美国是怎么确定俄罗斯黑了DNC的

数字线索将安全专家的视线引向普京政府,对于美国来说,从未有过如此近距离的机会,证明俄罗斯是幕后黑手。而这无异于重磅炸弹。

[[190712]]

俄罗斯两大间谍组织的操作人员从民主党国家委员会(DNC)的计算机中渗漏了大量数据,就在美国大选几个月之前。

其中一个组织被网络安全公司CrowdStrike昵称为安逸熊( Cozy Bear ),所用工具简单又强大,可以将恶意代码注入到DNC电脑中。另一个组织昵称为奇幻熊( Fancy Bear ),可远程夺取DNC电脑控制权。

10月份的时候,国土安全部(DHS)和选举安全国家情报总监办公室,认为俄罗斯就是DNC黑客事件背后黑手。10月29日,这两个机构连同FBI,发布了一份联合声明,重申了该结论。

一周后,国家情报总监办公室,在一份脱密报告中总结了其发现。几天后,甚至特朗普总统也承认,“就是俄罗斯”——尽管本周早些时候参加《面向全国》( Face the Nation )节目是他还说“可能是中国”……

5月2日,美国众议院情报委员会将听取顶级情报官员的证词,包括FBI局长詹姆斯·科米和NSA局长麦克·罗杰斯。但该听证会并不对公众开放,众议院和参议院对俄罗斯试图影响大选的调查,也没有流出任何有关黑客攻击的新消息。

我们或许永远不会真正弄清美国情报界或CrowdStrike是否知道是俄罗斯干的,也无法得知他们是怎么知道的。我们确实知道的只有:

CrowdStrike和其他网络侦探发现了攻击工具,并称他们观测到安逸熊和奇幻熊用这些工具很多年了。安逸熊据信要么是俄罗斯联邦安全局(FSB),要么是其对外情报局(SVR)。奇幻熊被认为是俄罗斯军方情报机构格勒乌(GRU:俄罗斯联邦军队总参谋部情报总局)。

发现这一点,是长期模式识别的成果——将黑客组织最常用的攻击模式拼接出来,发现他们最活跃的时间段(用于定位时区),找出黑客母语标志和用于收发文件的互联网地址。

曾任迈克菲和火眼公司CEO的戴夫·德瓦尔特说:“在100%确认前,你都只是在衡量这种种因素,就像在为系统收集足够多的指纹一样。”

看网络侦探是怎么做的

4月,DNC高层让其数字鉴证专家和定制软件进场,CrowdStrike将这些知识用了起来,发现网络账号被操控、恶意软件被安全、文档被盗的时间,找出是谁在他们的系统里捣乱,为什么捣乱。

CrowdStrike首席技术官阿尔佩洛维奇说:“几分钟之内,我们就检测到了,并在24小时之内找到了其他线索。”

一个组织使用简单又强大的工具去黑DNC。

——阿尔佩洛维奇

这些线索包含了PowerShell指令片段。PowerShell指令就像反向的俄罗斯套娃。从最小的娃娃开始,也就是PowerShell代码。这只是看起来无意义的数字和字母组成的一个字符串。然而,打开以后,会弹出一个更大的模块,理论上能对受害系统做任何事。

DNC系统中的一个PowerShell模块会连接一个远程服务器,下载更多的PowerShell模块,往DNC网络中添加更多的套娃。另一个模块则安装并运行登录信息盗取工具MimiKatz。该工具可使黑客获得有效用户名和口令,在DNC网络中畅行无阻,登录网络内一台又一台主机。这些都是安逸熊选择的武器。

奇幻熊使用的工具名为X-Agent和X-Tunnel,可远程访问和控制DNC网络,盗取口令,传输文件。另外还有供他们从网络日志中清除痕迹的其他工具。

CrowdStrike此前多次见到过这种模式。

模式识别

阿尔佩洛维奇将自己的工作,与91年大热电影《惊爆点》中基努·里维斯饰演的新人FBI探员所为相提并论。电影中,新人探员通过分析劫匪习惯和作案方法,找出了劫案背后黑手。阿尔佩洛维奇在2月的一次访谈中说:“他已经分析了15个银行劫匪,所以他可以说,‘我知道是谁’。”

“同样的事情也适用于网络安全。”

[[190713]]

证据之一,是一致性。德尔瓦特说:“键盘前的黑客不太会改变他们的手法。”他认为民族国家黑客很可能是职业的,要么是军人,要么是情报人员。

模式识别,也是火眼旗下曼迪安特公司常用的分析方法,他们发现朝鲜在2014年侵入了索尼影业公司网络。

朝鲜政府盗取了该公司4.7万员工的社会安全号,泄露了内部文档和邮件。因为索尼攻击者留下了一个他们很喜欢的黑客工具,用来给硬盘反复填零清除数据的。网络安全界之前就曾追踪该工具到了朝鲜头上,朝鲜使用该工具的时间至少有4年之久,期间包括了对韩国银行的大规模攻击。

迈克菲的研究人员也是用模式识别的方法,找出了2009年“极光行动”的背后执行人是中国黑客。极光行动中,黑客取得了中国人权活动家的Gmail邮箱,还从150多家公司盗取源代码。

调查人员发现他们所用的恶意软件里包含中文,代码是在中文操作系统下编译的,而且时间戳落在中国时区,还有其他线索也是调查人员之前在源自中国的攻击中看到过的。

告诉我们更多

对CrowdStrike呈现的证据最常见的一个抱怨,就是这些线索有可能是伪造的:黑客可以使用俄罗斯工具,也可以专挑俄罗斯正常上班时间开工,还可以在DNC电脑上发现的恶意软件中故意留下点俄语。

DNC一揭露自己被黑,就有自称 Guccifer 2.0 的罗马尼亚人跳出来说,自己是渗透了DNC网络的唯一黑客。

Guccifer 2.0 的出现,激发了对DNC黑客身份无穷无尽的争论,正当前希拉里竞选主席波德斯塔和其他人被黑导致更多邮件被泄之际。

网络安全专家称,黑客想要保持让攻击看起来像是来自另一个黑客组织是非常难的。一个小失误就会撕破整个伪装。

批评家们可能无法很快得到确定性答案,因为无论CrowdStrike还是美国情报机构,都无意向公众提供更多细节。国家情报总监办公室在其报告中写道:“此类信息的公布可能会暴露敏感来源或方法,危及我们在未来收集外国情报的能力。”

这份脱密报告没有,也不能,包含完整的支持信息,比如具体情报来源和方法。

争论让阿尔佩洛夫维奇很意外。

“安全界做归因已经30年了,尽管此类工作的重点在犯罪活动上。一走出网络犯罪,竟然就变争议了。”

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/145036.html<

(0)
管理的头像管理
上一篇2025-03-10 10:49
下一篇 2025-03-10 10:51

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注