Lentis/网络攻击归因

缓解和遏制网络攻击或漏洞的首要步骤之一是确定其来源。尽早识别攻击者并跟踪其以往的活动有助于了解他们的动机，确定他们想要获取的数据，以及物理定位和逮捕他们。在更全球的层面上，将攻击与某个国家联系起来会影响决策者在外交政策方面的决策。尽管其重要性，但目前的归因方法远非完美，一些决策过早做出。这会导致各种后果，错误归因可能会导致反制措施伤害受害者而不是网络罪犯 ^[1][2]。

网络攻击归因描述了通过关联各种指标将攻击追溯到其来源来确定负责特定互联网攻击的当事方的行为。每种网络操作都会留下痕迹，分析师使用这些信息，结合对先前事件的了解，试图识别恶意攻击者 ^[3]。了解攻击者想要获取哪些数据可以使事件响应者预测入侵者的行为，并集中精力进行遏制、缓解和预防工作 ^[4]。在政策方面，它有助于执法部门区分犯罪活动和国家支持的攻击，并采取相应行动。

网络攻击通常会在系统上留下某种形式的日志，因此在日志中找到的信息，甚至删除日志的证据，都会敲响警钟。任何网络攻击或系统正常使用都会通过许多服务和在各种网络级别与计算机设备交互，几乎在每个步骤都留下一些痕迹。这些攻击指标，例如登录失败尝试、在非工作时间出现异常连接、IP 地址、带有敏感数据的网络流量记录等，都指向恶意活动 ^[5]。此外，执行攻击所展示的行为和技术非常宝贵，因为习惯比工具更难改变 ^[3]。诸如社会文化参考、语言技能和时区等人类因素有助于指向某个国家 ^[6][7]。

目前没有识别攻击者的标准化方法。攻击方法和技术不断发展，每个目标系统都是独一无二的，攻击和防御都需要人类操作，很难概括。

• 纯粹的技术攻击指标（例如源自特定位置的 IP 地址）不再是可靠的归因方法 ^[8]。威胁行为者可以轻松伪造其来源或使用诸如 TOR 网络之类的去匿名化服务，使其痕迹毫无意义。在某些情况下，攻击者可能会故意设置障眼法，以鼓励错误归因 ^[9]。
• 攻击者重复使用来自他人的方法和工具，这会导致误报。它们可以在暗网或白帽黑客社区中获得。例如，名为 EternalBlue 的攻击已成为利用 Windows SMB 服务的标准方法。据报道，它是由美国国家安全局开发的 ^[10]。
• 越来越多的“利用现成工具”战术的使用，使威胁行为者能够仅使用目标环境中已存在的内置工具来执行攻击。这使得攻击更难以检测，并避免使用任何自定义工具，否则这些工具将在调查中充当有价值的工件 ^[11]。
• 随着互联网使用量的增长，网络服务数量增加，公司也扩大了其基础设施。这导致流量量的爆炸式增长，安全团队必须对其进行分析和处理。这使得很难区分恶意流量和良性流量，自动化解决方案也不是万无一失的 ^[12]。
• 归因可能会导致敏感证据或归因方法的泄露，这将使攻击者有机会掩盖其踪迹 ^[13]。相反，未发布证据会损害对归因有效性的信任。
• 分析攻击者行为并将独立攻击进行关联的归因方法在很大程度上依赖于对先前攻击的了解。这需要在私营和公共部门内部以及各个部门之间进行强大而快速的沟通，这由于信息敏感性、商业竞争或不愿承认漏洞而变得困难 ^[14][15]。

近年来，美国政府与其公民之间出现了越来越大的分歧。皮尤研究中心的最新民意调查显示，人们对政府是否能代表他们的最佳利益越来越不信任 ^[16]。这种信任的丧失随之削弱了政府在公众眼中的信誉，这引发了人们对网络攻击归因过程的担忧。当政府发布官方声明，指明攻击来源时，许多人对此表示怀疑 ^[17][18]。这种不信任并非没有道理。从不合理的乳制品消费建议 ^[19]到越南战争的灾难 ^[20]，政府不诚实或决策不当的历史例子很多。

