據FBI調查發現，伊利諾伊州及亞利桑那州選舉委員會被黑客入侵，大量選民信息被竊取。經ThreatConnect分析，確認黑客攻擊美國兩個州立選舉委員會使用的俄羅斯網絡架構，與針對烏克蘭和土耳其政府的釣魚攻擊活動相關。早前，安全公司CrowdStrike調查聲稱名為COZY BEAR和FANCY BEAR的俄羅斯黑客組織對美國民主黨委員會（DNC）進行了入侵攻擊。

1 概要

在FBI的調查報告中，我們發現了很多指向俄羅斯的高度相關證據，攻擊中采用的大量開源工具和網絡架構都能間接歸因俄羅斯，但我們無法確定攻擊是否為網絡犯罪或國家支持，也不能確認其它州立選舉委員會是否還受到攻擊。

在FBI的公告中，IP 5.149.249.172與針對土耳其執政黨AKP、烏克蘭議會和德國自由黨人士相關的魚叉式釣魚攻擊有關，這些攻擊發生于2016年3月到8月之間，并且，接近IP 5.149.249.172范圍的其它IP曾與俄羅斯相關APT攻擊有關。雖然我們不能確定幕后攻擊者或組織，但所有這些關聯證據都指向國家支持的黑客攻擊。

7月中旬，維基解密公布了不明渠道從土耳其執政黨AKP系統獲取的大約30萬封郵件。如果是俄羅斯APT黑客干的，那么間接說明這些攻擊與俄近期對美高度的政治關注一致；針對土耳其AKP黨的攻擊，可以為俄羅斯提供東歐或敘利亞問題相關情報，當然，那些郵件也能為公開詆毀政客發揮一定作用。

下圖是我們利用鉆石模型對這系列攻擊的分析，圖片中間位置為兩個州立選舉委員會被攻擊的相關信息，延伸出來的標注框內是我們發現和關聯的歸因信息。

2 與俄羅斯相關的間接證據

8個相關IP中有6個隸屬俄羅斯主機托管服務商King Servers；

網絡服務提供商FortUnix所屬IP 5.149.249.172曾在2015年1月至5月托管過一個俄語網絡犯罪論壇；

網絡服務提供商FortUnix所屬的其它IP，被發現與烏克蘭電網和新聞媒體的DDOS攻擊相關；

Acunetix和SQL注入工具的使用手法與俄相關匿名黑客(@anpoland)入侵國際體育仲裁法庭相似。

俄羅斯網站托管服務商

FBI調查報告中提及的6個物理地址位于荷蘭和美國的相關IP，隸屬于俄羅斯VPS/VDS托管服務商King Servers。

King Servers網站的歷史域名信息顯示，注冊人為來自俄羅斯比斯克的“Vladimir Fomenko”，他還有LinkedIn賬戶。

Tor中繼節點

8月，FBI對外宣稱國家支持黑客對“一個州立選舉委員會系統”發起了入侵攻擊。該階段，隸屬于King Server的IP 185.104.9[.]39正被當作Tor中繼節點使用，該節點使用昵稱“villariba” 運行。通常，攻擊者使用Tor網絡活動鏈的最終IP作為保存真實信息的出口節點，很顯然，攻擊者可能正控制或利用185.104.9[.]39作為中繼節點運行其它代理服務。

俄語網絡犯罪論壇IOC

隸屬于FortUnix的IP 5.149.249[.]172曾托管過域名為rubro.cc的網絡犯罪論壇，歷史鏡像顯示2015年8月13日，該論壇以HTTP 301錯誤跳轉到另一個名為MarkeT RUBRO Ltd的俄語網絡犯罪網站https://rubro.biz/

BlackEnergy攻擊架構與FortUnix有關

網絡服務提供商FortUnix另兩個位于荷蘭的IP 5.149.254[.]114和5.149.248[.]67在之前的安全報告中顯示，曾與BlackEnergy攻擊相關，其它FortUnix IP曾發起了針對烏克蘭電網和媒體的DDOS攻擊。

開源工具的使用

FBI調查報告顯示，攻擊者使用黑客工具Acunetix和SQLmap對美國州立選舉委員會進行攻擊滲透，這些工具的TTPS手法與攻擊國際體育仲裁委員會的俄羅斯APT組織類似。

3 IP 5.149.249.172曾托管針對土耳其和烏克蘭政府的魚叉式攻擊服務

通過被動DNS記錄分析發現，在美國州立選舉委員會被攻擊的同時期，IP 5.149.249.172托管著兩個網站akpartl.info[.]tr和supportmail.biz[.]tr，akpartl.info[.]tr用來仿冒土耳其執政黨AKP真實網站akparti.org[.]tr，在本報告撰寫期間，該仿冒網站跳轉到了一個合法網站akpartiistanbul[.]com。

