负责调查俄罗斯干预美国大选的穆勒在上周五发布了一份起诉书,虽然起诉书只描述了美国政府的单方面指控,但其中透露了一些很有趣的技术方面的细节,看起来是合理的。我们觉得有必要简单介绍一下。
这份起诉书提示了一些操作方面的人为疏忽 —— 当您为了一个正义的目标采取行动时,很有必要注意以下这些问题。声明:本文与俄罗斯攻击者完全没有任何关系,我们反对任何恶意的行为。
基础设施的划分
根据起诉书,俄罗斯人采取了匿名措施,试图在租用服务器、注册互联网域名以及设置电子邮件、Twitter 账户和其他用途帐户时抹去身份。但他们没有尽最大努力划分基础设施。
John Podesta,Clinton 的竞选主席和其他人收到的钓鱼电子邮件包含了 URL 缩短服务 Bitly 的链接。创建这些链接的 Bitly 帐户是使用电子邮件地址“dirbinsaabol@mail.com”注册的。
攻击者使用了相同的电子邮件地址在租用服务器的提供商处创建帐户,使用“在线加密货币”付款服务“(根据起诉书中引用的一些提示的措辞,推测认为有问题的服务可能是 BitPay)。这个加密货币帐户用于支付注册域名 dcleaks.com ,这意味着任何在钓鱼活动背后的人也购买了域名 dcleaks.com,并租用了这台服务器。
加入一个小的说明,关于 VPN 如何工作:VPN 可用于隐藏您的 Internet 协议或 IP 地址。当您连接到网站(例如 twitter.com)时,该网站会获知您使用的 VPN 的互联网地址,而不是您的真实地址。
起诉书指出,有人使用了“相同的比特币资金池”来支付马来西亚的 VPN 服务,以及马来西亚服务器来托管 dcleaks.com 网站。几个月后,有人使用同一个马来西亚 VPN 帐户登录了 @ Guccifer_2 Twitter。这证实了 dcleaks.com 背后的人也可以访问 @ Guccifer_2 Twitter 账户。
请注意这点,VPN 导致的问题 —— 从购买支付到使用。
租错了基础设施
根据起诉书,GRU 攻击者首先接管了 DCCC 网络,然后是 DNC 网络,使用了钓鱼电子邮件,欺骗收件人在恶意网站上输入密码。
起诉书称,他们随后使用受害者的凭证访问 DCCC 的内部网络,并在“至少十台 DCCC 计算机”上安装了名为 X-Agent 的自定义恶意软件。
此后不久转向 DNC 的网络。注意:据称攻击者在其中一台计算机上“激活了 X-Agent 的键盘记录和屏幕截图功能,以窃取有权访问 DNC 网络的 DCCC 员工的凭据。”凭借 DNC 登录凭据,他们能够“访问”三十三台 DNC 的计算机。“一旦进入 DNC 网络,他们就会破坏 DNC 的 Microsoft Exchange Server。
在有人攻击计算机并安装间谍软件后,攻击者会向间谍软件发送命令以将数据发送回给他们。这通常通过连接到被称为命令和控制(C2)服务器的计算机来完成。
根据起诉书,攻击者租用的作为 X-Agent 的 C2 服务器的计算机位于亚利桑那州。据称他们使用 X-Agent 感染了 DCCC 网络中的计算机后登录到这个 C2 服务器,以便向特定的计算机发出命令,记录击键并截取屏幕截图。
起诉书甚至指明了在这个 C2 服务器上收集的数据到底是什么时候。例如,它说 4 月 14 日,攻击者对 DCCC 员工的计算机进行了8个小时的监控,在此期间他们捕获了“与同事的通信以及在筹款和投票推广项目时所输入的密码。”
6月15日,CrowdStrike 发布了一篇博客文章,细节很少,只宣布了对 DNC 网络攻击的存在,并将攻击归因于 GRU 组织的 Cozy Bear 和 Fancy Bear。
根据起诉书,在 CrowdStrike 的博客文章发布五天后,俄罗斯人据称从他们的 C2 服务器中删除了所有“活动日志”,包括他们的登录历史记录。
但是,事实上美国政府可以访问 C2 服务器收集的击键和屏幕截图,甚至知道 GRU 代理在什么时间点从服务器删除活动日志和登录历史记录,足见,托管服务提供商很可能开始配合调查,包括可能共享了连接到 C2 服务器的硬盘快照。这将允许调查人员访问此信息。
请注意:托管服务商的问题。在选择基础设施之前需要尽可能打探服务商和政府的关系,已推测即将发生的事。
除了租用亚利桑那州的服务器外,攻击者据称还在伊利诺伊州租用了一个单独的服务器,他们使用了一个名为 X-Tunnel 的单独恶意软件,将数十亿字节的文件从 DCCC 和 DNC 网络上传到伊利诺伊州的服务器“,通过加密渠道。政府调查人员有可能是从他们租用此服务器的托管服务提供商那里获得的信息。
强迫公司交出数据
请注意:与2016 年网络攻击相关的技术细节表明,美国政府具有一些令人印象深刻的能力。但他们似乎使用的主要能力不是技术性的,而是:传票。美国政府可以强迫公司交出数据。中国政府也能做到的,众所周知。
美国政府几乎肯定会收到来自 Bitly,Twitter,Facebook,谷歌,WordPress 以及其他几家公司的数据,包括 BitPay 或其他加密货币支付处理器,VPN 提供商,VPS 托管提供商以及域名注册商等 —— 中国当局能摸到哪些公司,请心里有数。(Twitter 和 WordPress 拒绝发表评论。BitPay 说,“BitPay 已收到美国政府机构的传票,但信息的使用方式或请求的原因不会公开。”Facebook 和谷歌对评论请求置之不理)
