据FBI调查发现，伊利诺伊州及亚利桑那州选举委员会被黑客入侵，大量选民信息被窃取。经ThreatConnect分析，确认黑客攻击美国两个州立选举委员会使用的俄罗斯网络架构，与针对乌克兰和土耳其政府的钓鱼攻击活动相关。早前，安全公司CrowdStrike调查声称名为COZY BEAR和FANCY BEAR的俄罗斯黑客组织对美国民主党委员会（DNC）进行了入侵攻击。

1 概要

在FBI的调查报告中，我们发现了很多指向俄罗斯的高度相关证据，攻击中采用的大量开源工具和网络架构都能间接归因俄罗斯，但我们无法确定攻击是否为网络犯罪或国家支持，也不能确认其它州立选举委员会是否还受到攻击。

在FBI的公告中，IP 5.149.249.172与针对土耳其执政党AKP、乌克兰议会和德国自由党人士相关的鱼叉式钓鱼攻击有关，这些攻击发生于2016年3月到8月之间，并且，接近IP 5.149.249.172范围的其它IP曾与俄罗斯相关APT攻击有关。虽然我们不能确定幕后攻击者或组织，但所有这些关联证据都指向国家支持的黑客攻击。

7月中旬，维基解密公布了不明渠道从土耳其执政党AKP系统获取的大约30万封邮件。如果是俄罗斯APT黑客干的，那么间接说明这些攻击与俄近期对美高度的政治关注一致；针对土耳其AKP党的攻击，可以为俄罗斯提供东欧或叙利亚问题相关情报，当然，那些邮件也能为公开诋毁政客发挥一定作用。

下图是我们利用钻石模型对这系列攻击的分析，图片中间位置为两个州立选举委员会被攻击的相关信息，延伸出来的标注框内是我们发现和关联的归因信息。

2 与俄罗斯相关的间接证据

8个相关IP中有6个隶属俄罗斯主机托管服务商King Servers；

网络服务提供商FortUnix所属IP 5.149.249.172曾在2015年1月至5月托管过一个俄语网络犯罪论坛；

网络服务提供商FortUnix所属的其它IP，被发现与乌克兰电网和新闻媒体的DDOS攻击相关；

Acunetix和SQL注入工具的使用手法与俄相关匿名黑客(@anpoland)入侵国际体育仲裁法庭相似。

俄罗斯网站托管服务商

FBI调查报告中提及的6个物理地址位于荷兰和美国的相关IP，隶属于俄罗斯VPS/VDS托管服务商King Servers。

King Servers网站的历史域名信息显示，注册人为来自俄罗斯比斯克的“Vladimir Fomenko”，他还有LinkedIn账户。

Tor中继节点

8月，FBI对外宣称国家支持黑客对“一个州立选举委员会系统”发起了入侵攻击。该阶段，隶属于King Server的IP 185.104.9[.]39正被当作Tor中继节点使用，该节点使用昵称“villariba” 运行。通常，攻击者使用Tor网络活动链的最终IP作为保存真实信息的出口节点，很显然，攻击者可能正控制或利用185.104.9[.]39作为中继节点运行其它代理服务。

俄语网络犯罪论坛IOC

隶属于FortUnix的IP 5.149.249[.]172曾托管过域名为rubro.cc的网络犯罪论坛，历史镜像显示2015年8月13日，该论坛以HTTP 301错误跳转到另一个名为MarkeT RUBRO Ltd的俄语网络犯罪网站https://rubro.biz/

BlackEnergy攻击架构与FortUnix有关

网络服务提供商FortUnix另两个位于荷兰的IP 5.149.254[.]114和5.149.248[.]67在之前的安全报告中显示，曾与BlackEnergy攻击相关，其它FortUnix IP曾发起了针对乌克兰电网和媒体的DDOS攻击。

开源工具的使用

FBI调查报告显示，攻击者使用黑客工具Acunetix和SQLmap对美国州立选举委员会进行攻击渗透，这些工具的TTPS手法与攻击国际体育仲裁委员会的俄罗斯APT组织类似。

3 IP 5.149.249.172曾托管针对土耳其和乌克兰政府的鱼叉式攻击服务

通过被动DNS记录分析发现，在美国州立选举委员会被攻击的同时期，IP 5.149.249.172托管着两个网站akpartl.info[.]tr和supportmail.biz[.]tr，akpartl.info[.]tr用来仿冒土耳其执政党AKP真实网站akparti.org[.]tr，在本报告撰写期间，该仿冒网站跳转到了一个合法网站akpartiistanbul[.]com。

