美国联邦调查局FBI、美国国土安全部DHS于2016年12月29日联合发布了一份题为《灰熊草原-俄罗斯的恶意网络活动》(GRIZZLYSTEPPERussian Malicious Cyber Activity)的联合分析报告。该报告称:俄罗斯两个黑客组织COZY BEAR和FANCY BEAR,于2015年至2016年间开始入侵民主党全国委员会网络并窃取了大量邮件资料。在大选的关键时期,这些内部邮件中的一些敏感信息被发布到了社交媒体上,并对大选构成了严重干扰。这份分析报告被认为是美国指责俄罗斯情报机构作为幕后主使的重要证据。
1关于黑客组织介绍:
1.1魔幻熊Fancy Bear
Fancy Bear黑客组织,也有人称其为APT28、Sednit、Sofacy和Pawn Storm。经过调查和分析,安全研究专家已经确定了针对美国民主党全国委员会(DNC)的网络攻击正是由这个黑客组织发动的。而且外界普遍认为,该组织与俄罗斯最大的情报机构(GRU,格勒乌)有关。
根据安全公司Crowd Strike透露的信息,该组织从2000年开始活跃至今,一直都在积极从事各种网络间谍活动。有些安全研究专家还认为,除了网络间谍活动之外,该组织也在对某些特定的个人和组织进行网络攻击。ESET公司的研究人员发现,Fancy Bear的黑客有着固定的工作时间,这种朝九晚五的工作周期暗示着该组织很可能隶属于政府部门。
除了针对美国民主党全国委员会(DNC)的攻击之外,Fancy Bear还发动过很多著名的网络攻击,例如针对世界反兴奋剂组织(WADA)的攻击、一系列0day攻击、以及近期所发现的针对乌克兰炮兵部队的网络攻击等等。除此之外,他们还会利用自制的Android恶意软件来收集情报数据。
1.2懒熊Cozy Bear
也被称为APT28。某些安全专家认为,Cozy Bear黑客组织同样参与了针对DNC的网络攻击活动,而该组织也被认为是俄罗斯政府另一个独立的下属黑客组织(据说Cozy Bear隶属于俄罗斯联邦安全局FSB)。与Fancy Bear一样,安全研究人员同样认为Cozy Bear一直在进行长期的网络间谍活动,目标就是为了收集各种敏感的情报信息。而就在川普宣布赢得2016年美国总统大选的几个小时之后,该组织便针对大量非政府组织的美国机构发动了一波网络攻击。
2黑客攻击的过程分析
报告描述了两个组织实施入侵攻击行动的具体过程,其主要攻击手段是鱼叉式网络钓鱼(Spear phishing)。鱼叉式网络钓鱼(Spear phishing)指一种源于亚洲与东欧只针对特定目标进行攻击的网络钓鱼攻击。鱼叉式钓鱼攻击利用伪造的电子邮件、文本及其它信息引导用户打开恶意软件或者点击恶意链接。
鱼叉式钓鱼攻击可导致凭证失窃(例如密码)或者作为入口点供恶意攻击者渗透至组织内部窃取或操纵数据并破坏其正常运营。由于鱼叉式网络钓鱼锁定的对象并非一般个人,而是特定公司、组织的成员,所以受窃的资讯已经不是一般网络钓鱼窃取的个人资料,而是其他高度敏感性资料,如知识产权及商业机密。以国土安全部和联邦调查局发布的联合评估报告(JAR)为例,其详细描述了针对民主党全国委员会的攻击,攻击过程如下:
第一步,发送钓鱼邮件给民主党全国委员会的雇员,使用的是伪造的合法组织域名,例如:misdepatrment.com(注意其中t和r故意拼反,一般人容易遗漏),该域名指向IP为45.32.129.185,Crowd Strike确认其为FANCYBEAR的秘密通讯节点,使用的漏洞并为提及,但Fancy Bear2015年曾被报道使用Java 0day漏洞对白宫和北约实施攻击,2016年11月也曾报道使用Windows 0day漏洞实施攻击。
第二步,黑客组织在入侵组织内部实施的入侵非常高明(如Crowd Strike评价),它们不会使用普通的黑客软件,而更多会使用系统自带的管理软件和工具进行黑客行为,比如,Cozy Bear在民主党全国委员会内部即使用WMI系统在启动后或者一段时间间隔后自动启动精巧设计并编码的Power Shell后门,该后门针对每台控制端都有不同的加密密钥。
