（中國信息安全測評中心，北京 100085）

當(dāng)?shù)貢r間2018年7月13日，美國司法部公布了一份針對俄羅斯情報機(jī)構(gòu)GRU（Главное Разведывательное Управление，總參謀部軍事情報總局，國內(nèi)一般稱格魯烏或格勒烏）所下屬12名情報人員的起訴書，指控其在2016年美國大選期間，發(fā)動網(wǎng)絡(luò)攻擊非法入侵多個民主黨競選陣營的計算機(jī)系統(tǒng)，竊取并公布信息資料，意圖干擾美國大選[1-2]。

指責(zé)俄羅斯情報機(jī)構(gòu)直接參與了對2016美國總統(tǒng)大選的干預(yù)行動，這是包括聯(lián)邦調(diào)查局（FBI）、中央情報局（CIA）、國家安全局（NSA）等美國情報界機(jī)構(gòu)從2016年大選期間至今一直不曾動搖的判斷。負(fù)責(zé)“通俄門”調(diào)查的特別檢察官羅伯特·穆勒（Robert·Mueller）也不是第一次針對大選干預(yù)行動起訴俄羅斯人——早在今年2月16日，他就起訴了利用社交網(wǎng)絡(luò)水軍操縱不實(shí)信息傳播的13名俄羅斯公民和3家實(shí)體組織（Entities）。穆勒的再次起訴，選擇了特朗普與普京在赫爾辛基的首次會晤前這個微妙的時間窗口。由此可見，穆勒拋出這份重量級、針對軍方情報人員的起訴書，其中必然不是簡單的公布一個針對大選干預(yù)的階段性結(jié)果，而是巧妙把握時機(jī)、將一系列已掌握物證通盤拋出以達(dá)到對俄羅斯形象最有效打擊目的的一種政治性安排。

本文無意討論這一政治性安排的效果、影響。然而為了達(dá)到這樣一種政治性目的，特別檢察官穆勒通過司法部公開發(fā)布的這份長達(dá)29頁的起訴書中，首次披露了大量與俄羅斯情報機(jī)構(gòu)參與對民主黨陣營黑客攻擊以及其他大選干預(yù)行動的直接事實(shí)。

這些物證材料與分析結(jié)論，對于美國情報機(jī)構(gòu)來說，大部分是早已掌握甚至是早已向特朗普總統(tǒng)進(jìn)行過評估匯報的。但對普羅大眾而言，這份起訴書卻首次披露了大量內(nèi)幕性信息?！岸砹_斯黑客干預(yù)大選”不僅涉及到美俄兩國的情報機(jī)構(gòu)之間的直接交鋒，同時，也事關(guān)美俄關(guān)系今后的走向，是國際社會和兩國公眾高度關(guān)注的議題。鑒于事件的高度敏感性和信息的不對稱，很難去判斷其中的是非曲直。“俄羅斯黑客干預(yù)大選”作為近年來國際網(wǎng)絡(luò)安全領(lǐng)域具有里程碑意義的事件，盡管其中的迷霧還需要更多的解密信息才能散盡，但是從學(xué)術(shù)角度進(jìn)行一點(diǎn)的分析研究，其意義不僅對于網(wǎng)絡(luò)安全的治理有一定價值，對于今后網(wǎng)絡(luò)空間大國關(guān)系的博弈也存在重要參考意義。本文擬從美方單方面精心“設(shè)計”后公布的所謂“證據(jù)”進(jìn)行分析，試圖從中推斷美方的網(wǎng)絡(luò)安全攻防團(tuán)隊(duì)、情報執(zhí)法團(tuán)隊(duì)是如何對其認(rèn)為的隸屬俄羅斯GRU的這支黑客力量實(shí)施溯源、追蹤、反制的，以期能夠更深層次地了解事件的整個原委。

1 起訴書主要內(nèi)容

根據(jù)美方公開材料，此次的“起訴書”共起訴了12名俄羅斯軍方情報人員，分別涉及共11項(xiàng)指控，包括8項(xiàng)惡性身份盜用指控、1項(xiàng)洗錢指控和2項(xiàng)篡謀侵犯美利堅合眾國指控。這12名情報人員分屬GRU下轄的26165部隊(duì)（Unit 26165）和74455部隊(duì)（Unit 74455）。起訴延續(xù)自2016年以來美國情報司法機(jī)構(gòu)[3-4]、網(wǎng)絡(luò)安全行業(yè)專家[5-7]以及大眾媒體一貫的主流觀點(diǎn)，并提供了更為豐富翔實(shí)材料試圖證實(shí)包括這12名被告在內(nèi)的俄羅斯軍情機(jī)構(gòu)GRU，在美國2016年總統(tǒng)大選期間陰謀策動了針對民主黨競選機(jī)構(gòu)的黑客行動。

