Jump ESP, jump!: Why (I believe) WADA was not hacked by the Russians
免责声明: 这是我的个人观点。我不是归因方面的专家。但事实证明,世界上擅长归因的人并不多。我知道这篇文章缺乏真实证据,主要基于推测。
让我们按时间顺序列出关于WADA黑客事件的主要事实:
- 某个时间点(2016年8月-9月),WADA数据库被黑客入侵并数据外泄。
- 8月15日,“WADA已提醒其利益相关者,有与WADA相关的电子邮件钓鱼诈骗报告,因此要求收件人小心” https://m.paralympic.org/news/wada-warns-stakeholders-phishing-scams。
- 9月1日,fancybear.net域名被注册。
- 域名:FANCYBEAR.NET
- …
- 更新日期:2016年9月18日
- 创建日期:2016年9月1日
- WADA黑客攻击的内容已在网站上发布。
- @FancyBears和@FancyBearsHT Twitter账户于9月12日创建并开始推文,联系记者。
- 9月12日,西方媒体开始头条报道“俄罗斯黑客入侵WADA”。
- 泄露的文件已被篡改,WADA声明 https://www.wada-ama.org/en/media/news/2016-10/cyber-security-update-wadas-incident-response。
Threatconnect分析
唯一的技术分析认为俄罗斯是黑客攻击的幕后黑手,可在此阅读:https://www.threatconnect.com/blog/fancy-bear-anti-doping-agency-phishing/
阅读后,我收集了以下主要点:
- 是俄罗斯,因为俄罗斯APT组织能够进行钓鱼攻击。
- 是俄罗斯,因为钓鱼网站“wada-awa[.]org”被注册并使用ITitch[.]com的名称服务器,这是一个FANCY BEAR演员最近使用的域名注册商。
- 是俄罗斯,因为“Wada-arna[.]org和tas-cass[.]org通过Domains4bitcoins[.]com注册并使用其名称服务器,该注册商也与FANCY BEAR活动相关。”
- 是俄罗斯,因为“这些域名于2016年8月3日和8日注册,与WADA建议禁止所有俄罗斯运动员参加奥运会和残奥会的时间线一致。”
- 是俄罗斯,因为“使用1&1 mail.com网络邮件地址注册域名匹配我们先前识别的FANCY BEAR演员的TTP。”
文章中有一个有趣的旁支,关于@anpoland账户的案例。我将在文章末尾处理这一点。
我对以上观点的问题是,所有五个标志都是公开可访问的,作为Fancy Bear的TTP。同时,所有五个都是弱证据。世界上任何脚本小子都能够黑客入侵WADA并植入这些虚假标志。
比这些弱证据更强的证据包括:
- 恶意软件共享相同代码归因于Fancy Bear(代码未公开或在黑客论坛流通)。
- 私人服务器共享与先前归因于Fancy Bear攻击相同的IP地址(服务器不是被黑服务器或由多方使用的代理)。
- 用于注册域名的电子邮件地址归因于Fancy Bear。
- 许多其他事情。
对我来说,很奇怪的是,在对Guccifer 2.0进行了如此出色的分析之后,Threatconnect团队提出了这篇低价值的帖子。
fancybear网站
很遗憾,分析在文件泄露后没有更新。但让我们看看fancybear.net网站,好吗?
现在的问题是,如果你是一个俄罗斯国家支持的黑客组织,并且已经被指控进行黑客攻击,你会创建一个网站上有很多熊的网站,并选择与Crowdstrike用来指代俄罗斯国家支持的黑客组相同的名称(Fancy Bear)来命名你的“黑客团队”吗?对我来说,这没有意义。现在我能听到人们尖叫:“俄罗斯人改变了战术来迷惑我们。”再次,改变战术在这点上没有意义,同时保持Threatconnect发现的“证据”战术。
俄罗斯国家支持的组织创建一个虚假人物,命名为Guccifer 2.0,假装Guccifer 2.0来自罗马尼亚,但最终发现Guccifer 2.0不是母语罗马尼亚语者,这确实有意义。
当有人创建这个fancybear网站来泄露文件,并从Twitter账户联系媒体时,会发生什么?记者检查网站,看到是由Fancy Bear完成的,他们Bing Google这个名字,清楚地看到它是一个俄罗斯国家支持的黑客组。一些记者还找到了Threatconnect报告,初次阅读时似乎非常令人信服。我的意思是,这是专家的作品,对吧?所以你可以在头条中写道,黑客攻击是由俄罗斯人完成的。
