独家:正如加雷斯·波特(Gareth Porter)关于上个月黑客入侵美国电网的虚假故事所指出的那样,对俄罗斯的主流歇斯底里导致了加深新冷战的可疑或彻头彻尾的虚假故事。
加雷斯·波特,1 年 13 月 17 日 财团新闻
在因美国指控俄罗斯干预美国大选而引发的重大国内危机中,国土安全部 (DHS) 制造并传播了俄罗斯入侵美国电力基础设施的虚假故事,引发了短暂的全国媒体歇斯底里。
国土安全部通过向公用事业管理人员发送误导性和令人震惊的信息,在佛蒙特州伯灵顿电力部门发起了现在已声名狼藉的计算机被黑客攻击的故事,然后泄露了一个他们当然知道是虚假的故事,并继续向媒体发布误导性信息.
然而,更令人震惊的是,国土安全部此前曾在 2011 年 XNUMX 月传播过俄罗斯黑客入侵伊利诺伊州斯普林菲尔德水泵的类似虚假故事。
国土安全部如何两次散布俄罗斯破坏美国“关键基础设施”的虚假故事的故事,是一个警示故事,说明了官僚机构的高级领导人如何利用每一次重大政治发展来推进自己的利益,对真理缺乏重视。
国土安全部在 2016 年初开展了一场重大的公开活动,重点关注俄罗斯对美国电力基础设施的所谓威胁。该活动利用美国指控俄罗斯在 2015 年 XNUMX 月对乌克兰电力基础设施进行网络攻击,推广了一项该机构的主要职能——防范对美国基础设施的网络攻击。
从 2016 年 12 月下旬开始,国土安全部和联邦调查局为八个城市的电力基础设施公司举办了一系列 XNUMX 场非机密简报会,题为“乌克兰网络攻击:对美国利益相关者的影响”。 国土安全部公开宣布,“这些事件是网络攻击对关键基础设施造成的首批已知物理影响之一。”
该声明方便地避免提及网络攻击破坏国家基础设施的第一起案件不是针对美国,而是奥巴马政府和以色列在 2009 年和 2012 年对伊朗实施的。
从 2016 年 2016 月开始,国土安全部(DHS)与中央情报局(CIA)一起成为俄罗斯试图将 29 年大选向唐纳德·特朗普倾斜的政治戏剧中最重要的两个参与者之一。 然后在 XNUMX 月 XNUMX 日,国土安全部和联邦调查局向全国各地的美国电力公司分发了一份“联合分析报告”,其中声称是俄罗斯情报部门试图渗透和破坏美国计算机网络的“指标”,包括与总统有关的网络选举,它被称为“灰熊草原”。
该报告清楚地向公用事业公司传达了它所说的俄罗斯情报机构用来影响选举的“工具和基础设施”也是对他们的直接威胁。 然而,据网络安全公司 Dragos 的创始人兼首席执行官罗伯特·李(Robert M. Lee)所说,该报告肯定会误导收件人。 .
“任何使用它的人都会认为他们受到了俄罗斯行动的影响,”李说。 “我们检查了报告中的指标,发现误报率很高。”
Lee 和他的工作人员在没有更具体的时间数据的情况下,只发现了一长串恶意软件文件中的两个可能与俄罗斯黑客有关。 同样,列出的大部分 IP 地址只能在某些特定日期链接到“GRIZZLY STEPPE”,但未提供这些日期。
事实上,Intercept 发现,在报告中列出的 42 个 IP 地址中,有 876% 被俄罗斯黑客使用过是 Tor 项目的出口节点,该系统允许博主、记者和其他人——包括一些军事实体——保持他们的互联网通信私密。
李说,负责处理报告中技术信息的国土安全部工作人员非常称职,但当官员分类和删除报告的一些关键部分并添加其他不应该包含的材料时,该文件就变得毫无用处。 他认为国土安全部发布这份报告是“出于政治目的”,即“表明国土安全部正在保护你”。
播种故事,保持活力
收到 DHS-FBI 报告后,Burlington Electric Company 网络安全团队立即使用提供的 IP 地址列表搜索其计算机日志。 当在日志中发现报告中引用的作为俄罗斯黑客攻击指标的 IP 地址之一时,该实用程序立即致电 DHS 通知它,因为它已按照 DHS 的指示进行。
事实上,根据 Lee 的说法,伯灵顿电气公司计算机上的 IP 地址只是雅虎电子邮件服务器,因此它不可能是网络入侵企图的合法指标。 这应该是故事的结局。 但该实用程序在向 DHS 报告之前并未追踪 IP 地址。 然而,它确实希望国土安全部在彻底调查并解决问题之前对此事保密。
“国土安全部不应该公布细节,”李说。 “每个人都应该闭嘴。”
相反,国土安全部的一位官员打电话给华盛顿邮报并传递消息说,在伯灵顿公用事业公司的计算机网络上发现了俄罗斯黑客入侵 DNC 的迹象之一。 邮报没有遵循最基本的新闻规则,依靠其国土安全部的消息来源,而不是首先与伯灵顿电力部核实。 结果是《华盛顿邮报》在 30 月 XNUMX 日以“美国官员说,俄罗斯黑客通过佛蒙特州的一家公用事业公司侵入美国电网”为标题的耸人听闻的报道。
