美國網(wǎng)絡攻擊歸因溯源能力現(xiàn)狀淺析
——以司法部訴俄GRU黑客案為例

（中國信息安全測評中心，北京 100085）

當?shù)貢r間2018年7月13日，美國司法部公布了一份針對俄羅斯情報機構GRU（Главное Разведывательное Управление，總參謀部軍事情報總局，國內一般稱格魯烏或格勒烏）所下屬12名情報人員的起訴書，指控其在2016年美國大選期間，發(fā)動網(wǎng)絡攻擊非法入侵多個民主黨競選陣營的計算機系統(tǒng)，竊取并公布信息資料，意圖干擾美國大選[1-2]。

指責俄羅斯情報機構直接參與了對2016美國總統(tǒng)大選的干預行動，這是包括聯(lián)邦調查局（FBI）、中央情報局（CIA）、國家安全局（NSA）等美國情報界機構從2016年大選期間至今一直不曾動搖的判斷。負責“通俄門”調查的特別檢察官羅伯特·穆勒（Robert·Mueller）也不是第一次針對大選干預行動起訴俄羅斯人——早在今年2月16日，他就起訴了利用社交網(wǎng)絡水軍操縱不實信息傳播的13名俄羅斯公民和3家實體組織（Entities）。穆勒的再次起訴，選擇了特朗普與普京在赫爾辛基的首次會晤前這個微妙的時間窗口。由此可見，穆勒拋出這份重量級、針對軍方情報人員的起訴書，其中必然不是簡單的公布一個針對大選干預的階段性結果，而是巧妙把握時機、將一系列已掌握物證通盤拋出以達到對俄羅斯形象最有效打擊目的的一種政治性安排。

本文無意討論這一政治性安排的效果、影響。然而為了達到這樣一種政治性目的，特別檢察官穆勒通過司法部公開發(fā)布的這份長達29頁的起訴書中，首次披露了大量與俄羅斯情報機構參與對民主黨陣營黑客攻擊以及其他大選干預行動的直接事實。

這些物證材料與分析結論，對于美國情報機構來說，大部分是早已掌握甚至是早已向特朗普總統(tǒng)進行過評估匯報的。但對普羅大眾而言，這份起訴書卻首次披露了大量內幕性信息?！岸砹_斯黑客干預大選”不僅涉及到美俄兩國的情報機構之間的直接交鋒，同時，也事關美俄關系今后的走向，是國際社會和兩國公眾高度關注的議題。鑒于事件的高度敏感性和信息的不對稱，很難去判斷其中的是非曲直?！岸砹_斯黑客干預大選”作為近年來國際網(wǎng)絡安全領域具有里程碑意義的事件，盡管其中的迷霧還需要更多的解密信息才能散盡，但是從學術角度進行一點的分析研究，其意義不僅對于網(wǎng)絡安全的治理有一定價值，對于今后網(wǎng)絡空間大國關系的博弈也存在重要參考意義。本文擬從美方單方面精心“設計”后公布的所謂“證據(jù)”進行分析，試圖從中推斷美方的網(wǎng)絡安全攻防團隊、情報執(zhí)法團隊是如何對其認為的隸屬俄羅斯GRU的這支黑客力量實施溯源、追蹤、反制的，以期能夠更深層次地了解事件的整個原委。

1 起訴書主要內容

根據(jù)美方公開材料，此次的“起訴書”共起訴了12名俄羅斯軍方情報人員，分別涉及共11項指控，包括8項惡性身份盜用指控、1項洗錢指控和2項篡謀侵犯美利堅合眾國指控。這12名情報人員分屬GRU下轄的26165部隊（Unit 26165）和74455部隊（Unit 74455）。起訴延續(xù)自2016年以來美國情報司法機構[3-4]、網(wǎng)絡安全行業(yè)專家[5-7]以及大眾媒體一貫的主流觀點，并提供了更為豐富翔實材料試圖證實包括這12名被告在內的俄羅斯軍情機構GRU，在美國2016年總統(tǒng)大選期間陰謀策動了針對民主黨競選機構的黑客行動。

起訴材料認為，26165部隊在整個行動中負責的是針對民主黨大選組織機構民主黨國會競選委員會（DCCC）和民主黨全國委員會（DNC）的黑客攻擊和數(shù)據(jù)竊取工作；而74455部隊的主要任務是通過掩護手段（Guccifer 2.0、DCLeak）、借助第三方機構（WikiLeaks，即起訴書原文中所指Organization 1）公布這些竊取到的數(shù)據(jù)，從而達到影響公眾輿論、影響大選的目的；另外，74455部隊還負責了針對各州選民注冊數(shù)據(jù)的竊取任務。