第三步,黑客组织随后会启动其他的黑客软件实施进一步的攻击,一般会采用rundll32命令运行,而且具备反取证功能,例如定期会清理事件记录,重设文件日期等。
第四步,获取受害人数据或者在受害者网络中攻击其他服务器以获得更多主机控制权。
3并没有确凿证据
针对APT攻击的发现与反制往往也需要长时间的分析,最早发现APT28与俄罗斯关系的是美国安全公司火眼(Fire Eye),他们发现APT28所采用的恶意软件主要是由俄语的构建工具编译出来的,主要的活动时间也都是在莫斯科时间的白天。
然而,分析者并没有发现APT28和APT29有什么联系,它们分别采用了不同的方式在不同时间内攻入了民主党全国委员会,也看不出它们之间有任何的互相协助或者关联。报告认为这种情况在俄罗斯是很常见的,不同的间谍组织不会有相互沟通、协同作战的概念,而往往是相互竞争。
据称,APT28关联于俄罗斯军事情报部门俄罗斯武装力量总参谋部情报总局GRU,而APT29可能隶属于俄罗斯国家安全局或者外国情报局。这条消息据称由前情报官员提供给迪比特奥普罗维奇(Dimitri Alperovitch),众击(Crowd Strike)联合创始人。该前情报官员有可能是肖恩亨利(Shawn Henry),前FBI行政助理,现众击公司总裁。
总而言之,通过多方长期对这两个黑客组织的跟踪,这两个黑客组织是俄罗斯黑客组织无疑,其中一个组织有按照莫斯科时间工作的习惯,类似于政府机构。这两个组织都据称有政府身份,这种说法都只有间接证据。
这次的攻击究竟是有组织的国家行为还是民间黑客个人或者民间黑客组织谋划的,这是一个焦点问题。Guccifer2.0,即发布大量民主党竞选委员会报告的人,宣称只是由孤独的黑客独自采取的攻击行为,围绕Guccifer2.0以及DCLeaks.com身份,美国国家情报总监办公室报告称有很高可信度,认为GRU使用Guccifer2.0人物,DCLeaks.com以及Wiki Leaks发布了美国受害者的数据。其中Guccifer2.0自称是独立的罗马尼亚黑客,但有多个自相矛盾的陈述和关于他貌似俄罗斯身份的虚假申明。媒体报告称,多人自称Guccifer2.0同记者见面。通过Guccifer2.0访谈的语法分析,据称该受采访人并没有使用地道的罗马尼亚语。
于DCLeaks.com,尽管其宣称是美国黑客创建,一个证据则是DCLeaks.com域名显示注册人使用了与攻击民主党全国委员会的伪造域名APT28同样的域名邮件服务。有非常大的可能它就是APT28所创建。
于Guccifer2.0宣称只是由孤独的黑客独自采取的攻击行为,但他自己的身份有很大疑问,DCLeaks.com也有较强证据同黑客组织关联起来,判断这个行为是为了撇清俄罗斯国家采取的黑客行为。因为,如果是俄罗斯民间黑客行为,参照以前的黑客匿名者,往往为了扩大影响而不会避讳俄罗斯黑客以及相应黑客组织名称。
4结语
从目前公开的资料来看,围绕美国大选,几个黑客组织实施的APT(高级持续威胁)攻击与以往的APT没什么区别,其主要特点是:长时间、多渠道、多手段攻击,隐蔽能力强,攻击行为特征难以提取。但本次攻击除此之外也并没有突出的特点和能力。当然,APT攻击最难防御的就是这种长期持续的攻击,俗话说不怕贼偷,就怕贼惦记,就如同因为本次公布民主党竞选委员会邮件出名的Guccifer2.0所说,整个组织的安全并不由最强部分决定,而是由短板所决定,一个不经意的员工,可能导致整个系统被攻破。
从被攻破的组织来看,如果不是因为竞选独特的角度,民主党全国委员会的网络防御等级、名气也远远不如Fancy Bear(APT28),Cozy Bear(APT29)以往的几个目标:白宫,北约,五角大楼,美国国务院,参谋长联席会议,世界反兴奋剂组织。