该仿冒网站甚至还通过莫斯科邮件服务商Yandex开通了邮件服务域名mail.akpartl.info[.]tr，运行SMTP邮件服务。

以上两个域名都注册于2016年1月，之后通过ip 5.149.249.172进行解析和操作，维基解密近期泄露的AKP邮件可能与此相关，为了确定ip 5.149.249.172与泄露源之间的实质性关联，我们还需深入对域名akpartl.info[.]tr进行观察分析。

4 其它深入的发现

经分析发现，akpartl.info[.]tr下还有多个子域名，其中就包含一个由钓鱼网站测试套件Phishing Frenzy生成的实例网站：ksdafoiuf9w54ygdjoi.akpartl.info[.]tr

在网站链接hxxp://ksdafoiuf9w54ygdjoi.akpartl.info[.]tr/letter_opener下，我们发现了攻击者发送的钓鱼邮件：

在2016年3月22日至8月3日之间，攻击者共发送了113封钓鱼邮件，其中大部分在3月22日至4月20日间发送：

在发现的34个受害者邮件地址中，ali.bolduin[@]yandex[.]com 和deputat.babiy[@]gmail[.]com在早期的发送邮件中比较常见和独特，经分析，我们确定这是攻击者用来互相测试攻击效果的邮件地址。

在113封钓鱼邮件中，48封为Gmail主题，至少16封与AKP相关，1封与LinkedIn相关，另外1封与Intel公司相关，其余都是围绕目标受害者机构或兴趣而专门设计的。发件箱中有土耳其语、乌克兰语、德语和英语4种语言相关的发送邮件。通过分析，这些鱼叉式钓鱼邮件的攻击目标主要为AKP党、乌克兰议会和德国自由党的相关人士，在这些攻击目标中，有16名AKP党官员出现在7月19日维基解密泄露的邮件中。

以下为一些鱼叉式钓鱼邮件样例：

其中，Gmail主题的邮件中，大致意思为：

“Hello user!

Your account is blocked for violating of terms of service of our company.

In the period from 03/29/2016 to 04/01/2016 it was observed that your account has sent mass email advertisements.

Perhaps you did not, and attackers using special programs to send spam, used your data (email address, name).

If you have not sent any emails, go to this link and follow the instructions.

Your account is under control.

You can view and adjust your privacy settings at any time in Your account ..

Do not reply to this letter. If you have any questions, please contact technical support.

Technical Services Manager”

另外，大部分涉及到账户信息窃取的钓鱼邮件都指向一个钓鱼网站子域名srvddd[.]com，如下所示：

srvddd[.]com指向隶属于FortUnix 的IP 5.149.248[.]193，并由邮件vittorio_80@mail[.]com注册，这种使用1&1mail.com进行邮件注册的方式与FANCY BEAR 攻击活动类似。另外，srvddd[.]com在2015年5月9日的历史记录显示，其还托管过钓鱼网站mail.solydarnist.org，而solydarnist[.]org为乌克兰现任总统波罗申科的政党官方网站。

另外，在乌克兰网站页面http[:]//privatbank-info.io[.]ua/journal.php中，名为“bordan”的用户发表了一段包含有XSS内容的评论，试图通过评论加载脚本http[:]//onlysoop.srvddd[.]com/fone/script.js。

以下是另一个伪装KerioConnect Webmail邮件登录的钓鱼页面，受害者输入凭据信息登录后将会跳转到合法的AKP党邮件网站：mail.akpartiistanbul[.]com:35000/webmail/login2/loginpage，当然在此过程中，密码信息将被攻击者窃取。

基于以上研究发现的新的攻击架构，我们可以进一步拓宽钻石模型分析面:

5 分析总结

自从我们6月研究DNC被攻击事件以来，情节发展跌宕起伏，在资料外泄或战略性泄露事件之间存在多种关联，我们确信对该事件归因调查过程的正确性。但同时也存在诸多疑问：

还有其它州立选举委员会被攻击吗？

据我们目前的掌握攻击样本来看，只有亚利桑那州和伊利诺伊州。

从攻击中使用的开源工具能判断黑客是个菜鸟还是老手吗？

黑客故意使用开源工具可能是为了避免归因调查。

攻击者只是为了窃取选民信息还是执行初始阶段攻击？

在没有确切的归因证据之前，还不清楚攻击者的后续动机和意图。

攻击者对土耳其AKP党的鱼叉式攻击与近期维基解密泄露大量AKP邮件事件有关吗？

目前来说，没有证据表明。

对美国州立选举委员会和土耳其AKP党的攻击事件，不管是获取情报、影响舆论、搬弄是非、引起猜疑或影响政治意识形态等，幕后主使的最终目的可能是操纵其它国家的民主进程。虽然不清楚俄罗斯在整个攻击事件中的参与程度，但可以肯定的是黑客使用了俄罗斯相关的网络架构进行攻击。

*参考来源：threatconnect， FB小编clouds编译，转载请注明来自FreeBuf（FreeBuf.COM）