政府机构极不情愿透露其情报能力、来源和方法。其中一些信息对国家安全至关重要 ^[21]。在 2014 年索尼影业被黑事件中，这可能暴露了美国国家安全局试图窃听朝鲜政府的细节 ^[22]。此类披露还会告诉攻击者哪些信息已经被发现，以及未来攻击需要修复哪些漏洞。有时公众别无选择，只能相信政府机构的说法。

政治团体利用网络攻击溯源的固有难度，并利用这种模糊性来推进自己的议程。随着国家支持的网络攻击日益复杂和侵略性，各国开始优先考虑减轻和应对这些攻击的威胁。这也为政治团体提供了更多利用这些攻击的机会，无论是通过过早地将攻击归咎于某个特定团体，还是将反对派牵连其中，使其承担责任或同谋。

私营公司正在承担网络攻击溯源的责任。这种安排有利于通常负责网络攻击溯源的政府，因为它可以保留报复的选项并保密情报能力 ^[23]。这种安排也有利于私人安全公司，因为他们在进行归因时获得了宝贵的声望和新闻报道。由于进行归因的证据标准没有明确定义，私营公司可能会进行错误的过早归因。此外，如果不同的公司对归因存在分歧，那么归因的信任度和权威性可能会进一步下降。

网络攻击的威力和潜在破坏力可以与实际的物理武器相媲美，因此当一个国家以网络攻击威胁美国时，美国会认真对待。错误的指控可能会加剧不必要的地缘政治紧张局势，在某些情况下，容忍攻击而不是公开指责并不能确定攻击者 ^[24]。在索尼被黑事件发生后，白宫提议对朝鲜采取“相称的回应” ^[25]作为报复 ^[26]，而许多专家尚不确定攻击者是谁。另一个争论点是，很难区分由少数黑客进行的攻击与由国家军事力量支持的攻击，人们担心政府机构在过去对独立攻击进行关联时缺乏充分的证据 ^[21]。

在关于 2016 年总统大选的争议中，俄罗斯被指责干预大选 ^[27]。高级政府官员多次重复这一点，但许多详细证据尚未公布 ^[28]，有些人质疑是否所有攻击都真的可以归咎于俄罗斯 ^[29]。多年来，有大量报告将个别的小型攻击归咎于俄罗斯国内外不同的恶意团体，这些报告作为证据支持了高级别报告，这些报告声称所有这些小型攻击都是与克里姆林宫有关联的单一团体的所作所为 ^[30]。

国土安全部和联邦调查局确实发布了一份联合报告，其中包含一份威胁咨询，列出了作为各种俄罗斯攻击指标的 IP 地址和恶意软件签名 ^[31]，但这并不构成证据。目的是帮助其他机构和私营组织通过识别这些 IP 地址来保护自己。经过进一步分析，在公布的 875 个归属于俄罗斯的 IP 地址中，至少有 425 个（约 49%）是与 Tor 出口节点相对应的 IP 地址。这意味着任何人都可以很容易地获得这些 IP 地址，无论攻击者是来自哪个国家，无论是偶然获得还是故意获得 ^[span>32]。因此，这些公开的指标既具有误导性，也可能表明这些机构在技术上存在不足，以及对来自同一机构的报告缺乏信任。这也导致了错误的归因。

例如，在 2016 年 12 月针对佛蒙特州某设施的攻击之后，官员们公开将其归咎于俄罗斯军方和民用部门 ^[span>33]。佛蒙特州众议员韦尔奇在评论俄罗斯的参与时表示：“他们会在任何地方进行黑客攻击，即使是在佛蒙特州，他们也会抓住一切机会来破坏我们的国家。我们必须保持警惕，这就是我支持奥巴马总统对俄罗斯及其对我们国家及其所代表的一切的攻击实施制裁的原因。”尽管有这些指控，但安全专家无法断言攻击实际上是由俄罗斯人实施的。因此，这篇《华盛顿邮报》文章后来被修改为：

