近期,美国和非美国媒体纷纷发表多篇文章,称俄罗斯参与“波德斯塔黑客”,甚至指责普京对此负有直接责任。例如:
然而,这些文章都没有为这种说法提供任何证据,它们只是指的是中央情报局的秘密信息。此外,在我的国家德国,媒体也加入了指责的行列,开始指责俄罗斯/普京入侵了美国国家安全局调查委员会。
同样,无法提供任何证据。
现在我的问题是:
我认为几乎可以完全匿名在线行动,特别是当你得到政府的支持/资助时。另外,我知道中央情报局和德国情报部门可能有他们无法公开的消息来源。
但是我们怎么能确定这不完全是针对俄罗斯政府的宣传呢?如果他们愿意,难道不希望俄罗斯能够掩盖他们的踪迹吗?
我现在已经看到几次了,攻击者的活跃时间与莫斯科的时区一致?这已经足够证据了吗?当攻击者知道他的业务并且隐藏他的 IP/信息并且不犯愚蠢的错误时,还有哪些其他可能性可以识别攻击者?
这几乎是一个骗局组织如何检查被黑客入侵的内容? 虽然这个问题涉及解开什么,但你问的是如何解开以及由谁来解开。
当攻击者知道他的业务并且隐藏他的 IP/信息并且不犯愚蠢的错误时,还有哪些其他可能性可以识别攻击者?
有很多可能性。除了“不犯愚蠢的错误”之外,保持不归因还有很多!公平地说,任何 APT(民族国家)行为者最终都会归咎于任何民族国家层面的捍卫者。国防获得的资源比你试图找出谁利用了你的雅虎!证书。
如果您阅读可以采取的取证步骤列表,回溯的方法依赖于所有数据位,每个数据位都是拼图的一小部分。
您将开始使用的数据:
引用圣经的话,“凭着他们的果子,你就会认出他们。” 高级黑客组织构建了他们自己的专业工具,有时使用相同的 IP 进行路由,并在活动时间上表现出足够的一致性,以抵消其他高级组织的影响。
其中一些东西可能会变得非常琐碎。由于他们的用户名嵌入了一个目录,该目录嵌入了从引用该目录的源代码编译的文件中,因此已识别出各个参与者的个人身份。在一组文件中发现的小字符串足以将该攻击与另一个恰好具有相同签名字符串的攻击联系在一起。
在国家层面,从事辩护和调查工作的人可以获得大量的拼图,并可以用它们来归因于行动。例如,他们可能知道攻击 XYZ 公然与俄罗斯相关联,并且攻击 QRS 具有显着重叠的指标。重叠够吗?他们得出结论,QRS 也与俄罗斯有关。
如果您有兴趣了解更多有关此操作的信息,我强烈建议您阅读Mandiant 的“APT1:揭露中国的网络间谍单位之一”
这就像法医调查中的任何练习一样。攻击者留下踪迹。这些有时可以与其他攻击中留下的证据相关联。一天中的时间可能看起来不多,但如果它每天都来自同一时间段,那可能不是巧合。留下的黑客工具可能具有与具有相似时区的其他可识别攻击一致的本地语言工件、自定义目录路径名称或时间戳。通常,这些工具是定制的,并留下独特的指纹。
如果你是 NSA 这样的组织,你可能也不遵守反黑客攻击的规则。
您拥有的资源越多,您从法医分析中获得的证据就越好。美国国家安全局在这方面做得很好。