負責攻擊DCCC和DNC、竊取希拉里競選相關郵件帳號的26165部隊，涉及被告共9名，其中涅提克肖（Viktor Netyksho）是26165部隊的主管，另外8名軍官則分屬其下兩個部門：安東諾夫（Boris Antonov）少校負責的部門（包括部門副主管巴丁Dmitriy Badin和軍官葉爾馬科夫Ivan Yermakov、盧卡舍夫Aleksey Lukashev）和莫爾加切夫（Sergey Morgachev）中校負責的部門（包括軍官科薩切克Nikolay Kozachek、葉爾索夫Pavel Yershov和馬雷舍夫Artem Malyshev）。

負責秘密公布這些數(shù)據(jù)、竊取選民注冊數(shù)據(jù)的74455部隊，涉及被告三名，分別是部隊主要負責人奧薩楚克（Aleksandr Osadchuk）上校、負責通過DCLeak和Guccifer 2.0公布信息的軍官波將金（Aleksey Potemkin）、以及負責竊取選民注冊數(shù)據(jù)的軍官科瓦列夫（Anatoliy Kovalev）。

圖1 GRU美國大選行動的組織架構

從起訴書中可以看到，美方認為俄羅斯軍方情報機構GRU在這一系列行動中分工明確，策劃嚴謹，組織嚴密。在具體網(wǎng)絡攻擊行動的實施階段，26165部隊安排了專業(yè)的社工行動實施團隊（安東諾夫負責的部門1）與技術支持團隊（莫爾加切夫負責的部門2）有效配合；在發(fā)揮行動性影響階段，專門安排74455部隊負責以隱匿身份方式公布材料，并盡其所能地實施了匿名隱蔽保護措施（波將金負責的部門3）；為了嘗試進一步針對性的對選民進行干預信息投放，GRU還組織了74455部隊多角度嘗試竊取選民注冊數(shù)據(jù)的行動（科瓦列夫負責的部門4）。

如果進一步結合2018年2月“通俄門”調查團隊對13名俄公民和3家俄企業(yè)的起訴來看，這些利用民間機構建立“網(wǎng)絡水軍”（Trolls）散布信息制造網(wǎng)絡熱點以試圖影響選民的行動，與本次起訴中的情報機構秘密行動之間極有可能是存在著關聯(lián)的?！巴ǘ黹T”調查團隊似乎也是在暗示，情報機構與由俄羅斯巨富控制的網(wǎng)絡水軍公司如此的協(xié)調行動，背后的授意者無疑應該是俄羅斯的最高領導決策者。

2 起訴書展示的美方能力優(yōu)勢

整個事件的過程，某種程度上反應了在網(wǎng)絡安全時代，美俄雙方的安全團隊在網(wǎng)絡空間的情報與反情報的一場激烈的斗爭。從美方的整個調查過程來看，美方受害機構、安全服務企業(yè)、司法調查機構、情報安全部門在安全意識領先，技術全面，資源掌控上有優(yōu)勢，行動上協(xié)調高效，使得他們盡管遭遇到了攻擊者嚴重的侵害、造成了重大的破壞性影響，然而最終仍然可以反溯攻擊者來源，采取包括技術防范、情報反制、經濟制裁、司法起訴等多種手段反擊。在俄羅斯黑客干預美國大選事件中。盡管美方基本始終處于相對被動的狀態(tài)，然而從至今為止總的形勢判斷來看，美方依托其雄厚的實力基礎，保住自己不敗的同時還向對方發(fā)起了有力反擊，雙方算是打了個平手。盡管整個的起訴過程耗費了大量的經歷和資源，美方堅定不移地往前推進，最終形成了一套相應的工作機制和隊伍。長期來看，美方的策略非常明顯，即通過司法起訴來建立在網(wǎng)絡空間的“威懾能力”，并通過相應的定罪、經濟和外交制裁來實現(xiàn)所謂“跨域制裁”。

從這份起訴書以及其他相關公開報道來分析，筆者認為至少有以下要點值得關注：

（1）調查取證大量使用了從服務器鏡像中分析得到的證據(jù)，技術分析大量得到第三方企業(yè)協(xié)助。

FBI前局長詹姆斯·科米（James Comey）在2017年3月20日的國會聽證會上承認[3]，F(xiàn)BI一直并未從DNC取走服務器進行調查。特朗普總統(tǒng)隨后就一直詬病FBI并未拿到服務器，暗指其分析缺乏真憑實據(jù)。