美国政府可访问公司与特定帐户相关的所有信息,例如攻击者用于登录服务的 IP 地址、活动时间戳、发送的电子邮件、直接消息的副本,以及附加到攻击中使用的服务器的硬盘驱动器的潜在映像,可以绘制非常详细的图片。
政府或其合作伙伴有可能入侵了目标人的计算机
这份文件中一个有意思的细节是,多次提到了其中一名被告正在互联网上进行研究的情况,以及在什么时间发生的动作:
“在 2016 年3月28日左右,YERMAKOV 在各种社交媒体网站上研究了受害者1和2的名字以及他们与克林顿的关系”;
“例如,从 2016 年3月15日左右开始,YERMAKOV 对 DNC 的互联网协议配置进行了技术查询,以鉴定连接的设备”,“几乎同一天,YERMAKOV 搜索了有关 DNC 网络的开源信息;
”2016 年4月7日左右,YERMAKOV 对 DCCC 的互联网协议配置进行了技术查询,以鉴定连接的设备“;
“在此期间,YERMAKOV 研究了与访问和管理 Microsoft Exchange Server 相关的 PowerShell 命令”;
“在 2016 年5月31日左右,YERMAKOV 搜索了有关公司1 [CrowdStrike] 及其关于 X-Agent 和 X-Tunnel 的报告的开源信息”……
调查人员怎么能获得这些信息的?想到了两种解释。最有可能的是,国家安全局 —— 或荷兰情报机构 AIVD 等外国合作伙伴向美国当局提供了与 2016 年选举有关的骇客信息 —— 泄露了 Yermakov 的计算机,并定期记录了他的击键,或访问了他的浏览器历史。
另一种解释是,Yermakov 在登录帐户时使用 Google 进行的这些搜索,调查人员从 Google 了解了他的搜索历史。不过后者不那么令人信服,因为搜索引擎 Yandex 在俄罗斯更受欢迎,而 GRU 官员真的会蠢到使用加州的谷歌吗?
另一名被告,Anatoly Kovalev,一名被分配到不同 GRU 网络单位的官员,仅被提及与美国选举基础设施的攻击有关,而没有说是针对民主党人。但有一个信息非常突出,文件说:
“在 2016 年 8 月左右,联邦调查局发布了关于 SBOE 1 [州选举委员会1,可能是伊利诺伊州] 的骇客行为的警报,并确定了用于进行骇客行为的一些基础设施。作为回应,KOVALEV 删除了他的搜索历史。KOVALEV 和他的同谋也删除了针对州选举委员会和类似选举相关实体的行动中使用的账户记录。“
美国调查人员怎么会知道 Kovalev 删除了他的搜索历史,甚至是属于多个在线帐户的记录?推测认为最有可能的情况是 NSA 破坏了他的计算机,访问了他的浏览器历史记录,并且可能记录了他的击键,并使用他们自己的 C2 服务器从他的计算机上截取屏幕截图。
美国政府非常擅长跟踪比特币交易?
起诉书指责俄罗斯人“通过一系列交易网络洗了相当于 95,000 美元以上的交易,这些交易的结构是为了利用比特币等加密货币的匿名性。”
请注意,比特币交易远非匿名哦,而是永久存储在一个公共分类账本中,称为区块链,可供互联网上的任何人查看。持有比特币的账户称为“钱包”,但与传统银行账户不同,比特币钱包只是一个数字 - 它们不包括所有者的身份或名称。因此,如果您能够匿名获取比特币,正如据称俄罗斯被告试图做的那样,您可以将其用于任何事,而不会将交易与您联系起来。
但是,起诉书的事实证明,这比看起来要困难得多。
挖币涉及投入大量的计算机能力来反复解决随机数的数学问题,直到你有幸得到正确的答案,这时你的比特币钱包里就有钱了。根据起诉书,俄罗斯人据称开采了他们自己的比特币区块。起诉书还指控俄罗斯人使用其他方法匿名获取比特币,包括“通过点对点交换购买比特币,通过其他数字货币转移资金,以及使用预付卡。”后一种方法是指从实体零售商店使用现金购买预付礼品卡、借记卡或其他类似的卡,然后在互联网上匿名转售它们,以换取比特币。
匿名使用比特币的一个复杂因素是支付处理器。虽然对于比特币交易来说不是必需的,但许多接受比特币作为支付类型的网站使用 BitPay 或 Coinbase 等公司来帮助他们处理它。
请注意:这些支付处理器通常将买方的电子邮件地址和 IP 地址附加到交易中。
支付处理器、以及为不同的交易重复使用相同的电子邮件地址,这些线索帮助了美国调查人员跟踪这笔钱。也可以通过查看比特币交易中购买的东西来追踪。
例如,起诉书指:攻击者使用他们刚开采的比特币从罗马尼亚域名注册商处购买了 dcleaks.com,并且一家美国的支付处理公司参与了交易。因为比特币区块被用来购买 dcleaks.com,所以该区块肯定是由 GRU 官员控制的,并且来自同一区块的任何其他交易也必须也来自 GRU。
请注意这里的思路,关于如何推测身份 —— 域名注册商、加密货币支付处理商,甚至只是接收这两家公司的通知和收据的电子邮件帐户,都可以暴露身份信息。
再次说明,本文不关心俄罗斯和美国大选,只关注反追踪技术问题,因为其中很多美国政府的能力,中国政府也有。