黑客圈里的朋友应该大抵都听说过PHDays安全大会。PHDays全名Positive Hacking Days,是由俄罗斯网络安全企业Positive Technology冠名主办的全球性网络安全会议。PHDays自2011年开始每年举办一届,影响日趋盛大,会议云集了来自全球各国与俄罗斯本土的网络安全专家,每年都有大量高质量的网络安全技术内容在会议上发表公布,其组织的CTF竞技赛也堪称全球水平和声望最高的CTF赛事之一。CTF领域最为著名的CMU的PPP战队就曾多次参与PHDays的CTF比赛,并多次取得冠军。
这样一场高水平的黑客盛会,又是俄罗斯本土举办的活动,自然吸引了俄罗斯国内网络安全界黑白两道各路高人的广泛关注。从目前可以获得的公开资料来了,这也是7月份被美国司法部曝光的GRU成员们为数不多的公开露面之一。
根据The Daily Beast的报道,7月份被美国司法部起诉的12名GRU军官中,隶属于26165部队的Pavel Vyacheslavovich Yershov和Dmitriy Sergeyevich Badin曾经参加2014年和2015年的PHDays会议。根据司法部的起诉书,这两位都是具体组织实施包括邮件钓鱼、鱼叉式网络攻击的骨干人员。他们来参加PHDays这样的安全会议,相信一方面是来学习了解网络安全的最新技术手段,另一方面也是为了物色招募专业人才,壮大自身队伍。
GRU 26165部队大门,图片源自网络公开信息
当然,不止是PHDays这样的网络安全会议,事实上,当7月13日美司法部对俄罗斯黑客的公布之后,任何与这十二名GRU军官相关的信息都成为了各方媒体炒作的热点,自由欧洲电台(Radio Free Europe/Radio Liberty)在7月19日就对涉及起诉书的各种线索进行了全面的梳理分析。通过起诉书内容和各种公开资料查询工具,这份报道找到了起诉书涉及的GRU几处办公场所的照片、多名军官的简历分析、以及可能与这些军官及GRU相关的其他组织、著名公众人物等。
GRU 74455部队大楼,图片源自谷歌街景
毫无疑问,从美方掌握的证据材料的详尽程度来看,司法部和FBI不仅仅是利用了上述的这些公开信息以寻找人员线索。大部分专家都认为美方可能利用了包括信号情报、网络攻击反制、以及人力情报等多种手段综合获得了关于这十二名被起诉军官的全面详尽资料。
然而,哪怕是只有公开信息渠道,我们也可以分析整理出许多关于这批GRU军官的大量信息。事实上,互联网的出现,使得我们有越来越多的信息经由各种公开途径散布在网络空间,而要想完全屏蔽这些信息实现个人的隐匿,将越来越成为一项“不可能的任务”。对于分析人员来说,开拓关联分析思路,充分利用网络公开信息渠道资源,将对APT归因溯源等任务提供有力的支撑保障。
点击原文链接,可查看RFE/RL关于GRU黑客案的公开信息集锦(可能需要科学上网)。