想象一下,美国或加拿大的专家为WADA写报告: “黑客攻击是由非俄罗斯但国家支持的演员完成的,他们植入了许多虚假标志来指责俄罗斯人,并破坏对过去和未来泄露的信心。”嗯,我确信这不是一个受欢迎的观点,任何尝试这样做的人都会冒险他的职业生涯。专家也是人,受各种偏见影响。
The Guardian
我找到的唯一其他来源是The Guardian,文章中不仅代表了一方(是俄罗斯)。很遗憾,两位专家都来自俄罗斯——所以美国人会称他们在这个问题上不客观。但他们是俄罗斯专家的事实并不意味着他们不真实…
https://www.theguardian.com/sport/2016/sep/15/fancy-bears-hackers--russia-wada-tues-leaks
Sergei Nikitin: “在DNC和WADA黑客攻击案例中,我们没有这个,所以不清楚基于什么得出结论俄罗斯黑客或特勤部门参与。这是基于网站设计完成的,这是荒谬的,”他说,指的是“Fancy Bears’ Hack Team”网站上象征性俄罗斯动物棕熊和白熊的描绘。
我不同意DNC部分,但这不是这里的讨论话题。
Alexander Baranov: “黑客很可能是业余爱好者,他们发布了一个‘半成品’而不是真正妥协的信息。‘他们本可以更严厉和突然地这样做,’他说。‘如果是[国家支持的]黑客,他们会挖得更深。既然是爱好者,业余爱好者,他们得到了什么就公开了。’”
@anpoland旁支
首先请查看tas-cas.org黑客攻击 https://www.youtube.com/watch?v=day5Aq0bHsA ,我会在这里等你完成。这是“体育仲裁法院”的网站,参考Threatconnect帖子,“CAS是最高国际法庭,建立通过仲裁解决体育相关争议。从2016年开始,CAS的反兴奋剂部门开始审判奥运会兴奋剂案件,取代IOC纪律委员会。”现在你可以看到为什么这里也讨论这次攻击。
我打赌这台机器是为这些@anpoland视频设置的。无论google.ru是虚假标志还是真实的,很难决定。有趣的是,没有通过google.ru进行谷歌搜索,它只使用了一次。 视频创建者不能双击。是因为他的鼠标故障吗?是因为他使用虚拟化控制台,这是近乎完美的OPSEC来隐藏你的真实身份?我的个人经验是,远程使用虚拟化控制台(例如RDP)具有与我们在视频中看到的非常相似的效果。 Twitter账户的时间线很奇怪,注册于2010年。 我同意Threatconnect分析,这个@anpoland账户可能是一个虚假活动家,而不是活动家。但幕后是谁,仍然是个谜。 要么“活动家”使用类似Whonix的设置保持匿名,或TOR路由器(类似这样的东西),或根本不在乎隐私。查看响应时间(SQLmap,网络浏览器),我怀疑这个“活动家” behind anything related to TOR。这对一个在Youtube上发布黑客攻击的活动家来说没有意义。人们肯定愚蠢,但这不合逻辑。这更有意义是服务器(用比特币或被盗信用卡支付或无论什么)而不是家用计算机。
对我来说,这整个@anpoland事情没有意义,我认为它只是与WADA黑客攻击松散连接。
HTML源代码中的神秘韩文字符
整个故事中还有一个有趣的标志,实际上没有意义。当网站发布时,HTML注释中有韩文字符。
https://web.archive.org/web/20160913013727/http://fancybear.net/
当有人在Twitter上指出这一点时,这些韩文HTML注释消失了:
https://web.archive.org/web/20160914231209/http://www.fancybear.net/
这些HTML注释看起来像生成的HTML注释,来自使用韩语的WYSIWYG编辑器。如果你能识别编辑器,请告诉我。
俄罗斯否认
嗯,他们有什么选择?无论他们是否做了这件事,他们都会否认。他们不能以不同的方式否认。想象一下发言人:“以前我们错误地否认了DCC和DNC黑客攻击,但这次请相信我们,这不是俄罗斯。”听起来合理…
归因
让我总结我们知道的内容:
WADA黑客攻击是俄罗斯做的有道理,因为:
- 俄罗斯因兴奋剂丑闻几乎被禁止参加奥运会,诋毁WADA和美国奥运选手是有道理的。
- 有多个(弱)证据指向俄罗斯。
WADA黑客攻击不是俄罗斯做的有道理,因为:
- 通过立即将黑客攻击归因于俄罗斯人,故事更多是关于诋毁俄罗斯而不是诋毁WADA或美国奥运选手。
- 实际上,俄罗斯披露文件没有获得任何好处。什么都没有发生,什么都没有改变,WADA没有信誉扫地。没有一个案件被证明是非法的或不道德的。
- 如果是俄罗斯,篡改泄露文件没有意义(见末尾更新)。如果不是俄罗斯,篡改泄露文件很有意义。因为从现在开始,人们总是可以说“这些泄露不可信,所以那里写的不真实”。这对任何被黑客攻击或将