起訴材料認(rèn)為，26165部隊(duì)在整個行動中負(fù)責(zé)的是針對民主黨大選組織機(jī)構(gòu)民主黨國會競選委員會（DCCC）和民主黨全國委員會（DNC）的黑客攻擊和數(shù)據(jù)竊取工作；而74455部隊(duì)的主要任務(wù)是通過掩護(hù)手段（Guccifer 2.0、DCLeak）、借助第三方機(jī)構(gòu)（WikiLeaks，即起訴書原文中所指Organization 1）公布這些竊取到的數(shù)據(jù)，從而達(dá)到影響公眾輿論、影響大選的目的；另外，74455部隊(duì)還負(fù)責(zé)了針對各州選民注冊數(shù)據(jù)的竊取任務(wù)。

負(fù)責(zé)攻擊DCCC和DNC、竊取希拉里競選相關(guān)郵件帳號的26165部隊(duì)，涉及被告共9名，其中涅提克肖（Viktor Netyksho）是26165部隊(duì)的主管，另外8名軍官則分屬其下兩個部門：安東諾夫（Boris Antonov）少校負(fù)責(zé)的部門（包括部門副主管巴丁Dmitriy Badin和軍官葉爾馬科夫Ivan Yermakov、盧卡舍夫Aleksey Lukashev）和莫爾加切夫（Sergey Morgachev）中校負(fù)責(zé)的部門（包括軍官科薩切克Nikolay Kozachek、葉爾索夫Pavel Yershov和馬雷舍夫Artem Malyshev）。

負(fù)責(zé)秘密公布這些數(shù)據(jù)、竊取選民注冊數(shù)據(jù)的74455部隊(duì)，涉及被告三名，分別是部隊(duì)主要負(fù)責(zé)人奧薩楚克（Aleksandr Osadchuk）上校、負(fù)責(zé)通過DCLeak和Guccifer 2.0公布信息的軍官波將金（Aleksey Potemkin）、以及負(fù)責(zé)竊取選民注冊數(shù)據(jù)的軍官科瓦列夫（Anatoliy Kovalev）。

圖1 GRU美國大選行動的組織架構(gòu)

從起訴書中可以看到，美方認(rèn)為俄羅斯軍方情報機(jī)構(gòu)GRU在這一系列行動中分工明確，策劃嚴(yán)謹(jǐn)，組織嚴(yán)密。在具體網(wǎng)絡(luò)攻擊行動的實(shí)施階段，26165部隊(duì)安排了專業(yè)的社工行動實(shí)施團(tuán)隊(duì)（安東諾夫負(fù)責(zé)的部門1）與技術(shù)支持團(tuán)隊(duì)（莫爾加切夫負(fù)責(zé)的部門2）有效配合；在發(fā)揮行動性影響階段，專門安排74455部隊(duì)負(fù)責(zé)以隱匿身份方式公布材料，并盡其所能地實(shí)施了匿名隱蔽保護(hù)措施（波將金負(fù)責(zé)的部門3）；為了嘗試進(jìn)一步針對性的對選民進(jìn)行干預(yù)信息投放，GRU還組織了74455部隊(duì)多角度嘗試竊取選民注冊數(shù)據(jù)的行動（科瓦列夫負(fù)責(zé)的部門4）。

如果進(jìn)一步結(jié)合2018年2月“通俄門”調(diào)查團(tuán)隊(duì)對13名俄公民和3家俄企業(yè)的起訴來看，這些利用民間機(jī)構(gòu)建立“網(wǎng)絡(luò)水軍”（Trolls）散布信息制造網(wǎng)絡(luò)熱點(diǎn)以試圖影響選民的行動，與本次起訴中的情報機(jī)構(gòu)秘密行動之間極有可能是存在著關(guān)聯(lián)的。“通俄門”調(diào)查團(tuán)隊(duì)似乎也是在暗示，情報機(jī)構(gòu)與由俄羅斯巨富控制的網(wǎng)絡(luò)水軍公司如此的協(xié)調(diào)行動，背后的授意者無疑應(yīng)該是俄羅斯的最高領(lǐng)導(dǎo)決策者。

