当地时间2018年7月31日,Facebook通过公司官方网站发布新闻,称其已经从Facebook和Instagram上删除了32个专页和帐号,原因是这些专页和帐号涉及到利用“有组织的不真实行为”来“误导”其他用户。
这些疑似政治干预相关的专页,在被删除前共计花费了约1.1万美元购买投放了150项推广广告,总共吸引了超过29万粉丝,其自2017年5月发起了约30场活动,其中影响最大的活动吸引了4700名用户关注,约1400名粉丝表示有意参与。就在被删除之前,一个名为“抵抗者(Resisters)”的专页还在发起一项计划于2018年8月10日-12日在华盛顿举行的抗议活动,同时为活动招募线下志愿者。
招募抗议活动的专页
这是在今年的美国中期选举之前发现并公布的第一起有组织的疑似政治干预活动。在此之前,Facebook多次被监管机构问及是否有发现外国机构参与干预中期选举活动的证据,Facebook始终没有给出正面的回应。而这一次Facebook成功的向美国公众证明了这家社交媒体巨头遏制外国势力干预的努力,扎克伯格终于在公关攻势中扳回了一阵。
扎克伯格参加国会听证会
尽管Facebook称根据已经向执法机构、国会通报提交的现有证据尚无法证实行动的幕后主使者,但是从其官方网站首席安全官Alex Stamos文章中提供的一些分析细节来看,Facebook已经在暗示,今年二月被美国司法部起诉的俄罗斯水军机构IRA或与这次行动存在显著关联。
Facebook在新闻中强调,建立这些专页与帐号的组织者,相比两年前针对总统大选中同样利用Facebook开展虚假煽动宣传的俄罗斯机构IRA(Internet Research Agency,该机构于今年2月被美司法部起诉),他们花费了更大的精力尝试隐藏其真实身份。这可能部分归功于2018年以来的司法部在“通俄门”调查中发起的两件对俄公民与机构人员的起诉所引发的威慑效应,同时也归功于Facebook公司在面对公众指责质疑后采取的一系列防止滥用政策。这些努力已经使得外国势力更难以投放可能影响美国选民的广告或组织相关推广活动了。
那么问题来了:这些“主动政治干预行动”的组织者,已经提高了警惕防范意识,花费更大精力隐藏其身份,而Facebook又是如何分析出有价值的线索端倪的呢?
Facebook首席安全官Alex Stamos
首席安全官Alex Stamos的文章中对此给出了解释。当然,他首先仍然是强调相比针对2016大选调查中关于俄罗斯水军机构IRA介入干预的指责,目前针对这批帐号的分析结论仍然不够准确不够全面,因此还需要包括研究机构、执法机构帮助进一步运用各类资源挖掘线索,最终实现对恶意行为者的归因溯源(Attributing)。
归因溯源(Attributing),是指将已观察到的活动关联到特定的威胁行为者的过程。特别是放到追踪网络空间恶意行为这一问题时,归因溯源应当遵循何种标准,美国学界、情报界在过去多年进行了十分激烈但最终卓有成效的争论(未来本公众号的推送中,将分别介绍其中一些经典的观点、报告与论文)。这些争论中形成的观点、方法,也成为了本次事件中Facebook的安全分析人员进行归因溯源的标准参考。
对于Facebook当前面临的情况,Facebook的安全分析人员的首要挑战就是希望明确归因溯源过程最终应追责到的实体类型。毫无疑问,指责用于注册恶意账户的IP地址的所有者这样的简单技术是不可靠的。相反的,安全分析人员尝试的是:
将可疑活动关联至对该恶意行动负主要操作责任的个人或群组。随后,可以将多起行动中的一组恶意行为者关联在一起,分析其是如何滥用我们的系统,甚至进一步采取反制措施。
将观察到的恶意行为者关联至一个现实世界中的幕后指使者(real-world sponsor)。这类幕后指使者可能是一个政治组织、国家实体或非政治实体。
明确归因溯源的目标后,真正进行分析的过程中必然会使用多种分析方法。这些分析方法在过往的学术著作、报告、论文中同样汗牛充栋,但在Facebook的实践中,Alex Stamos称他们主要使用了四种归因模型:
政治动机分析(Political Motivation):在这个模型中,推断出的政治动机是根据民族国家当前已知的政治目标来衡量的。Alex Stamos认为Facebook不应该公开评论民族国家的政治动机,因为公司实际上缺少进行此类评估所需的信息。
协同行为分析(Coordination):主要用于分析使用不同方式单独行动的威胁行为者之间的协调行动关联,这可以用于分析归属于同一幕后指使者下的不同行动小组之间活动的关联性与目的。
工具、技术与流程分析(Tools, Techniques, and Procedures, a.k.a. TTPs):通过观察一个威胁行动组织如何实施行动以实现其目标的过程——包括侦查、规划、漏洞利用、命令与控制、数据的窃取与分发等——这经常可以帮助推断出一个特定的事件与特定的威胁行动组织之间的关联。TTPs对于发现当前恶意行动与过往历史威胁之间的关系通常非常有效,但我们也不能单纯依赖TTPs模型进行归因。
技术取证分析(Technical Forensics):通过研究事件中留下的IOCs(Indicators of Compromise,感染指标)有时可以将活动归因溯源至特定的威胁组织。这在很多时候是一类最简单有效的归因溯源方法。在对技术取证信心很高的情况下,防御者通常会公开提供最佳的归因溯源指标,并将具体信息报告给相应的政府部门。这在多个独立的机构都提供了兼容一致的IOCs指标时往往尤其准确。
基于上述的归因溯源框架,Facebook对发现的专页和帐号进行了归因溯源分析,Alex Stamos得出的主要结论观点包括:
Facebook不对该活动背后群体的政治动机进行评估。
Facebook发现了这些账户与之前确定的俄罗斯水军机构IRA账户存在关联。例如,某个已知的IRA账户曾经是此次发现的某一个专页的管理员。Facebook认为这确实是一个重要的细节,但它并不足以提供决定性的支持,因为过去也曾经有真实政治团体与IRA直接互动的例子。
Facebook证实这些行为者使用的一些工具、技术与流程(TTPs)与2016年在IRA所观察到的一致。但这一分析同样不足以对IRA归因溯源。因为IRA所使用的这一系列TTPs已经被广泛传播和讨论,任何一个恶意行为者都可以复制这一整套技术。
Facebook目前所获得的技术取证尚不足以提供高可信度的IOC归因。有鉴于此,Facebook已主动向美国司法部门报告了该事件的技术调查结果,希望掌握更多取证资源的司法机构能够给出更准确的归因溯源结论。
Facebook对此次网络政治干预行动的披露及相关的归因溯源分析,对于我们尝试开展归因溯源分析工作,其实同样是一个很好学习案例范本。Alex Stamos的文章,对归因溯源的基本框架、模型方法、案例事件都进行了框架性的介绍。从中不难看出,归因溯源并不是多么高深神秘不可测的天顶星科技,而是一套由批判性思维方法支撑的分析体系。在美国网络安全与情报执法领域,这一套体系已经经过多年发展,积累了大量的实践经验和理论成果。未来本公众号的文章推送中,也将逐步向各位读者陆续推介,欢迎各位持续关注。
有兴趣进一步了解Alex Stamos这篇文章的,请自行搜索“How Much Can Companies Know About Who’s Behind Cyber Threats?”(需科学上网)。
声明:本文来自APT观察,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。