到了一个俄罗斯和乌克兰黑客经常使用的叫做“PAS TOOL WEB KIT”的web shell工具,这里所说的YARA rules,通常是安全研究人员用来识别和分类恶意软件样本的开源工具。
Graham反驳道:“同样的web shell存在于所有被入侵的受害者电脑中,YARA规则的优势就在于能够根据入侵者经常使用的工具来追踪他。但是在报告中,他们用YARA追踪了所有P.A.S.web shell的受害人,而使用了这种入侵工具的黑客没有上千、也有成百。所以很难从这么多的受害人之中找到真正的入侵原因,除非报告还隐藏了一些其他因素。”
Dragos的CEO及创始人Robert M. Lee同样认为JAR报告中存在证据不足的问题,他认为其中的技术细节并不能证明两次攻击的意图:除了将两次攻击归咎于APT黑客组织,并没有揭露什么新的有力证据。
Lee认为JAR应该包括俄罗斯恶意软件的解密信息,俄罗斯所用的新技术或新策略的细节,并对之前发布的一些非官方数据加以验证。但是这些目前都没有看到。Lee还认为报告利用很多交织在一起的数据来制造混乱,既没能提供部分数据的源(令信息不可用),还有一些数据用来混淆视听,像是IP地址什么的。
不过在Lee看来,并不是撰写报告的人没有做好他们工作,而是经过一系列政府和官员的审查之后很多关键信息都被删了,就像美国情报机构对公众发布的任何消息都一直这么做一样。