中国领先的IT技术网站
51CTO旗下网站
美国是怎么确定俄罗斯黑了DNC的
俄罗斯两大间谍组织的操作人员从民主党国家委员会(DNC)的计算机中渗漏了大量数据，就在美国大选几个月之前。10月份的时候，国土安全部(DHS)和选举安全国家情报总监办公室，认为俄罗斯就是DNC黑客事件背后黑手。
作者：nana来源：| 14:44
数字线索将安全专家的视线引向普京政府，对于美国来说，从未有过如此近距离的机会，证明俄罗斯是幕后黑手。而这无异于重磅炸弹。
俄罗斯两大间谍组织的操作人员从民主党国家委员会(DNC)的计算机中渗漏了大量数据，就在美国大选几个月之前。
其中一个组织被网络安全公司CrowdStrike昵称为安逸熊( Cozy Bear
)，所用工具简单又强大，可以将恶意代码注入到DNC电脑中。另一个组织昵称为奇幻熊( Fancy Bear )，可远程夺取DNC电脑控制权。
10月份的时候，国土安全部(DHS)和选举安全国家情报总监办公室，认为俄罗斯就是DNC黑客事件背后黑手。10月29日，这两个机构连同FBI，发布了一份联合声明，重申了该结论。
一周后，国家情报总监办公室，在一份脱密报告中总结了其发现。几天后，甚至特朗普总统也承认，&就是俄罗斯&&&尽管本周早些时候参加《面向全国》( Face
the Nation )节目是他还说&可能是中国&&&
5月2日，美国众议院情报委员会将听取顶级情报官员的证词，包括FBI局长詹姆斯&科米和NSA局长麦克&罗杰斯。但该听证会并不对公众开放，众议院和参议院对俄罗斯试图影响大选的调查，也没有流出任何有关黑客攻击的新消息。
我们或许永远不会真正弄清美国情报界或CrowdStrike是否知道是俄罗斯干的，也无法得知他们是怎么知道的。我们确实知道的只有：
CrowdStrike和其他网络侦探发现了攻击工具，并称他们观测到安逸熊和奇幻熊用这些工具很多年了。安逸熊据信要么是俄罗斯联邦安全局(FSB)，要么是其对外情报局(SVR)。奇幻熊被认为是俄罗斯军方情报机构格勒乌(GRU：俄罗斯联邦军队总参谋部情报总局)。
发现这一点，是长期模式识别的成果&&将黑客组织最常用的攻击模式拼接出来，发现他们最活跃的时间段(用于定位时区)，找出黑客母语标志和用于收发文件的互联网地址。
曾任迈克菲和火眼公司CEO的戴夫&德瓦尔特说：&在100%确认前，你都只是在衡量这种种因素，就像在为系统收集足够多的指纹一样。&
看网络侦探是怎么做的
4月，DNC高层让其数字鉴证专家和定制软件进场，CrowdStrike将这些知识用了起来，发现网络账号被操控、恶意软件被安全、文档被盗的时间，找出是谁在他们的系统里捣乱，为什么捣乱。
CrowdStrike首席技术官阿尔佩洛维奇说：&几分钟之内，我们就检测到了，并在24小时之内找到了其他线索。&
一个组织使用简单又强大的工具去黑DNC。
&&阿尔佩洛维奇
这些线索包含了PowerShell指令片段。PowerShell指令就像反向的俄罗斯套娃。从最小的娃娃开始，也就是PowerShell代码。这只是看起来无意义的数字和字母组成的一个字符串。然而，打开以后，会弹出一个更大的模块，理论上能对受害系统做任何事。