国土安全部官员显然允许《华盛顿邮报》推断俄罗斯黑客入侵了电网,但实际上并没有这么说。 《华盛顿邮报》的报道称,俄罗斯人“并没有积极使用该代码来破坏该公用事业公司的运营,据不愿透露姓名以讨论安全问题的官员称,”但随后补充说,“该国电网很重要,因为它代表了一个潜在的严重漏洞。”
这家电力公司很快就坚决否认有问题的计算机已连接到电网。 实际上,《华盛顿邮报》被迫撤回其关于电网被俄罗斯人入侵的说法。 但它坚持自己的故事,即该公用事业公司已经成为俄罗斯黑客攻击的受害者三天,然后才承认不存在这样的黑客攻击证据。
报道发表后的第二天,国土安全部领导层继续暗示伯灵顿公用事业公司已被俄罗斯人入侵,但并未明确表示。 公共事务助理部长 J. Todd Breasseale 向 CNN 发表声明称,在 Burlington Electric 的计算机上发现的恶意软件的“指标”与 DNC 计算机上的“匹配”。
然而,一旦国土安全部检查了 IP 地址,它就知道它是雅虎云服务器,因此并不表明据称入侵 DNC 的同一团队已经进入了伯灵顿公用事业公司的笔记本电脑。 国土安全部还从该实用程序获悉,有问题的笔记本电脑已被称为“neutrino”的恶意软件感染,该恶意软件从未在“GRIZZLY STEPPE”中使用过。
仅仅几天后,国土安全部才向《华盛顿邮报》透露了这些关键事实。 据李说,国土安全部仍在为其向《华盛顿邮报》提交的联合报告辩护,他从《华盛顿邮报》的消息来源获得了部分故事。 他说,国土安全部官员辩称,这“导致了一项发现”。 “第二个是,'看,这鼓励人们运行指标。'”
原始 DHS 虚假黑客故事
虚假的 Burlington Electric 黑客恐慌让人想起早先关于俄罗斯黑客入侵 DHS 也负责的公用事业的故事。 2011 年 XNUMX 月,它报告了对伊利诺伊州斯普林菲尔德水区计算机的“入侵”,该计算机同样被证明是伪造的。
就像伯灵顿惨败一样,虚假报告之前是国土安全部声称美国基础设施系统已经受到攻击的说法。 2011 年 XNUMX 月,《华盛顿邮报》援引代理国土安全部副部长格雷格·谢弗的话说,“我们的对手”正在“敲开这些系统的大门”。 Schaffer 补充说:“在某些情况下,存在入侵。” 他没有具体说明何时、何地或由谁进行,也没有记录过此类先前的入侵。
8 年 2011 月 XNUMX 日,位于伊利诺伊州斯普林菲尔德附近的 Curran-Gardner 镇水区的一台水泵在前几个月多次溅射后烧毁。 修复团队请来修复它,在五个月前的日志中发现了一个俄罗斯 IP 地址。 该 IP 地址实际上是来自为泵设置控制系统并与家人在俄罗斯度假的承包商打来的手机,所以他的名字在地址旁的日志中。
该公用事业公司在没有调查 IP 地址本身的情况下,将 IP 地址和水泵故障报告给环境保护局,环境保护局又将其传递给伊利诺伊州全州恐怖主义和情报中心,该中心也称为由伊利诺伊州组成的融合中心来自联邦调查局、国土安全部和其他政府机构的警察和代表。
10 月 XNUMX 日——就在向 EPA 提交初步报告两天后——融合中心发布了一份题为“公共水域网络入侵”的报告,暗示一名俄罗斯黑客窃取了授权使用计算机的人的身份并侵入了控制系统系统导致水泵故障。
名字在 IP 地址旁边的日志上的承包商后来告诉《连线》杂志,给他打一个电话就可以解决问题。 但是,作为发布报告的带头人,国土安全部甚至没有费心打一个明显的电话,然后就认为这一定是俄罗斯的黑客攻击。
国土安全部情报和研究办公室分发的融合中心“情报报告”被一位网络安全博主捡到,他打电话给《华盛顿邮报》,并向记者宣读了该项目。 因此,《华盛顿邮报》于 18 年 2011 月 XNUMX 日发表了俄罗斯入侵美国基础设施的第一个耸人听闻的故事。
真实故事传出后,国土安全部否认对报告负责,称这是融合中心的责任。 但参议院小组委员会的调查 发现 在一年后的一份报告中,即使在最初的报告被抹黑之后,国土安全部也没有对该报告进行任何撤回或更正,也没有将真相告知收件人。
负责虚假报告的国土安全部官员告诉参议院调查人员,此类报告并非旨在成为“完成的情报”,这意味着信息准确性的标准不必很高。 他们甚至声称该报告是“成功的”,因为它完成了“它应该做的——引起兴趣”。
伯灵顿和柯伦-加德纳事件都强调了新冷战时期国家安全政治博弈的一个核心现实:像国土安全部这样的主要官僚机构在公众对俄罗斯威胁的看法中拥有巨大的政治利益,只要有机会这样做,他们将利用它。
