美国大选结果真的能被黑客操纵吗？

美国联邦调查局证实，外国黑客已经侵入了国家选举系统，并且联邦专家已经发现了入侵的证据。黑客入侵了两个州的选举系统的数据库，基于这个原因，美国联邦调查局对全国的选举官员发布flashalert，希望他们采取措施来保护他们的计算机系统。

正值美国情报官员高度关注由俄罗斯政府背景的黑客发起，旨在破坏12月份选举的网络攻击时，FBI网络部门在flashalert中发布了这次警报。

FBI的警告包含了攻击的技术细节，包括ThreatConnect已经分析过的IP地址。

攻击者所采用的TPPs暗示了俄罗斯黑客的参与，其中一个IP地址在之前的俄罗斯非法地下黑客论坛中已经出现过。一些IP地址被FortUnixNetworks公司拥有。而这家公司之所以被安全专家知道，是由于它的基础设施在12月份时被用来通过BlackEnergy恶意软件攻击乌克兰电网。

通过一个IP追踪黑客来源

专家透露，其中一个IP地址在过去被用来实施鱼叉式网络钓鱼，主要目标包括土耳其正义与发展党（AK），德国自由党和乌克兰议会。

“然而当查看FBI FlashBulletin中的IP地址5.149.249[.]172时，我们发现一个从2016年3月持续到8月，针对土耳其执政的正义与发展党（AK），乌克兰议会，和德国的自由党的网络钓鱼活动。这符合俄罗斯的重点攻击目标和惯用手段。”ThreatConnect发布的分析中写道“当探索IP地址在5.149.249[.]172范围内的恶意行为时，我们发现了更多可以证明俄罗斯高级持续性威胁（APT）的活动。虽然我们没法根据目前的证据评估出谁是这次攻击背后的参与者或组织，但是与5.149.249[.]172相关的行为更像是有国家支持而不仅仅是犯罪动机的活动。”

分析中提到的网络钓鱼利用了一个名为PhishingFrenzy开源框架。在安全专家们设法潜入钓鱼者使用系统的控制面板后，发现113封用乌克兰语，土耳其语，德语和英语写的邮件。

在总共113封的邮件中，有48封是针对Gmail的恶意信息，其余的则是经过精心设计，使其看起来像一封来自受害者感兴趣组织的邮件。其中的16封用来针对AK党官员的恶意电子邮件也包含在7月份维基解密所披露的近300000封AK党邮件中。

ThreatConnect的安全专家发现了一些关系到俄罗斯攻击者的细节，据说与莫斯科政府有关。其中一个托管钓鱼内容的域名，使用了与臭名昭著的APT28组织（又名FancyBear, Pawn Storm, Sednit, Sofacy）有关的电子邮件地址注册。

下面是由ThreatConnect的专家们收集到的证据，它们暗示了俄罗斯政府的介入，“但不能证明它”：

1. 8个IP地址中有6个属于俄罗斯拥有的托管服务
2. 2015年1月到5月，5.149.249[.]172上部署了俄罗斯的网络犯罪市场
3. 其它的IP地址属于FortUnix的基础设施，这与5.149.249[.] 172是同一个供应商。它们在2015年对乌克兰电网和新闻媒体的拒绝服务攻击中被使用过
4. Acunetix和SQL注入攻击的方法，与一个自称为AnonymousPoland (@anpoland)的组织描述的他们如何从体育仲裁法庭得到运动员记录的过程非常接近