安全專家稱：美國國土安全部(DHS)和聯邦調查局(FBI)日前發布的《聯合分析報告》(JAR)，并未達到其預期效果。該報告描述了俄羅斯黑客在針對美國大選的網絡攻擊中使用的各種工具。

美國政府一開始就指稱，JAR旨在揭秘俄羅斯民間和軍方情報機構(RIS)開展的惡意網絡活動技術信息。這些網絡攻擊活動被統稱為“灰熊大草原”，揭秘這些信息，是為使美國及海外網絡防御者，更好地識別、檢測和摧毀俄羅斯的全球惡意網絡活動。

然而，一些安全專家認為，JAR報告中包含的信息，并不足以幫助改善防御。而且，有些專家認為，報告中提供的“證據”——“安逸熊( Cozy Bear，APT29 )”和“奇幻熊( Fancy Bear，APT28 )”是大選攻擊活動背后的黑客組織，實際上證明不了俄羅斯就是這些攻擊的主使。

APT 29和APT 28涉及的戰術和攻擊技巧

該報告包括了一系列攻擊指標(IOC)，但安全專家羅伯特·格拉漢姆解釋說，這些指標質量很差，對防御者用處不大，更多是作為一種政治工具，用來證明他們有證據指向俄羅斯而已。

其中一個工具，就是安全研究人員常用來分類文件和分析感染源的YARA規則。美國計算機緊急響應小組(US-CERT)的“灰熊大草原”報告中所用的YARA規則，檢測出了一款俄羅斯/烏克蘭黑客慣用 Web Shell 工具，名為“ PAS TOOL WEB KIT ”。

格拉漢姆稱，所有受害系統上均有同樣的 Web Shell 存在，因為黑客有繼續使用慣用工具的習慣，YARA規則在追蹤黑客活動的時候很有用。然而，JAR中的問題在于，其中提到的YARA規則，是用于追蹤成百上千的黑客都在用的P.A.S. Web Shell 的，這就讓其溯源歸因結果很成問題了。除非，該報告還隱瞞了某些用于溯源的信息。

我們對政府如何使用這些IoC所知甚少。IP地址和像這樣的YARA規則，不足以歸因。換句話說，如果他們搞到了多名受害者的 Web 服務器日志，顯示出來自這些IP地址的指令流向了該特定 Web Shell，那么就有足夠的理由得出所有這些攻擊都是同一伙黑客所為的結論了。

Dragos安全公司CEO兼創始人羅伯特·M·李，同樣認為該報告歸因溯源證據很弱，其中包含的技術細節沒有達到預期目的：對網絡防御者無甚幫助，也揭示不出有關這兩個APT的新信息——盡管硬說這些攻擊都是“兩只熊”所為(還沒提供大家都期待的所謂證據)。

正如李所指出的，白宮隨針對俄羅斯的一系列制裁公布的情況說明單透露出：JAR將包含俄羅斯惡意軟件的揭秘信息，提供俄羅斯所用新戰術和技術的細節，并驗證之前發布的私營部門的數據。然而，這些都沒有包含在里面。

很不幸，雖然白宮展現的意圖是很明確的，但DHS/FBI報告并沒有抓住重點。事實上，該報告穿插交織了一堆不相干的數據，反而造成了混亂；沒能為呈現的數據提供源頭，讓信息毫無用處；其提供的IoC，比如IP地址，則是幾乎毫無用處(都是些VPS、Tor出口節點、代理和其他不具說明性的互聯網站點)。

不過，依李看來，報告沒能起到預期效果，倒不是因為負責編譯報告的政府操作者沒做好工作，而是因為之后經歷的一系列審查和脫密處理，把最好的信息給去掉了。這種事，美國情報機構公開發布任何類型的信息之前都會做的。

這些技術性數據和歸因證據，很可能包含在上呈國會的報告中，之后或許會被解密。“不過，‘灰熊大草原’報告讀起來可真像是粗制濫造的廠商威脅情報報告，只是簡單串連一堆各方面的歸因溯源，還不給證據。”

灰熊大草原報告沒能達到幫助網絡防御者的預期目的，反而將重點放在了一堆令人困惑的各式各樣的歸因、不具說明性的指標，和拙劣老套的諜報技術上。而且，報告的主體(13頁中的8頁)只是一些總體的高層次上的建議，而不是對RIS威脅的具體描述，跟哪些行為有助于這些技術性數據的哪個方面也無甚關聯。看起來就像是DHS試圖支持的文檔和項目的一個廣告。

對JAR中包含的PHP惡意軟件樣本的分析揭示：這就是 P.A.S. Web Shell 的一個早期版本 3.1.0，是很常見的一個版本。該惡意軟件的站點指向了更新的版本—— 3.1.7 和 4.1.1b，并宣稱是烏克蘭人開發的。

“是個人都會覺得，俄羅斯情報人員應該會開發自己的工具，或者至少也用個當前版本的外援惡意工具吧？”

報告中列出的876個IP地址中，有134個(占比15%)都是Tor出口節點，也就是使用Tor匿名瀏覽服務的任何人都能使用的“匿名網關”。而且，最近60天里很多復雜攻擊使用的最活躍的50個IP地址中，大多數都是Tor出口節點，意味著這些IP地址不能用于歸因溯源。

DHS提供的IP地址，可能被俄羅斯之類國家黑客用于攻擊。但其本身并不能提供任何與俄羅斯的關聯。它們也可能被其他各種各樣的惡意人士使用，尤其是其中15%的IP地址都是Tor出口節點。報告中的惡意軟件樣本實在太老，使用廣泛，而且看起來是烏克蘭人開發的。與俄羅斯情報機構之間沒有明顯聯系，可能是任何一個站點的攻擊指標。

這份報告很模糊，語焉不詳，這就是問題所在。

報告并沒有很直白地跳出來說：嘿，俄羅斯聯邦安全局(FSB，前身為克格勃)和格勒烏(GRU，俄軍總參謀部情報總局)黑了我們，而且一黑十幾二十年。而只是簡單地指向APT小組，影射他們是這些機構的一部分，但又不提供實際細節。

該報告也沒有提供有關這些威脅小組活動的新信息。仔細審視這份報告，其中并沒有關于這些黑客組織及其所用技術的任何新信息。這里面有新聞價值的元素，就是攻擊者身份及其攻擊政治系統的動機，和對國家安全的影響。