2 起訴書展示的美方能力優(yōu)勢

整個事件的過程，某種程度上反應(yīng)了在網(wǎng)絡(luò)安全時代，美俄雙方的安全團(tuán)隊(duì)在網(wǎng)絡(luò)空間的情報與反情報的一場激烈的斗爭。從美方的整個調(diào)查過程來看，美方受害機(jī)構(gòu)、安全服務(wù)企業(yè)、司法調(diào)查機(jī)構(gòu)、情報安全部門在安全意識領(lǐng)先，技術(shù)全面，資源掌控上有優(yōu)勢，行動上協(xié)調(diào)高效，使得他們盡管遭遇到了攻擊者嚴(yán)重的侵害、造成了重大的破壞性影響，然而最終仍然可以反溯攻擊者來源，采取包括技術(shù)防范、情報反制、經(jīng)濟(jì)制裁、司法起訴等多種手段反擊。在俄羅斯黑客干預(yù)美國大選事件中。盡管美方基本始終處于相對被動的狀態(tài)，然而從至今為止總的形勢判斷來看，美方依托其雄厚的實(shí)力基礎(chǔ)，保住自己不敗的同時還向?qū)Ψ桨l(fā)起了有力反擊，雙方算是打了個平手。盡管整個的起訴過程耗費(fèi)了大量的經(jīng)歷和資源，美方堅定不移地往前推進(jìn)，最終形成了一套相應(yīng)的工作機(jī)制和隊(duì)伍。長期來看，美方的策略非常明顯，即通過司法起訴來建立在網(wǎng)絡(luò)空間的“威懾能力”，并通過相應(yīng)的定罪、經(jīng)濟(jì)和外交制裁來實(shí)現(xiàn)所謂“跨域制裁”。

從這份起訴書以及其他相關(guān)公開報道來分析，筆者認(rèn)為至少有以下要點(diǎn)值得關(guān)注：

（1）調(diào)查取證大量使用了從服務(wù)器鏡像中分析得到的證據(jù)，技術(shù)分析大量得到第三方企業(yè)協(xié)助。

FBI前局長詹姆斯·科米（James Comey）在2017年3月20日的國會聽證會上承認(rèn)[3]，F(xiàn)BI一直并未從DNC取走服務(wù)器進(jìn)行調(diào)查。特朗普總統(tǒng)隨后就一直詬病FBI并未拿到服務(wù)器，暗指其分析缺乏真憑實(shí)據(jù)。

但實(shí)際上科米在聽證會上已經(jīng)明確指出，雖然FBI并未取走服務(wù)器，F(xiàn)BI已經(jīng)完整地獲得了服務(wù)器上的鏡像及CrowdStrike公司提供的全部取證分析報告。從純技術(shù)的角度分析，獲取包含完整磁盤和內(nèi)存數(shù)據(jù)的服務(wù)器鏡像，對于取證工作來說，要比直接搬走一臺服務(wù)器的硬件要更有價值的多；甚至可以說，將服務(wù)器斷網(wǎng)、斷電，實(shí)際上就會直接破壞一部分的攻擊證據(jù)，對調(diào)查造成不利影響。

從起訴書披露的情況來看：2016年5月間，DCCC和DNC就意識到其可能遭到了網(wǎng)絡(luò)攻擊，于是雇傭CrowdStrike公司幫助其調(diào)查攻擊情況；CrowdStrike公司在初步調(diào)查之后，嘗試清除了攻擊者已經(jīng)獲得的權(quán)限；在此之后，直到6月份DCCC與DNC對外正式公布遭遇黑客攻擊，攻擊者還多次嘗試通過多種手段再次滲透進(jìn)入DCCC網(wǎng)絡(luò)盜走數(shù)據(jù)。起訴書中多次使用了這一時段內(nèi)攻擊者的行動線索作為重要證據(jù)，這說明這一時段內(nèi)CrowdStrike公司發(fā)現(xiàn)了大量攻擊者留下的痕跡線索，通過服務(wù)器鏡像等方式進(jìn)行了證據(jù)固化，通過技術(shù)分析取得了全面完整的取證分析報告，并隨后移交FBI，為此后的調(diào)查與起訴提供了關(guān)鍵性材料。CrowdStrike作為第三方安全企業(yè)，可以說在本案中發(fā)揮了至關(guān)重要的作用[5]。