DNC系统中的一个PowerShell模块会连接一个远程服务器，下载更多的PowerShell模块，往DNC网络中添加更多的套娃。另一个模块则安装并运行登录信息盗取工具MimiKatz。该工具可使黑客获得有效用户名和口令，在DNC网络中畅行无阻，登录网络内一台又一台主机。这些都是安逸熊选择的武器。
奇幻熊使用的工具名为X-Agent和X-Tunnel，可远程访问和控制DNC网络，盗取口令，传输文件。另外还有供他们从网络日志中清除痕迹的其他工具。
CrowdStrike此前多次见到过这种模式。
阿尔佩洛维奇将自己的工作，与91年大热电影《惊爆点》中基努&里维斯饰演的新人FBI探员所为相提并论。电影中，新人探员通过分析劫匪习惯和作案方法，找出了劫案背后黑手。阿尔佩洛维奇在2月的一次访谈中说：&他已经分析了15个银行劫匪，所以他可以说，&我知道是谁&。&
&同样的事情也适用于网络安全。&
证据之一，是一致性。德尔瓦特说：&键盘前的黑客不太会改变他们的手法。&他认为民族国家黑客很可能是职业的，要么是军人，要么是情报人员。
模式识别，也是火眼旗下曼迪安特公司常用的分析方法，他们发现朝鲜在2014年侵入了索尼影业公司网络。
朝鲜政府盗取了该公司4.7万员工的社会安全号，泄露了内部文档和邮件。因为索尼攻击者留下了一个他们很喜欢的黑客工具，用来给硬盘反复填零清除数据的。网络安全界之前就曾追踪该工具到了朝鲜头上，朝鲜使用该工具的时间至少有4年之久，期间包括了对韩国银行的大规模攻击。
迈克菲的研究人员也是用模式识别的方法，找出了2009年&极光行动&的背后执行人是中国黑客。极光行动中，黑客取得了中国人权活动家的Gmail邮箱，还从150多家公司盗取源代码。
调查人员发现他们所用的恶意软件里包含中文，代码是在中文操作系统下编译的，而且时间戳落在中国时区，还有其他线索也是调查人员之前在源自中国的攻击中看到过的。
告诉我们更多
对CrowdStrike呈现的证据最常见的一个抱怨，就是这些线索有可能是伪造的：黑客可以使用俄罗斯工具，也可以专挑俄罗斯正常上班时间开工，还可以在DNC电脑上发现的恶意软件中故意留下点俄语。
DNC一揭露自己被黑，就有自称 Guccifer 2.0 的罗马尼亚人跳出来说，自己是渗透了DNC网络的唯一黑客。
Guccifer 2.0 的出现，激发了对DNC黑客身份无穷无尽的争论，正当前希拉里竞选主席波德斯塔和其他人被黑导致更多邮件被泄之际。
网络安全专家称，黑客想要保持让攻击看起来像是来自另一个黑客组织是非常难的。一个小失误就会撕破整个伪装。
批评家们可能无法很快得到确定性答案，因为无论CrowdStrike还是美国情报机构，都无意向公众提供更多细节。国家情报总监办公室在其报告中写道：&此类信息的公布可能会暴露敏感来源或方法，危及我们在未来收集外国情报的能力。&
这份脱密报告没有，也不能，包含完整的支持信息，比如具体情报来源和方法。
争论让阿尔佩洛夫维奇很意外。
&安全界做归因已经30年了，尽管此类工作的重点在犯罪活动上。一走出网络犯罪，竟然就变争议了。&【编辑推荐】【责任编辑： TEL：（010）】
大家都在看猜你喜欢
专题原创原创原创原创
24H热文一周话题本月最赞
讲师：9人学习过
讲师：2人学习过
讲师：5人学习过
精选博文论坛热帖下载排行
为了满足广大考生的需要，我们组织了参与过多年资格考试命题或辅导的教师，以新的考试大纲为依据，编写了《数据库系统工程师考试全程指导》...