"编辑注：本文早期版本错误地称俄罗斯黑客已经渗透到美国电网。当局表示目前没有迹象表明这一点。伯灵顿电力公司被黑客攻击的计算机没有连接到电网。"

2015 年和 2016 年，民主党全国委员会 (DNC) 网络通过一系列网络钓鱼攻击遭到入侵，导致数千份敏感文件泄露到网上 ^[34]。这些泄露事件破坏了希拉里的竞选活动，许多人认为这在她的最终失败中起到了作用。2016 年 12 月，美国情报界得出结论，俄罗斯情报机构对泄露事件负责 ^[30]。在攻击被正式归因之前，2016 年大选的两名候选人能够利用攻击者身份未知的事实。由于这些攻击有利于共和党，而损害了民主党全国委员会，希拉里不断声称俄罗斯是幕后黑手，而唐纳德·特朗普是此次攻击的同谋。尽管官方尚不清楚攻击者的身份，但希拉里能够利用这一事实来削弱特朗普的信誉，以进一步推进自己的竞选活动。

CrowdStrike 是一家私人安全公司，在受雇监控民主党全国委员会 (DNC) 服务器时发现了对 DNC 的攻击。CrowdStrike 随后将攻击与俄罗斯黑客组织联系起来 ^[35]。 当 FBI 调査此事时，CrowdStrike 向 FBI 提供了服务器的数字副本，但没有提供实际的物理服务器，而 CrowdStrike 本身也从未拥有过物理服务器 ^[36]。 CrowdStrike 的阴谋论认为 CrowdStrike 将物理服务器藏在乌克兰 (服务器的物理位置位于乌克兰)，因为这台物理服务器可能包含攻击来自乌克兰而不是俄罗斯的证据 ^[37]。 阴谋论突出了对私人公司归属的信任缺失的潜在后果，即使这种信任缺失是毫无根据的。

奥运破坏者攻击是在 2018 年冬季奥运会期间针对韩国的一次网络攻击。最初的报道称，攻击可能来自朝鲜或俄罗斯 ^[38]。 研究人员花了近 8 个月的时间才最终确定攻击来自俄罗斯。 俄罗斯黑客设置了虚假旗帜，试图将攻击嫁祸于朝鲜 ^[39]。 奥运破坏者攻击发生在朝鲜冲突缓和期间。 在奥运会结束仅一个月后，朝鲜与美国在新加坡举行的峰会将进一步推动和平进程。 尽管对奥运破坏者攻击的错误归属并没有破坏这些会谈，但在这种情况下，错误归属可能会带来严重的政治后果。