更值得關(guān)注的是，CrowdStrike公司的調(diào)查并不是“一個人在戰(zhàn)斗”：從其官方披露的攻擊取證技術(shù)分析報告來看，取證分析過程就大量引用了包括火眼（FireEye）、ThreatConnect等公司過往發(fā)布的威脅分析報告成果；另一方面，圍繞CrowdStrike分析獲得的物證線索，這些公司也在不斷比對己方掌握的取證資源，嘗試發(fā)現(xiàn)新的關(guān)聯(lián)；其中更不乏學(xué)術(shù)界研究者的積極參與和搖旗吶喊[7]。網(wǎng)絡(luò)安全相關(guān)的企業(yè)界、學(xué)術(shù)圈人士與政府機(jī)構(gòu)關(guān)系緊密，構(gòu)筑了一套獨(dú)特而富于生機(jī)的生態(tài)體系?？梢哉f，這個生態(tài)體系，正是美國網(wǎng)絡(luò)安全事件調(diào)查的優(yōu)勢源泉所在，它構(gòu)成了美國國家在網(wǎng)絡(luò)歸因溯源能力方面的最重要核心競爭力。

（2）攻擊者所使用的攻擊基礎(chǔ)設(shè)施遭到調(diào)查機(jī)構(gòu)全面控制，彰顯美方網(wǎng)絡(luò)攻擊反制能力。

攻擊基礎(chǔ)設(shè)施是指攻擊者在攻擊過程中使用的后端組件，這其中可能包括域名、重定向器、攻擊載荷托管服務(wù)器、命令控制服務(wù)器、數(shù)據(jù)文件轉(zhuǎn)存服務(wù)器等。對于一支實(shí)施隱蔽網(wǎng)絡(luò)情報行動的攻擊團(tuán)隊(duì)來說，做好攻擊基礎(chǔ)設(shè)施每一個環(huán)節(jié)上的安全、隱蔽、秘密，是實(shí)現(xiàn)攻擊后最終全身而退的重要保障。

但在本案中，起訴書材料顯示，攻擊者使用的多個基礎(chǔ)設(shè)施服務(wù)都遭到了調(diào)查機(jī)構(gòu)的全面控制：起訴書中指出了俄羅斯軍情人員是何時、以何種方式登錄到一臺位于亞利桑那州的控制服務(wù)器，配置并連接已感染木馬的DCCC主機(jī)的，他們還通過這臺控制服務(wù)器，“全天候?qū)崟r地”監(jiān)控一名DCCC工作人員電腦；起訴書中還指出，攻擊者使用名為X-Tunnel的軟件在2016年4月22日將竊取的數(shù)據(jù)轉(zhuǎn)移到一臺位于伊利諾伊州的服務(wù)器，并在4月28日將其取走。這些起訴書上的指控陳述，無法僅僅通過對受害電腦上的取證就能證實(shí)，而是必須依托于對攻擊者所有的這些攻擊基礎(chǔ)設(shè)施服務(wù)器的權(quán)限控制才能實(shí)現(xiàn)的。

起訴書并未披露如何控制這些基礎(chǔ)設(shè)施的更深入細(xì)節(jié)，因此我們無法從中準(zhǔn)確的判斷調(diào)查機(jī)構(gòu)究竟是通過技術(shù)滲透還是通過司法強(qiáng)制手段獲得的這些控制權(quán)。但顯而易見的是，控制了這些攻擊基礎(chǔ)設(shè)施，調(diào)查機(jī)構(gòu)對攻擊者的所作所為完全可以了如指掌，如同甕中捉鱉一般，這甚至比對DCCC和DNC遭受攻擊的這些服務(wù)器和終端PC的取證還要有效得多。有理由相信，在取證調(diào)查中使用攻擊性技術(shù)（包括技術(shù)滲透以及司法強(qiáng)制手段控制），已經(jīng)逐漸成為美方歸因溯源調(diào)查過程中的一種常態(tài)。

（3）攻擊者種種疏漏留下了大量蛛絲馬跡，美方全方位協(xié)調(diào)的調(diào)查能力是決定性因素。

針對2016美國總統(tǒng)大選中民主黨陣營機(jī)構(gòu)的攻擊，是一場時間高度緊迫、高強(qiáng)度、多要素協(xié)調(diào)的秘密行動。正是由于這一特點(diǎn)，參與行動的攻擊者雖然都是久經(jīng)沙場的老江湖，精通黑客攻防技術(shù)，具備豐富的隱蔽行動反偵察經(jīng)驗(yàn)，但在高強(qiáng)度的任務(wù)目標(biāo)壓力之下，仍然會由于僥幸心理、或是對對手能力估計不足，留下了大量蛛絲馬跡的線索。