該仿冒網站甚至還通過莫斯科郵件服務商Yandex開通了郵件服務域名mail.akpartl.info[.]tr，運行SMTP郵件服務。

以上兩個域名都注冊于2016年1月，之后通過ip 5.149.249.172進行解析和操作，維基解密近期泄露的AKP郵件可能與此相關，為了確定ip 5.149.249.172與泄露源之間的實質性關聯，我們還需深入對域名akpartl.info[.]tr進行觀察分析。

4 其它深入的發現

經分析發現，akpartl.info[.]tr下還有多個子域名，其中就包含一個由釣魚網站測試套件Phishing Frenzy生成的實例網站：ksdafoiuf9w54ygdjoi.akpartl.info[.]tr

在網站鏈接hxxp://ksdafoiuf9w54ygdjoi.akpartl.info[.]tr/letter_opener下，我們發現了攻擊者發送的釣魚郵件：

在2016年3月22日至8月3日之間，攻擊者共發送了113封釣魚郵件，其中大部分在3月22日至4月20日間發送：

在發現的34個受害者郵件地址中，ali.bolduin[@]yandex[.]com 和deputat.babiy[@]gmail[.]com在早期的發送郵件中比較常見和獨特，經分析，我們確定這是攻擊者用來互相測試攻擊效果的郵件地址。

在113封釣魚郵件中，48封為Gmail主題，至少16封與AKP相關，1封與LinkedIn相關，另外1封與Intel公司相關，其余都是圍繞目標受害者機構或興趣而專門設計的。發件箱中有土耳其語、烏克蘭語、德語和英語4種語言相關的發送郵件。通過分析，這些魚叉式釣魚郵件的攻擊目標主要為AKP黨、烏克蘭議會和德國自由黨的相關人士，在這些攻擊目標中，有16名AKP黨官員出現在7月19日維基解密泄露的郵件中。

以下為一些魚叉式釣魚郵件樣例：

其中，Gmail主題的郵件中，大致意思為：

“Hello user!

Your account is blocked for violating of terms of service of our company.

In the period from 03/29/2016 to 04/01/2016 it was observed that your account has sent mass email advertisements.

Perhaps you did not, and attackers using special programs to send spam, used your data (email address, name).

If you have not sent any emails, go to this link and follow the instructions.

Your account is under control.

You can view and adjust your privacy settings at any time in Your account ..

Do not reply to this letter. If you have any questions, please contact technical support.

Technical Services Manager”

另外，大部分涉及到賬戶信息竊取的釣魚郵件都指向一個釣魚網站子域名srvddd[.]com，如下所示：

srvddd[.]com指向隸屬于FortUnix 的IP 5.149.248[.]193，并由郵件vittorio_80@mail[.]com注冊，這種使用1&1mail.com進行郵件注冊的方式與FANCY BEAR 攻擊活動類似。另外，srvddd[.]com在2015年5月9日的歷史記錄顯示，其還托管過釣魚網站mail.solydarnist.org，而solydarnist[.]org為烏克蘭現任總統波羅申科的政黨官方網站。

另外，在烏克蘭網站頁面http[:]//privatbank-info.io[.]ua/journal.php中，名為“bordan”的用戶發表了一段包含有XSS內容的評論，試圖通過評論加載腳本http[:]//onlysoop.srvddd[.]com/fone/script.js。

以下是另一個偽裝KerioConnect Webmail郵件登錄的釣魚頁面，受害者輸入憑據信息登錄后將會跳轉到合法的AKP黨郵件網站：mail.akpartiistanbul[.]com:35000/webmail/login2/loginpage，當然在此過程中，密碼信息將被攻擊者竊取。

基于以上研究發現的新的攻擊架構，我們可以進一步拓寬鉆石模型分析面:

5 分析總結

自從我們6月研究DNC被攻擊事件以來，情節發展跌宕起伏，在資料外泄或戰略性泄露事件之間存在多種關聯，我們確信對該事件歸因調查過程的正確性。但同時也存在諸多疑問：

還有其它州立選舉委員會被攻擊嗎？

據我們目前的掌握攻擊樣本來看，只有亞利桑那州和伊利諾伊州。

從攻擊中使用的開源工具能判斷黑客是個菜鳥還是老手嗎？

黑客故意使用開源工具可能是為了避免歸因調查。

攻擊者只是為了竊取選民信息還是執行初始階段攻擊？

在沒有確切的歸因證據之前，還不清楚攻擊者的后續動機和意圖。

攻擊者對土耳其AKP黨的魚叉式攻擊與近期維基解密泄露大量AKP郵件事件有關嗎？

目前來說，沒有證據表明。

對美國州立選舉委員會和土耳其AKP黨的攻擊事件，不管是獲取情報、影響輿論、搬弄是非、引起猜疑或影響政治意識形態等，幕后主使的最終目的可能是操縱其它國家的民主進程。雖然不清楚俄羅斯在整個攻擊事件中的參與程度，但可以肯定的是黑客使用了俄羅斯相關的網絡架構進行攻擊。

*參考來源：threatconnect， FB小編clouds編譯，轉載請注明來自FreeBuf（FreeBuf.COM）