订阅51CTO邮刊美国是怎么确定俄罗斯黑了DNC的-提供留学,移民,理财,培训,美容,整形,高考,外汇,印刷,健康,建材等信息_突袭网
当前位置&:&&&&美国是怎么确定俄罗斯黑了DNC的
热门标签：&
美国是怎么确定俄罗斯黑了DNC的
编辑：王亮
数字线索将安全专家的视线引向普京政府，对于美国来说，从未有过如此近距离的机会，证明俄罗斯是幕后黑手。而这无异于重磅炸弹。俄罗斯两大间谍组织的操作人员从民主党国家委员会(DNC)的计算机中渗漏了大量数据，就在美国大选几个月之前。其中一个组织被网络安全公司CrowdStrike昵称为安逸熊( Cozy Bear )，所用工具简单又强大，可以将恶意代码注入到DNC电脑中。另一个组织昵称为奇幻熊( Fancy Bear )，可远程夺取DNC电脑控制权。10月份的时候，国土安全部(DHS)和选举安全国家情报总监办公室，认为俄罗斯就是DNC黑客事件背后黑手。10月29日，这两个机构连同FBI，发布了一份联合声明，重申了该结论。一周后，国家情报总监办公室，在一份脱密报告中总结了其发现。几天后，甚至特朗普总统也承认，“就是俄罗斯”――尽管本周早些时候参加《面向全国》( Face the Nation )节目是他还说“可能是中国”……5月2日，美国众议院情报委员会将听取顶级情报官员的证词，包括FBI局长詹姆斯?科米和NSA局长麦克?罗杰斯。但该听证会并不对公众开放，众议院和参议院对俄罗斯试图影响大选的调查，也没有流出任何有关黑客攻击的新消息。我们或许永远不会真正弄清美国情报界或CrowdStrike是否知道是俄罗斯干的，也无法得知他们是怎么知道的。我们确实知道的只有：CrowdStrike和其他网络侦探发现了攻击工具，并称他们观测到安逸熊和奇幻熊用这些工具很多年了。安逸熊据信要么是俄罗斯联邦安全局(FSB)，要么是其对外情报局(SVR)。奇幻熊被认为是俄罗斯军方情报机构格勒乌(GRU：俄罗斯联邦军队总参谋部情报总局)。发现这一点，是长期模式识别的成果――将黑客组织最常用的攻击模式拼接出来，发现他们最活跃的时间段(用于定位时区)，找出黑客母语标志和用于收发文件的互联网地址。
曾任迈克菲和火眼公司CEO的戴夫?德瓦尔特说：“在100%确认前，你都只是在衡量这种种因素，就像在为系统收集足够多的指纹一样。”看网络侦探是怎么做的4月，DNC高层让其数字鉴证专家和定制软件进场，CrowdStrike将这些知识用了起来，发现网络账号被操控、恶意软件被安全、文档被盗的时间，找出是谁在他们的系统里捣乱，为什么捣乱。CrowdStrike首席技术官阿尔佩洛维奇说：“几分钟之内，我们就检测到了，并在24小时之内找到了其他线索。”一个组织使用简单又强大的工具去黑DNC。――阿尔佩洛维奇这些线索包含了PowerShell指令片段。PowerShell指令就像反向的俄罗斯套娃。从最小的娃娃开始，也就是PowerShell代码。这只是看起来无意义的数字和字母组成的一个字符串。然而，打开以后，会弹出一个更大的模块，理论上能对受害系统做任何事。DNC系统中的一个PowerShell模块会连接一个远程服务器，下载更多的PowerShell模块，往DNC网络中添加更多的套娃。另一个模块则安装并运行登录信息盗取工具MimiKatz。该工具可使黑客获得有效用户名和口令，在DNC网络中畅行无阻，登录网络内一台又一台主机。这些都是安逸熊选择的武器。奇幻熊使用的工具名为X-Agent和X-Tunnel，可远程访问和控制DNC网络，盗取口令，传输文件。另外还有供他们从网络日志中清除痕迹的其他工具。CrowdStrike此前多次见到过这种模式。模式识别阿尔佩洛维奇将自己的工作，与91年大热电影《惊爆点》中基努?里维斯饰演的新人FBI探员所为相提并论。电影中，新人探员通过分析劫匪习惯和作案方法，找出了劫案背后黑手。阿尔佩洛维奇在2月的一次访谈中说：“他已经分析了15个银行劫匪，所以他可以说，‘我知道是谁’。”