但實際上科米在聽證會上已經明確指出，雖然FBI并未取走服務器，F(xiàn)BI已經完整地獲得了服務器上的鏡像及CrowdStrike公司提供的全部取證分析報告。從純技術的角度分析，獲取包含完整磁盤和內存數(shù)據(jù)的服務器鏡像，對于取證工作來說，要比直接搬走一臺服務器的硬件要更有價值的多；甚至可以說，將服務器斷網(wǎng)、斷電，實際上就會直接破壞一部分的攻擊證據(jù)，對調查造成不利影響。

從起訴書披露的情況來看：2016年5月間，DCCC和DNC就意識到其可能遭到了網(wǎng)絡攻擊，于是雇傭CrowdStrike公司幫助其調查攻擊情況；CrowdStrike公司在初步調查之后，嘗試清除了攻擊者已經獲得的權限；在此之后，直到6月份DCCC與DNC對外正式公布遭遇黑客攻擊，攻擊者還多次嘗試通過多種手段再次滲透進入DCCC網(wǎng)絡盜走數(shù)據(jù)。起訴書中多次使用了這一時段內攻擊者的行動線索作為重要證據(jù)，這說明這一時段內CrowdStrike公司發(fā)現(xiàn)了大量攻擊者留下的痕跡線索，通過服務器鏡像等方式進行了證據(jù)固化，通過技術分析取得了全面完整的取證分析報告，并隨后移交FBI，為此后的調查與起訴提供了關鍵性材料。CrowdStrike作為第三方安全企業(yè)，可以說在本案中發(fā)揮了至關重要的作用[5]。

更值得關注的是，CrowdStrike公司的調查并不是“一個人在戰(zhàn)斗”：從其官方披露的攻擊取證技術分析報告來看，取證分析過程就大量引用了包括火眼（FireEye）、ThreatConnect等公司過往發(fā)布的威脅分析報告成果；另一方面，圍繞CrowdStrike分析獲得的物證線索，這些公司也在不斷比對己方掌握的取證資源，嘗試發(fā)現(xiàn)新的關聯(lián)；其中更不乏學術界研究者的積極參與和搖旗吶喊[7]。網(wǎng)絡安全相關的企業(yè)界、學術圈人士與政府機構關系緊密，構筑了一套獨特而富于生機的生態(tài)體系?？梢哉f，這個生態(tài)體系，正是美國網(wǎng)絡安全事件調查的優(yōu)勢源泉所在，它構成了美國國家在網(wǎng)絡歸因溯源能力方面的最重要核心競爭力。

（2）攻擊者所使用的攻擊基礎設施遭到調查機構全面控制，彰顯美方網(wǎng)絡攻擊反制能力。

攻擊基礎設施是指攻擊者在攻擊過程中使用的后端組件，這其中可能包括域名、重定向器、攻擊載荷托管服務器、命令控制服務器、數(shù)據(jù)文件轉存服務器等。對于一支實施隱蔽網(wǎng)絡情報行動的攻擊團隊來說，做好攻擊基礎設施每一個環(huán)節(jié)上的安全、隱蔽、秘密，是實現(xiàn)攻擊后最終全身而退的重要保障。

但在本案中，起訴書材料顯示，攻擊者使用的多個基礎設施服務都遭到了調查機構的全面控制：起訴書中指出了俄羅斯軍情人員是何時、以何種方式登錄到一臺位于亞利桑那州的控制服務器，配置并連接已感染木馬的DCCC主機的，他們還通過這臺控制服務器，“全天候實時地”監(jiān)控一名DCCC工作人員電腦；起訴書中還指出，攻擊者使用名為X-Tunnel的軟件在2016年4月22日將竊取的數(shù)據(jù)轉移到一臺位于伊利諾伊州的服務器，并在4月28日將其取走。這些起訴書上的指控陳述，無法僅僅通過對受害電腦上的取證就能證實，而是必須依托于對攻擊者所有的這些攻擊基礎設施服務器的權限控制才能實現(xiàn)的。

起訴書并未披露如何控制這些基礎設施的更深入細節(jié)，因此我們無法從中準確的判斷調查機構究竟是通過技術滲透還是通過司法強制手段獲得的這些控制權。但顯而易見的是，控制了這些攻擊基礎設施，調查機構對攻擊者的所作所為完全可以了如指掌，如同甕中捉鱉一般，這甚至比對DCCC和DNC遭受攻擊的這些服務器和終端PC的取證還要有效得多。有理由相信，在取證調查中使用攻擊性技術（包括技術滲透以及司法強制手段控制），已經逐漸成為美方歸因溯源調查過程中的一種常態(tài)。

