繼上周FBI和DHS發布聯合報告，奧巴馬對俄羅斯涉嫌干預美國大選進行制裁之后，事態進一步發酵，比如最近華盛頓郵報撰寫的新聞《俄羅斯黑客利用佛蒙特州的公共設施滲透美國國家電網》，俄羅斯似乎已經是千夫所指了。但發展的方向卻好像并不是美國官方預期的那樣——很多安全專家都認為，先前發布的那份聯合報告實際上并沒有什么軟用。

俄羅斯頂風作案？

就在上周六，美國《華盛頓郵報》發布一篇標題為“俄羅斯黑客利用佛蒙特州的公共設施滲透美國國家電網”的文章再次讓俄羅斯成為頭條，文章中提到此消息是來自美國官方的匿名舉報，文章的主要內容就是俄羅斯黑客入侵了美國電網。這篇文章引起廣泛關注，令多名美國政客發起針對俄羅斯與黑客的警告言論。

但是，作為此次事件的受害者，所謂的佛蒙特州的公共設施，即伯靈頓電力公司發表聲明對這起指控進行反駁。

在華盛頓郵報的文章中提到，能夠發現這起入侵還要多虧了FBI和DHS發布聯合報告（JAR），在報告中曾將Grizzly Steppe作為俄羅斯的一系列入侵行為的代號。因為報告中發布了一段惡意代碼的樣本，而這段代碼在佛蒙特州的公共設施即伯靈頓電力部門中被檢測出來了。

但是柏林頓電力卻在聲明中說：“公司檢測到的運行Grizzly Steppe中惡意代碼的筆記本并沒有連接國家電網。在發現惡意代碼后，公司立即采取應急措施：將筆記本隔離并警告了聯邦當局。”

“沒有任何跡象可以表明國家電網或客戶信息被感染了，媒體報道說國家電網被滲透這樣的新聞是不實的。”聲明中提到。

“聯邦當局所指的這一段特定類型的代碼并不只在柏林頓電力被發現。很不幸有某個或某些官員將這種不實的信息透漏給媒體，導致國家范圍內出現了多種不實報道。”

安全專家：證據不足

Wordfence的安全專家在分析了這段由美國政府提供的作為指控俄羅斯黑客入侵美國國家電網的證據：PHP惡意軟件樣本和IP地址之后，隨后發布了一份更有意思的報告。

專家對這段惡意代碼追根溯源到了一款叫做P.A.S.的在線工具，而這款工具是“烏克蘭制造”。

“這段惡意代碼樣本是很老的版本了，一直在烏克蘭被廣泛應用，跟俄羅斯情報機構并沒有什么明顯的關聯。如果你想的話，這段惡意代碼可以被用來暗指任意網站被感染。”——Wordfence

也有安全專家直接批判美國政府并沒有提供強有力的證據能證實俄羅斯確實干涉了美國大選。此外，聯合報告（JAR）中提到的一些所謂的IoC并不確鑿，還很容易帶來誤導。

在柏林頓電力公司發布聲明之后，華盛頓郵報也改寫了原本的報道新聞，說是當局并沒有任何國家電網被滲透的證據。還將標題改為“俄羅斯入侵佛蒙特州的公共設施，美國國家電網存在安全風險”。但這依舊被安全專家稱為FUD（Fear,Uncertainty,Doubt）。

此次的事件可能跟俄羅斯并沒有特別大的關系，但是之前烏克蘭已經遭遇過類似攻擊。像是2015年12月烏克蘭的大規模嚴重停電事件和近期由于網絡攻擊造成的多次斷電情況，俄羅斯都難辭其咎。

川普要給俄羅斯洗白？

川普在2016年12月31日說，他知道一些“別人不知道的”關于俄羅斯干涉美國大選的內幕，而他會在本周二或周三的時候公布出來。

紐約時報的記者在川普位于佛羅里達棕櫚灘的Mar-a-Lago房產對這個70歲的老人進行了采訪，采訪中川普對FBI和DHS發布的聯合報告的真實性表達了自己的疑慮。

川普說：“對于這種嚴厲的指控，我希望他們清楚自己在做什么。”川普還援引了小布什政府在2003年對伊拉克發起攻擊的說辭，“你們說對方有大規模殺傷性武器，會造成一場災難，但事實證明你們錯了。”

“所以我希望你們對此次指控是認真并且證據確鑿的，不然對被指控的一方就太不公平了。雖然我不太懂什么網絡攻擊和入侵，但我也知道這一類攻擊是很難找到證據的，攻擊者也很有可能是其他人或者國家。況且我還知道一些別人不知道的事情，所以我相信在目前的情況下到底誰是幕后黑手是無法確定的。”

另外，川普還建議大家在不要用電腦去處理敏感數據了。“請切記，如果你有什么重要的信息，寫下來并利用傳統的快遞方式去投遞，因為沒有電腦是安全的。”

JAR報告到底有多少含金量

繼上周JAR報告發布之后，奧巴馬的強勢態度以及一系列針對俄羅斯的制裁就吸引了全世界的眼球，更是引發了多方議論。但隨著時間的推移，經多個安全專家鑒定研究，這份報告好像并不像它宣稱的那樣真實可信，那么其中到底有多少內容有水分，這份報告真的能夠證明俄羅斯存在針對美國的黑客行為嗎？這就要看看安全專家的意見了。

有部分專家認為，報告中所說的APT29及APT28黑客組織針對美國大選的入侵并不能證明是由俄羅斯政府指使的。安全專家Robert Graham說，“這份報告是作為政治工具被發布的，目的就是為了給俄羅斯干涉美國大選提供證據。”報告給出的證據質量很差，并沒有太大的說服力。

JAR報告中有提到利用YARA監測到了一個俄羅斯和烏克蘭黑客經常使用的叫做“PAS TOOL WEB KIT”的web shell工具，這里所說的YARA rules，通常是安全研究人員用來識別和分類惡意軟件樣本的開源工具。

Graham反駁道：“同樣的web shell存在于所有被入侵的受害者電腦中，YARA規則的優勢就在于能夠根據入侵者經常使用的工具來追蹤他。但是在報告中，他們用YARA追蹤了所有P.A.S.web shell的受害人，而使用了這種入侵工具的黑客沒有上千、也有成百。所以很難從這么多的受害人之中找到真正的入侵原因，除非報告還隱藏了一些其他因素。”

Dragos的CEO及創始人Robert M. Lee同樣認為JAR報告中存在證據不足的問題，他認為其中的技術細節并不能證明兩次攻擊的意圖：除了將兩次攻擊歸咎于APT黑客組織，并沒有揭露什么新的有力證據。

Lee認為JAR應該包括俄羅斯惡意軟件的解密信息，俄羅斯所用的新技術或新策略的細節，并對之前發布的一些非官方數據加以驗證。但是這些目前都沒有看到。Lee還認為報告利用很多交織在一起的數據來制造混亂，既沒能提供部分數據的源（令信息不可用），還有一些數據用來混淆視聽，像是IP地址什么的。

不過在Lee看來，并不是撰寫報告的人沒有做好他們工作，而是經過一系列政府和官員的審查之后很多關鍵信息都被刪了，就像美國情報機構對公眾發布的任何消息都一直這么做一樣。

此番美俄之間的交鋒才剛剛開始，普京會采取什么相應的措施么？川普所謂的“別人不知道的事”究竟還有什么內幕？Freebuf將繼續報道事件發展，請持續關注。