1. ↑ Laperruque, J. (2015). CISA 的反制措施授权如何威胁安全。 民主与技术中心。 https://cdt.org/insights/how-cisas-countermeasures-authorization-threatens-security/
2. ↑ Roberts, P. (2015). 网络错误归属的致命游戏。 DigitalGuardian。 https://digitalguardian.com/blog/deadly-game-cyber-mis-attribution
3. ↑ ^{a b} 国家情报总监办公室。 (2018)。 网络归属指南。 https://www.dni.gov/files/CTIIC/documents/ODNI_A_Guide_to_Cyber_Attribution.pdf
4. ↑ 雷神公司。 (2019)。 谁入侵了你？。 雷神公司。 https://www.raytheon.com/news/feature/who-hacked-you
5. ↑ Shamsi, J. A., Zeadally, S., Sheikh, F., & Flowers, A. (2016)。 网络空间的归属：技术和法律影响。 安全与通信网络, 9(15), 2886-2900。 doi:10.1002/sec.1485
6. ↑ Summers, T. (2017)。 追捕黑客：一名道德黑客解释如何追踪坏人。 对话。 https://theconversation.com/hunting-hackers-an-ethical-hacker-explains-how-to-track-down-the-bad-guys-70927
7. ↑ Goodin, D. (2016)。 "Guccifer？" DNC 的特朗普研究泄露事件有俄罗斯的指纹。 ArsTechnica。 https://arstechnica.com/information-technology/2016/06/guccifer-leak-of-dnc-trump-research-has-a-russians-fingerprints-on-it/
8. ↑ Maloney, S. (2017)。 攻击归属：这很复杂。 Cyberreason。 https://www.cybereason.com/blog/attack-attribution-its-complicated
9. ↑ Bartholomew, B., & Guerrero-Saade, J. A. (2016)。 挥舞你的假旗帜！ 在目标攻击中混淆归属的欺骗策略。 在 病毒公告会议 2016 中。 https://www.virusbulletin.com/uploads/pdf/magazine/2016/VB2016-Bartholomew-GuerreroSaade.pdf
10. ↑ Newman, L. (2018)。 泄露的 NSA 间谍工具 "永恒之蓝" 如何成为黑客的最爱。 连线。 https://www.wired.com/story/eternalblue-leaked-nsa-spy-tool-hacked-world/
11. ↑ Goudie, M. (2019)。 超越恶意软件；"利用现有工具" 攻击的兴起。 CSO 在线。 https://www.cso.com.au/article/661035/going-beyond-malware-rise-living-off-land-attacks/
12. ↑ Crossman, P. (2017)。 警报：网络安全警报太多。 美国银行家。 https://www.americanbanker.com/news/alert-there-are-too-many-cybersecurity-alerts
13. ↑ Baikalov, I. (2019)。 为什么准确的攻击归属在网络安全中至关重要。 SC 媒体英国, https://www.scmagazineuk.com/article/1525749
14. ↑ Molnar, A. (2017)。 信息共享文化。 搜索解释。 https://searchexplained.com/information-sharing-culture/
15. ↑ Nielsen, K. M. (2018)。 凯斯滕·M·尼尔森部长在全国网络安全峰会上的主旨演讲。 国土安全部。 https://www.dhs.gov/news/2018/07/31/secretary-kirstjen-m-nielsen-s-national-cybersecurity-summit-keynote-speech
16. ↑ 皮尤研究中心。 (2019)。 公众对政府的信任：1958-2019。 https://www.people-press.org/2019/04/11/public-trust-in-government-1958-2019/
17. ↑ Carden, J. (2017)。 怀疑是叛国罪吗？。 国家。 https://www.thenation.com/article/is-skepticism-treason/
18. ↑ Greenberg, A. (2017)。 联邦政府关于俄罗斯大选黑客行为的谴责报告不会说服怀疑者。 从 https://www.wired.com/2017/01/feds-damning-report-russian-election-hack-wont-convince-skeptics/ 检索
19. ↑ Whoriskey, P. (2015)。 几十年来，政府将数百万资金从全脂牛奶中转移。 这样做错了吗？。 华盛顿邮报 https://www.washingtonpost.com/news/wonk/wp/2015/10/06/for-decades-the-government-steered-millions-away-from-whole-milk-was-that-wrong/
20. ↑ Warren, J. A. (2018)。 越南：美国外交政策中最大的灾难。 每日野兽。 https://www.thedailybeast.com/vietnam-the-greatest-disaster-in-all-of-us-foreign-policy-2
