數(shù)字線索將安全專家的視線引向普京政府，對(duì)于美國來說，從未有過如此近距離的機(jī)會(huì)，證明俄羅斯是幕后黑手。而這無異于重磅炸彈。

俄羅斯兩大間諜組織的操作人員從民主黨國家委員會(huì)(DNC)的計(jì)算機(jī)中滲漏了大量數(shù)據(jù)，就在美國大選幾個(gè)月之前。

其中一個(gè)組織被網(wǎng)絡(luò)安全公司CrowdStrike昵稱為安逸熊( Cozy Bear )，所用工具簡(jiǎn)單又強(qiáng)大，可以將惡意代碼注入到DNC電腦中。另一個(gè)組織昵稱為奇幻熊( Fancy Bear )，可遠(yuǎn)程奪取DNC電腦控制權(quán)。

10月份的時(shí)候，國土安全部(DHS)和選舉安全國家情報(bào)總監(jiān)辦公室，認(rèn)為俄羅斯就是DNC黑客事件背后黑手。10月29日，這兩個(gè)機(jī)構(gòu)連同F(xiàn)BI，發(fā)布了一份聯(lián)合聲明，重申了該結(jié)論。

一周后，國家情報(bào)總監(jiān)辦公室，在一份脫密報(bào)告中總結(jié)了其發(fā)現(xiàn)。幾天后，甚至特朗普總統(tǒng)也承認(rèn)，“就是俄羅斯”——盡管本周早些時(shí)候參加《面向全國》( Face the Nation )節(jié)目是他還說“可能是中國”……

5月2日，美國眾議院情報(bào)委員會(huì)將聽取頂級(jí)情報(bào)官員的證詞，包括FBI局長(zhǎng)詹姆斯·科米和NSA局長(zhǎng)麥克·羅杰斯。但該聽證會(huì)并不對(duì)公眾開放，眾議院和參議院對(duì)俄羅斯試圖影響大選的調(diào)查，也沒有流出任何有關(guān)黑客攻擊的新消息。

我們或許永遠(yuǎn)不會(huì)真正弄清美國情報(bào)界或CrowdStrike是否知道是俄羅斯干的，也無法得知他們是怎么知道的。我們確實(shí)知道的只有：

CrowdStrike和其他網(wǎng)絡(luò)偵探發(fā)現(xiàn)了攻擊工具，并稱他們觀測(cè)到安逸熊和奇幻熊用這些工具很多年了。安逸熊據(jù)信要么是俄羅斯聯(lián)邦安全局(FSB)，要么是其對(duì)外情報(bào)局(SVR)。奇幻熊被認(rèn)為是俄羅斯軍方情報(bào)機(jī)構(gòu)格勒烏(GRU：俄羅斯聯(lián)邦軍隊(duì)總參謀部情報(bào)總局)。

發(fā)現(xiàn)這一點(diǎn)，是長(zhǎng)期模式識(shí)別的成果——將黑客組織最常用的攻擊模式拼接出來，發(fā)現(xiàn)他們最活躍的時(shí)間段(用于定位時(shí)區(qū))，找出黑客母語標(biāo)志和用于收發(fā)文件的互聯(lián)網(wǎng)地址。

曾任邁克菲和火眼公司CEO的戴夫·德瓦爾特說：“在100%確認(rèn)前，你都只是在衡量這種種因素，就像在為系統(tǒng)收集足夠多的指紋一樣。”

看網(wǎng)絡(luò)偵探是怎么做的

4月，DNC高層讓其數(shù)字鑒證專家和定制軟件進(jìn)場(chǎng)，CrowdStrike將這些知識(shí)用了起來，發(fā)現(xiàn)網(wǎng)絡(luò)賬號(hào)被操控、惡意軟件被安全、文檔被盜的時(shí)間，找出是誰在他們的系統(tǒng)里搗亂，為什么搗亂。

CrowdStrike首席技術(shù)官阿爾佩洛維奇說：“幾分鐘之內(nèi)，我們就檢測(cè)到了，并在24小時(shí)之內(nèi)找到了其他線索。”

一個(gè)組織使用簡(jiǎn)單又強(qiáng)大的工具去黑DNC。

　　——阿爾佩洛維奇

這些線索包含了PowerShell指令片段。PowerShell指令就像反向的俄羅斯套娃。從最小的娃娃開始，也就是PowerShell代碼。這只是看起來無意義的數(shù)字和字母組成的一個(gè)字符串。然而，打開以后，會(huì)彈出一個(gè)更大的模塊，理論上能對(duì)受害系統(tǒng)做任何事。

