跳跃的ESP，跳跃！：为何我认为世界反兴奋剂机构(WADA)并非遭俄罗斯黑客攻击

免责声明：本文仅代表个人观点。我并非归因领域的专家，但事实证明，全球真正擅长归因分析的人并不多。我清楚本文缺乏确凿证据，主要基于推测。

已知关键事实（按时间顺序）

1. 2016年8月至9月间：WADA数据库遭黑客入侵并数据外泄。
2. 8月15日：WADA向其利益相关方发出警报，称出现与WADA相关的网络钓鱼诈骗邮件。
3. 9月1日：fancybear.net域名被注册。
4. WADA被窃取的数据在该网站公布。
5. 9月12日：Twitter账户@FancyBears和@FancyBearsHT创建并开始联系记者。
6. 9月12日：西方媒体开始出现"俄罗斯黑客攻击WADA"的标题新闻。
7. 10月：WADA称泄露的文件已被篡改。

Threatconnect分析报告剖析

唯一一份将攻击归因于俄罗斯的技术分析报告来自Threatconnect。其核心论据包括：

• 俄罗斯APT组织具备网络钓鱼能力。
• 钓鱼网站使用了Fancy Bear近期用过的域名注册商。
• 域名注册时间与俄罗斯运动员被禁赛的时间点吻合。
• 使用特定webmail邮箱注册域名的行为模式与Fancy Bear相符。

然而，这些所谓的"证据"均为公开可查的Fancy Bear战术、技术与程序(TTP)，且任何脚本小子都能轻易伪造。更有力的证据应是未公开的恶意代码样本、专属服务器IP或注册邮箱等，但报告并未提供。

fancybear网站的矛盾之处

若真是俄罗斯国家支持的黑客组织，在已被指控的情况下，为何会创建一个布满熊图案的网站，并直接使用安全公司Crowdstrike赋予的"Fancy Bear"这一代号？这不符合国家行为体的逻辑。相反，这更像是嫁祸者刻意留下的"假旗"标志。

其他观点与异常线索

• 《卫报》引述俄罗斯专家观点：认为缺乏确凿证据将攻击与俄罗斯政府联系起来，网站设计（熊图案）作为归因依据是荒谬的；黑客手法更像是业余爱好者而非国家行为体。
• @anpoland账户的疑点：相关攻击演示视频中的操作环境（如疑似虚拟化控制台）、Twitter账户注册时间线等存在诸多不合逻辑之处，其与WADA攻击的关联性薄弱。
• HTML源码中的韩文字符：网站初期版本HTML注释中出现韩文，随后被移除。这可能是所用编辑器的默认生成内容，但也可能是操作者故意留下的又一混淆视听的痕迹。
• 文件篡改的动机：如果真是俄罗斯所为，篡改泄露文件并无益处；但若是嫁祸者，篡改文件则可破坏泄露数据的可信度，这符合误导策略。

归因困境总结

支持俄罗斯发动攻击的理由：

• 俄罗斯因兴奋剂事件几乎被全面禁赛，有诋毁WADA和美国运动员的动机。
• 存在多项（尽管薄弱）指向俄罗斯的线索。

反对俄罗斯发动攻击的理由：

• 立即将攻击归因于俄罗斯，使得舆论焦点从WADA本身转向对俄罗斯的指责。
• 泄露数据并未对WADA造成实质信誉损害。
• 所有证据均显薄弱，易于伪造。
• 韩文字符等异常线索若为俄罗斯的"假旗"，为何又将其移除？

作者的推测

此次WADA攻击很可能是一次（非专业的）黑客雇佣行动，由俄罗斯的敌对势力出资。其目的是入侵WADA、泄露文件、篡改部分内容，并将一切归咎于俄罗斯。这是一种典型的利用公开的APT组织TTP进行"假旗"攻击的策略。

核心问答

• 俄罗斯是否有能力实施此次攻击？ 是。
• 俄罗斯是否攻击了WADA？ 可能是，也可能不是。
• 此次泄露是否由俄罗斯国家支持的黑客组织所为？ 我高度怀疑。
• 能否买到所有线索都指向俄罗斯的"归因骰子"？ 不能，已经售罄。

归因分析极易受到偏见影响。在缺乏铁证的情况下，断言国家行为体参与是危险且不负责任的。