21. ↑ ^{a b} Schneier, B. (2015)。 政府必须向我们展示朝鲜攻击索尼的证据。 时代。 https://time.com/3653625/sony-hack-obama-sanctions-north-korea/
22. ↑ Schneier, B. (2014)。 朝鲜真的攻击了索尼吗？。 大西洋。 https://www.theatlantic.com/international/archive/2014/12/did-north-korea-really-attack-sony/383973/
23. ↑ Rich, W. G. (2018)。 美国让私人网络安全公司去做它的脏活。 连线。 https://www.wired.com/story/private-firms-do-government-dirty-work/
24. ↑ Edwards, B., Furnas, A., Forrest, S., & Axelrod, R. (2017)。 网络攻击、归属和责备的战略方面。 美国国家科学院院刊, 114(11), 2825-2830。 doi:10.1073/pnas.1700442114
25. ↑ Brunnstorm, D., & Finkle, J. (2014)。 美国考虑对索尼黑客攻击采取 "相称" 的应对措施。 路透社。 https://www.reuters.com/article/idUSKBN0JW24Z20141218
26. ↑ Endgame。 (2015)。 (网络) 战争的迷雾：归属问题和正义战争。 https://www.endgame.com/blog/technical-blog/fog-cyber-war-attribution-problem-and-jus-ad-bellum
27. ↑ CNN 编辑研究。 (2019)。 2016 年总统大选调查快速事实。 从 https://www.cnn.com/2017/10/12/us/2016-presidential-election-investigation-fast-facts/index.html 检索
28. ↑ Greenberg, A. (2019)。 将俄罗斯最肆无忌惮的黑客行为联系起来的证据。 连线。 https://www.wired.com/story/sandworm-russia-cyberattack-links/
29. ↑ Rall, T. (2016)。 俄罗斯黑客：证据在哪里？。 拉斯穆森报告 http://www.rasmussenreports.com/public_content/political_commentary/commentary_by_ted_rall/russia_hacking_where_s_the_evidence
30. ↑ ^{a b} 国土安全部和 FBI (2016)。 灰熊台阶 - 俄罗斯恶意网络活动。 https://www.us-cert.gov/sites/default/files/publications/JAR_16-20296A_GRIZZLY%20STEPPE-2016-1229.pdf
31. ↑ 国土安全部。 (2016)。 灰熊台阶网络攻击的攻击指标 [数据文件]。 https://www.us-cert.gov/sites/default/files/publications/JAR-16-20296A.csv
32. ↑ Lee, M. (2017)。 美国政府认为数千名俄罗斯黑客可能正在阅读我的博客。 他们并没有。 拦截。 https://theintercept.com/2017/01/04/the-u-s-government-thinks-thousands-of-russian-hackers-are-reading-my-blog-they-arent/
33. ↑ Eilperin, J. 和 Entous, A. (2016). 俄罗斯行动入侵佛蒙特州公用事业公司，官员称这对美国电网安全构成威胁。华盛顿邮报。https://www.washingtonpost.com/8fc90cc4-ceec-11e6-b8a2-8c2a61b0436f_story.html
34. ↑ Satter, R. (2017). 内部消息：俄罗斯是如何入侵民主党电子邮件的。美联社。https://apnews.com/dea73efc01594839957c3c9a6c962b8a
35. ↑ Stokel-Walker, C. (2017). 追踪民主党黑客：CrowdStrike如何找到俄罗斯入侵的证据。连线。https://www.wired.co.uk/article/dnc-hack-proof-russia-democrats
36. ↑ Alpetrovich, D. (2016). 熊迹斑斑：民主党全国委员会入侵事件。CrowdStrike。https://www.crowdstrike.com/blog/bears-midst-intrusion-democratic-national-committee/
37. ↑ Dunleavy, J. (2019). 特朗普的乌克兰-CrowdStrike阴谋论在弹劾听证会中成为中心议题。华盛顿观察者报。https://www.washingtonexaminer.com/news/analysis-trumps-ukraine-crowdstrike-conspiracy-theory-front-and-center-in-impeachment-hearing
38. ↑ Neuman, S. (2018). 专家称，奥运会的恶意软件攻击可能来自俄罗斯和朝鲜。美国国家公共广播电台。https://www.npr.org/sections/thetorch/2018/02/13/585297314/
39. ↑ Greenberg, A. (2018). 俄罗斯黑客的虚假旗帜行动即使暴露后仍然有效。连线。https://www.wired.com/story/russia-false-flag-hacks/