DNC系統(tǒng)中的一個(gè)PowerShell模塊會(huì)連接一個(gè)遠(yuǎn)程服務(wù)器，下載更多的PowerShell模塊，往DNC網(wǎng)絡(luò)中添加更多的套娃。另一個(gè)模塊則安裝并運(yùn)行登錄信息盜取工具M(jìn)imiKatz。該工具可使黑客獲得有效用戶名和口令，在DNC網(wǎng)絡(luò)中暢行無阻，登錄網(wǎng)絡(luò)內(nèi)一臺(tái)又一臺(tái)主機(jī)。這些都是安逸熊選擇的武器。

奇幻熊使用的工具名為X-Agent和X-Tunnel，可遠(yuǎn)程訪問和控制DNC網(wǎng)絡(luò)，盜取口令，傳輸文件。另外還有供他們從網(wǎng)絡(luò)日志中清除痕跡的其他工具。

CrowdStrike此前多次見到過這種模式。

模式識(shí)別

阿爾佩洛維奇將自己的工作，與91年大熱電影《驚爆點(diǎn)》中基努·里維斯飾演的新人FBI探員所為相提并論。電影中，新人探員通過分析劫匪習(xí)慣和作案方法，找出了劫案背后黑手。阿爾佩洛維奇在2月的一次訪談中說：“他已經(jīng)分析了15個(gè)銀行劫匪，所以他可以說，‘我知道是誰’。”

“同樣的事情也適用于網(wǎng)絡(luò)安全。”

證據(jù)之一，是一致性。德爾瓦特說：“鍵盤前的黑客不太會(huì)改變他們的手法。”他認(rèn)為民族國家黑客很可能是職業(yè)的，要么是軍人，要么是情報(bào)人員。

模式識(shí)別，也是火眼旗下曼迪安特公司常用的分析方法，他們發(fā)現(xiàn)朝鮮在2014年侵入了索尼影業(yè)公司網(wǎng)絡(luò)。

朝鮮政府盜取了該公司4.7萬員工的社會(huì)安全號(hào)，泄露了內(nèi)部文檔和郵件。因?yàn)樗髂峁粽吡粝铝艘粋€(gè)他們很喜歡的黑客工具，用來給硬盤反復(fù)填零清除數(shù)據(jù)的。網(wǎng)絡(luò)安全界之前就曾追蹤該工具到了朝鮮頭上，朝鮮使用該工具的時(shí)間至少有4年之久，期間包括了對(duì)韓國銀行的大規(guī)模攻擊。

邁克菲的研究人員也是用模式識(shí)別的方法，找出了2009年“極光行動(dòng)”的背后執(zhí)行人是中國黑客。極光行動(dòng)中，黑客取得了中國人權(quán)活動(dòng)家的Gmail郵箱，還從150多家公司盜取源代碼。

調(diào)查人員發(fā)現(xiàn)他們所用的惡意軟件里包含中文，代碼是在中文操作系統(tǒng)下編譯的，而且時(shí)間戳落在中國時(shí)區(qū)，還有其他線索也是調(diào)查人員之前在源自中國的攻擊中看到過的。

告訴我們更多

對(duì)CrowdStrike呈現(xiàn)的證據(jù)最常見的一個(gè)抱怨，就是這些線索有可能是偽造的：黑客可以使用俄羅斯工具，也可以專挑俄羅斯正常上班時(shí)間開工，還可以在DNC電腦上發(fā)現(xiàn)的惡意軟件中故意留下點(diǎn)俄語。

DNC一揭露自己被黑，就有自稱 Guccifer 2.0 的羅馬尼亞人跳出來說，自己是滲透了DNC網(wǎng)絡(luò)的唯一黑客。

Guccifer 2.0 的出現(xiàn)，激發(fā)了對(duì)DNC黑客身份無窮無盡的爭(zhēng)論，正當(dāng)前希拉里競(jìng)選主席波德斯塔和其他人被黑導(dǎo)致更多郵件被泄之際。

網(wǎng)絡(luò)安全專家稱，黑客想要保持讓攻擊看起來像是來自另一個(gè)黑客組織是非常難的。一個(gè)小失誤就會(huì)撕破整個(gè)偽裝。

批評(píng)家們可能無法很快得到確定性答案，因?yàn)闊o論CrowdStrike還是美國情報(bào)機(jī)構(gòu)，都無意向公眾提供更多細(xì)節(jié)。國家情報(bào)總監(jiān)辦公室在其報(bào)告中寫道：“此類信息的公布可能會(huì)暴露敏感來源或方法，危及我們?cè)谖磥硎占鈬閳?bào)的能力。”

這份脫密報(bào)告沒有，也不能，包含完整的支持信息，比如具體情報(bào)來源和方法。

爭(zhēng)論讓阿爾佩洛夫維奇很意外。

“安全界做歸因已經(jīng)30年了，盡管此類工作的重點(diǎn)在犯罪活動(dòng)上。一走出網(wǎng)絡(luò)犯罪，竟然就變爭(zhēng)議了。”