繼FBI和DHS發(fā)布聯(lián)合報告，奧巴馬對俄羅斯涉嫌干預(yù)美國大選進行制裁之后，事態(tài)進一步發(fā)酵，比如最近華盛頓郵報撰寫的新聞《俄羅斯黑客利用佛蒙特州的公共設(shè)施滲透美國國家電網(wǎng)》，俄羅斯似乎已經(jīng)是千夫所指了。但發(fā)展的方向卻好像并不是美國官方預(yù)期的那樣——很多安全專家都認為，先前發(fā)布的那份聯(lián)合報告實際上并沒有什么軟用。

俄羅斯頂風(fēng)作案?

就在不久前，美國《華盛頓郵報》發(fā)布一篇標題為“俄羅斯黑客利用佛蒙特州的公共設(shè)施滲透美國國家電網(wǎng)”的文章再次讓俄羅斯成為頭條，文章中提到此消息是來自美國官方的匿名舉報，文章的主要內(nèi)容就是俄羅斯黑客入侵了美國電網(wǎng)。這篇文章引起廣泛關(guān)注，令多名美國政客發(fā)起針對俄羅斯與黑客的警告言論。

但是，作為此次事件的受害者，所謂的佛蒙特州的公共設(shè)施，即伯靈頓電力公司發(fā)表聲明對這起指控進行反駁。

在華盛頓郵報的文章中提到，能夠發(fā)現(xiàn)這起入侵還要多虧了FBI和DHS發(fā)布聯(lián)合報告(JAR)，在報告中曾將Grizzly Steppe作為俄羅斯的一系列入侵行為的代號。因為報告中發(fā)布了一段惡意代碼的樣本，而這段代碼在佛蒙特州的公共設(shè)施即伯靈頓電力部門中被檢測出來了。

但是柏林頓電力卻在聲明中說：“公司檢測到的運行Grizzly Steppe中惡意代碼的筆記本并沒有連接國家電網(wǎng)。在發(fā)現(xiàn)惡意代碼后，公司立即采取應(yīng)急措施：將筆記本隔離并警告了聯(lián)邦當局?！?/p>

安全專家：證據(jù)不足

Wordfence的安全專家在分析了這段由美國政府提供的作為指控俄羅斯黑客入侵美國國家電網(wǎng)的證據(jù)：PHP惡意軟件樣本和IP地址之后，隨后發(fā)布了一份更有意思的報告。

專家對這段惡意代碼追根溯源到了一款叫做P.A.S.的在線工具，而這款工具是“烏克蘭制造”。

也有安全專家直接批判美國政府并沒有提供強有力的證據(jù)能證實俄羅斯確實干涉了美國大選。此外，聯(lián)合報告(JAR)中提到的一些所謂的IoC并不確鑿，還很容易帶來誤導(dǎo)。

在柏林頓電力公司發(fā)布聲明之后，華盛頓郵報也改寫了原本的報道新聞，說是當局并沒有任何國家電網(wǎng)被滲透的證據(jù)。還將標題改為“俄羅斯入侵佛蒙特州的公共設(shè)施，美國國家電網(wǎng)存在安全風(fēng)險”。但這依舊被安全專家稱為FUD(Fear,Uncertainty,Doubt)。

此次的事件可能跟俄羅斯并沒有特別大的關(guān)系，但是之前烏克蘭已經(jīng)遭遇過類似攻擊。像是2015年12月烏克蘭的大規(guī)模嚴重停電事件和近期由于網(wǎng)絡(luò)攻擊造成的多次斷電情況，俄羅斯都難辭其咎。

川普要給俄羅斯洗白?

川普在2016年12月31日說，他知道一些“別人不知道的”關(guān)于俄羅斯干涉美國大選的內(nèi)幕，而他會在本周二或周三的時候公布出來。

紐約時報的記者在川普位于佛羅里達棕櫚灘的Mar-a-Lago房產(chǎn)對這個70歲的老人進行了采訪，采訪中川普對FBI和DHS發(fā)布的聯(lián)合報告的真實性表達了自己的疑慮。

川普說：“對于這種嚴厲的指控，我希望他們清楚自己在做什么?！贝ㄆ者€援引了小布什政府在2003年對伊拉克發(fā)起攻擊的說辭，“你們說對方有大規(guī)模殺傷性武器，會造成一場災(zāi)難，但事實證明你們錯了。”

另外，川普還建議大家在不要用電腦去處理敏感數(shù)據(jù)了。“請切記，如果你有什么重要的信息，寫下來并利用傳統(tǒng)的快遞方式去投遞，因為沒有電腦是安全的。”

JAR報告到底有多少含金量

繼上周JAR報告發(fā)布之后，奧巴馬的強勢態(tài)度以及一系列針對俄羅斯的制裁就吸引了全世界的眼球，更是引發(fā)了多方議論。但隨著時間的推移，經(jīng)多個安全專家鑒定研究，這份報告好像并不像它宣稱的那樣真實可信，那么其中到底有多少內(nèi)容有水分，這份報告真的能夠證明俄羅斯存在針對美國的黑客行為嗎?這就要看看安全專家的意見了。

有部分專家認為，報告中所說的APT29及APT28黑客組織針對美國大選的入侵并不能證明是由俄羅斯政府指使的。安全專家Robert Graham說，“這份報告是作為政治工具被發(fā)布的，目的就是為了給俄羅斯干涉美國大選提供證據(jù)?！眻蟾娼o出的證據(jù)質(zhì)量很差，并沒有太大的說服力。

JAR報告中有提到利用YARA監(jiān)測到了一個俄羅斯和烏克蘭黑客經(jīng)常使用的叫做“PAS TOOL WEB KIT”的web shell工具，這里所說的YARA rules，通常是安全研究人員用來識別和分類惡意軟件樣本的開源工具。

??

[[181507]]

Graham反駁道：“同樣的web shell存在于所有被入侵的受害者電腦中，YARA規(guī)則的優(yōu)勢就在于能夠根據(jù)入侵者經(jīng)常使用的工具來追蹤他。但是在報告中，他們用YARA追蹤了所有P.A.S.web shell的受害人，而使用了這種入侵工具的黑客沒有上千、也有成百。所以很難從這么多的受害人之中找到真正的入侵原因，除非報告還隱藏了一些其他因素?！?/p>

Dragos的CEO及創(chuàng)始人Robert M. Lee同樣認為JAR報告中存在證據(jù)不足的問題，他認為其中的技術(shù)細節(jié)并不能證明兩次攻擊的意圖：除了將兩次攻擊歸咎于APT黑客組織，并沒有揭露什么新的有力證據(jù)。

??

[[181508]]

Lee認為JAR應(yīng)該包括俄羅斯惡意軟件的解密信息，俄羅斯所用的新技術(shù)或新策略的細節(jié)，并對之前發(fā)布的一些非官方數(shù)據(jù)加以驗證。但是這些目前都沒有看到。Lee還認為報告利用很多交織在一起的數(shù)據(jù)來制造混亂，既沒能提供部分數(shù)據(jù)的源(令信息不可用)，還有一些數(shù)據(jù)用來混淆視聽，像是IP地址什么的。

不過在Lee看來，并不是撰寫報告的人沒有做好他們工作，而是經(jīng)過一系列政府和官員的審查之后很多關(guān)鍵信息都被刪了，就像美國情報機構(gòu)對公眾發(fā)布的任何消息都一直這么做一樣。