（3）攻擊者種種疏漏留下了大量蛛絲馬跡，美方全方位協(xié)調的調查能力是決定性因素。

針對2016美國總統(tǒng)大選中民主黨陣營機構的攻擊，是一場時間高度緊迫、高強度、多要素協(xié)調的秘密行動。正是由于這一特點，參與行動的攻擊者雖然都是久經沙場的老江湖，精通黑客攻防技術，具備豐富的隱蔽行動反偵察經驗，但在高強度的任務目標壓力之下，仍然會由于僥幸心理、或是對對手能力估計不足，留下了大量蛛絲馬跡的線索。

起訴書中指出的這類線索包括：26165部隊注冊用于對DNC實施釣魚行動的欺詐域名時用于隱藏IP來源的VPN帳號，與74455部隊人員以Guccifer 2.0名義公布泄密材料時使用的VPN帳號竟然完全是同一個；用于支付這個VPN帳號的比特幣錢包，后來又被用于注冊dcleaks.com這個域名（這個域名被用來公布竊取自DNC的大量郵件和文檔）；在以Guccifer 2.0的身份向維基解密（起訴書中的Organization 1）傳送竊取的文檔過程中，以文件附件形式傳送的被盜郵件采用了高強度的加密傳輸，但雙方郵件溝通的正文內容卻未做加密處理，美國調查機構正是通過截取的這些郵件通信的正文內容，證實了Guciffer 2.0與維基解密間的串謀合作關系。

這些攻擊者留下的細微線索，一方面證明了GRU的秘密行動仍然缺乏系統(tǒng)性和嚴謹性，另一方面，這些細枝末節(jié)的線索能夠被美方調查機構一一找出，最終將一塊塊碎片拼接形成完整的故事情節(jié)，這也充分體現(xiàn)了美方在網(wǎng)絡攻擊事件調查中的全方位協(xié)調能力。

可以想象，來自司法部特別檢察官辦公室、國家情報總監(jiān)辦公室、CIA、FBI、國土安全部（DHS）、NSA等機構的調查與情報人員，動用各種技術力量與資源，借助多種情報渠道印證，結合從谷歌、推特等第三方公司通過司法傳票取得的數(shù)字證據(jù)，將無數(shù)看似毫無關聯(lián)的線索拼接在一起，最終完成了關于大選干預事件的全景畫卷。

當然，這幅畫卷可能并不百分之百完整、真實、準確，但從過往兩年多時間以來披露關于這一系列事件的公開材料看來，筆者認為，這份起訴書材料的觀點，是迄今為止針對2016年大選黑客攻擊事件的最符合事實邏輯、提供最為豐富佐證材料的解釋。這也是美國情報與司法調查機構過去十余年以來所積累形成的網(wǎng)絡攻擊全方位調查與追蹤溯源能力的突出體現(xiàn)。

3 結語

特別檢察官羅伯特·穆勒的這份起訴書，以及其他的相關材料中所展示的思路、方法和手段對于網(wǎng)絡安全的事件調查有一定的啟發(fā)意義。這份起訴書通篇沒有使用任何“高級持續(xù)威脅”、“殺傷鏈”、“暴露面”、“大數(shù)據(jù)異常行為檢測”等等高大上的名詞概念，但是卻用抽絲剝繭的方式將一個防御者如何調動種種資源、最終將攻擊者打回原形的過程清晰的展現(xiàn)在觀眾面前。

從起訴書披露的信息來推斷，在取證、調查、乃至反制的過程中，美方調查機構并沒有使用到任何超出我們想象的“天頂星科技”。當然，也有可能是美方刻意的隱瞞了一些所謂的“歸因”技術。但是其相關做法對于其他國家的網(wǎng)絡安全產業(yè)界、執(zhí)法調查機構也完全有技術能力復盤同樣的調查流程。美國政府情報與司法調查機構這般強大全方位的資源掌控能力也許其他國家尚未能掌握，但細究其間的差距亦并非不可逾越之鴻溝。從學術角度而言，認真研究分析這份起訴書中所展現(xiàn)的網(wǎng)絡歸因溯源技術方法和思想理念，強化投入網(wǎng)絡歸因溯源技術研究與工作體系建設，是我們能從這份材料中獲得的最好啟發(fā)。