起訴書中指出的這類線索包括：26165部隊(duì)注冊用于對DNC實(shí)施釣魚行動的欺詐域名時用于隱藏IP來源的VPN帳號，與74455部隊(duì)人員以Guccifer 2.0名義公布泄密材料時使用的VPN帳號竟然完全是同一個；用于支付這個VPN帳號的比特幣錢包，后來又被用于注冊dcleaks.com這個域名（這個域名被用來公布竊取自DNC的大量郵件和文檔）；在以Guccifer 2.0的身份向維基解密（起訴書中的Organization 1）傳送竊取的文檔過程中，以文件附件形式傳送的被盜郵件采用了高強(qiáng)度的加密傳輸，但雙方郵件溝通的正文內(nèi)容卻未做加密處理，美國調(diào)查機(jī)構(gòu)正是通過截取的這些郵件通信的正文內(nèi)容，證實(shí)了Guciffer 2.0與維基解密間的串謀合作關(guān)系。

這些攻擊者留下的細(xì)微線索，一方面證明了GRU的秘密行動仍然缺乏系統(tǒng)性和嚴(yán)謹(jǐn)性，另一方面，這些細(xì)枝末節(jié)的線索能夠被美方調(diào)查機(jī)構(gòu)一一找出，最終將一塊塊碎片拼接形成完整的故事情節(jié)，這也充分體現(xiàn)了美方在網(wǎng)絡(luò)攻擊事件調(diào)查中的全方位協(xié)調(diào)能力。

可以想象，來自司法部特別檢察官辦公室、國家情報總監(jiān)辦公室、CIA、FBI、國土安全部（DHS）、NSA等機(jī)構(gòu)的調(diào)查與情報人員，動用各種技術(shù)力量與資源，借助多種情報渠道印證，結(jié)合從谷歌、推特等第三方公司通過司法傳票取得的數(shù)字證據(jù)，將無數(shù)看似毫無關(guān)聯(lián)的線索拼接在一起，最終完成了關(guān)于大選干預(yù)事件的全景畫卷。

當(dāng)然，這幅畫卷可能并不百分之百完整、真實(shí)、準(zhǔn)確，但從過往兩年多時間以來披露關(guān)于這一系列事件的公開材料看來，筆者認(rèn)為，這份起訴書材料的觀點(diǎn)，是迄今為止針對2016年大選黑客攻擊事件的最符合事實(shí)邏輯、提供最為豐富佐證材料的解釋。這也是美國情報與司法調(diào)查機(jī)構(gòu)過去十余年以來所積累形成的網(wǎng)絡(luò)攻擊全方位調(diào)查與追蹤溯源能力的突出體現(xiàn)。

3 結(jié)語

特別檢察官羅伯特·穆勒的這份起訴書，以及其他的相關(guān)材料中所展示的思路、方法和手段對于網(wǎng)絡(luò)安全的事件調(diào)查有一定的啟發(fā)意義。這份起訴書通篇沒有使用任何“高級持續(xù)威脅”、“殺傷鏈”、“暴露面”、“大數(shù)據(jù)異常行為檢測”等等高大上的名詞概念，但是卻用抽絲剝繭的方式將一個防御者如何調(diào)動種種資源、最終將攻擊者打回原形的過程清晰的展現(xiàn)在觀眾面前。

從起訴書披露的信息來推斷，在取證、調(diào)查、乃至反制的過程中，美方調(diào)查機(jī)構(gòu)并沒有使用到任何超出我們想象的“天頂星科技”。當(dāng)然，也有可能是美方刻意的隱瞞了一些所謂的“歸因”技術(shù)。但是其相關(guān)做法對于其他國家的網(wǎng)絡(luò)安全產(chǎn)業(yè)界、執(zhí)法調(diào)查機(jī)構(gòu)也完全有技術(shù)能力復(fù)盤同樣的調(diào)查流程。美國政府情報與司法調(diào)查機(jī)構(gòu)這般強(qiáng)大全方位的資源掌控能力也許其他國家尚未能掌握，但細(xì)究其間的差距亦并非不可逾越之鴻溝。從學(xué)術(shù)角度而言，認(rèn)真研究分析這份起訴書中所展現(xiàn)的網(wǎng)絡(luò)歸因溯源技術(shù)方法和思想理念，強(qiáng)化投入網(wǎng)絡(luò)歸因溯源技術(shù)研究與工作體系建設(shè)，是我們能從這份材料中獲得的最好啟發(fā)。