“同样的事情也适用于网络安全。”证据之一，是一致性。德尔瓦特说：“键盘前的黑客不太会改变他们的手法。”他认为民族国家黑客很可能是职业的，要么是军人，要么是情报人员。模式识别，也是火眼旗下曼迪安特公司常用的分析方法，他们发现朝鲜在2014年侵入了索尼影业公司网络。朝鲜政府盗取了该公司4.7万员工的社会安全号，泄露了内部文档和邮件。因为索尼攻击者留下了一个他们很喜欢的黑客工具，用来给硬盘反复填零清除数据的。网络安全界之前就曾追踪该工具到了朝鲜头上，朝鲜使用该工具的时间至少有4年之久，期间包括了对韩国银行的大规模攻击。迈克菲的研究人员也是用模式识别的方法，找出了2009年“极光行动”的背后执行人是中国黑客。极光行动中，黑客取得了中国人权活动家的Gmail邮箱，还从150多家公司盗取源代码。调查人员发现他们所用的恶意软件里包含中文，代码是在中文操作系统下编译的，而且时间戳落在中国时区，还有其他线索也是调查人员之前在源自中国的攻击中看到过的。告诉我们更多对CrowdStrike呈现的证据最常见的一个抱怨，就是这些线索有可能是伪造的：黑客可以使用俄罗斯工具，也可以专挑俄罗斯正常上班时间开工，还可以在DNC电脑上发现的恶意软件中故意留下点俄语。DNC一揭露自己被黑，就有自称 Guccifer 2.0 的罗马尼亚人跳出来说，自己是渗透了DNC网络的唯一黑客。Guccifer 2.0 的出现，激发了对DNC黑客身份无穷无尽的争论，正当前希拉里竞选主席波德斯塔和其他人被黑导致更多邮件被泄之际。网络安全专家称，黑客想要保持让攻击看起来像是来自另一个黑客组织是非常难的。一个小失误就会撕破整个伪装。批评家们可能无法很快得到确定性答案，因为无论CrowdStrike还是美国情报机构，都无意向公众提供更多细节。国家情报总监办公室在其报告中写道：“此类信息的公布可能会暴露敏感来源或方法，危及我们在未来收集外国情报的能力。”这份脱密报告没有，也不能，包含完整的支持信息，比如具体情报来源和方法。争论让阿尔佩洛夫维奇很意外。“安全界做归因已经30年了，尽管此类工作的重点在犯罪活动上。一走出网络犯罪，竟然就变争议了。” 更多精彩 >>>后使用快捷导航没有帐号？
为何NSA敢断定是俄罗斯黑客入侵了DNC？
摘要: 美国情报机构已经将它们的整个故事串联了起来，认定是俄罗斯黑客入侵了民主党全国委员会（DNC）。虽然侯任总统唐纳德·特朗普对此并不认同（因为有报道称俄罗斯情报机构助其赢得了大选），但是一家安全公司证实了攻 ...
美国情报机构已经将它们的整个故事串联了起来，认定是俄罗斯黑客入侵了民主党全国委员会（DNC）。虽然侯任总统唐纳德·特朗普对此并不认同（因为有报道称俄罗斯情报机构助其赢得了大选），但是一家安全公司证实了攻击 DNC 和乌克兰军方的恶意软件之间的联系。另有一份新报道披露，美国国家安全局（NSA）知道俄罗斯黑客何时入侵，只是背后的故事会让你感到惊恐。《The Intercept》援引一份斯诺登泄露（此前未曝光）的文档称：得益于一套相当先进且复杂的信号拦截技术，早在 2005 年，NSA 就能够分辨出是哪拨人发起了某起攻击。2006 年的时候，NSA 断言是俄罗斯情报机构在俄罗斯记者 Anna Politkovskaya 被暗杀前入侵了她的 Web 邮件账户。在另一份报告中，NSA 写到：2005 年 12 月 5 日，俄罗斯联邦情报机构向 annapolitkovskaia@某美国邮件服务提供商的账号发起了一轮攻击（据说是雅虎邮箱），并部署了未在公共领域使用的恶意软件。但尚不清楚这起攻击与记者的死亡有何种关联。据悉，NSA 将这一信号拦截技术定为 TS/SI 级别的机密（绝密），其能够监测从一点通向另一处的手机或互联网流量。NSA 之所以知道这件事，是因为该机构当时在同时监视大量互联网流量，而其技术能够追溯通过某个网络的信号。因此 NSA 局长 Mike Rogers 曾公开评论 DNC 被入侵事件：‘这是需要举国之力才能达到的效果’。《The Intercept》还指出，今年早些时候，斯诺登曾发推称：“如果俄罗斯入侵了民主党全国委员会的网络，NSA 那边肯定会有些干货，因其能够通过 SIGINT 技术追溯黑客，但这也是唯一能够证实大规模监控效力的例子”。NSA 有一款名叫 XKEYSCORE 的工具（类似一款全球 SIGINT 搜索引擎），能够轻而易举地漏出数据。另一泄密者 William Binney 表示：“NSA 知道经过其网络路由的任何数据，比如何人何时‘入侵’了来自 DNC、HRC 等机构的”。
声明：本文搜集整理自互联网，版权归原作者所有，文中所述不代表本站观点，若有侵权或转载等不当之处请联系我们处理，请我们一起为维护良好的互联网秩序而努力，谢谢！联系方式见网站首页右下角。
上一篇：下一篇：}