<div dir="ltr">The Silk road case was also not without problems. For instance the two DEA agents in the Silk Road investigation that stole Bitcoins, ran an extortion racket, sold investigation details to potential suspects and altered evidence. US federal investigation bodies don&#39;t have a great reputation --see FBI collaboration with Boston organised crime and DEA employees selling confidential informant identities to drug cartels.<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Jan 4, 2017 at 1:12 PM, Manuel Egele <span dir="ltr">&lt;<a href="mailto:megele@bu.edu" target="_blank">megele@bu.edu</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Wed, 2017-01-04 at 08:11 -0800, Hristo Stoyanov wrote:<br>
&gt; Here&#39;s ESET claims they&#39;ve acquired XAgent source<br>
&gt; code: <a href="http://www.welivesecurity.com/wp-content/uploads/2016/10/eset-sednit-part-2.pdf" rel="noreferrer" target="_blank">http://www.welivesecurity.com/<wbr>wp-content/uploads/2016/10/<wbr>eset-sednit-part-2.pdf</a> (described on the ESET website here: <a href="https://www.eset.com/us/about/newsroom/press-releases/dissection-of-sednit-espionage-group/" rel="noreferrer" target="_blank">https://www.eset.com/us/about/<wbr>newsroom/press-releases/<wbr>dissection-of-sednit-<wbr>espionage-group/</a>)<br>
&gt; Here&#39;s another claim of a third party also having the XAgent source<br>
&gt; code: <a href="https://medium.com/@jeffreycarr/the-gru-ukraine-artillery-hack-that-may-never-have-happened-820960bbb02d" rel="noreferrer" target="_blank">https://medium.com/@<wbr>jeffreycarr/the-gru-ukraine-<wbr>artillery-hack-that-may-never-<wbr>have-happened-820960bbb02d</a> (this article references the ESET report in the first link). Kinda shaky, I heard it from a friend of a friend of my aunt type of evidence, admittedly.<br>
&gt;<br>
&gt;<br>
&gt; This can be post-factum attempt to get plausible deniability or it<br>
&gt; could be someone had XAgent that wasnt APT28. Can&#39;t tell between<br>
&gt; confirmation bias and circumstantial evidence here.<br>
&gt;<br>
&gt;<br>
&gt; Another thing that I&#39;m missing is how exactly are APT28 as users of<br>
&gt; xagent and this PHP malware tied together. What detail links the two?<br>
&gt;<br>
&gt;<br>
&gt; As for an open and transparent organization that attempts to build<br>
&gt; good cases by acquiring the kind of evidence Ari listed - a lot of<br>
&gt; this seems to require some legal capabilities usually afforded to<br>
&gt; government agencies (hack back, gather court admissable evidence). The<br>
&gt; kind of thing that FBI is supposed to do. Perhaps some form of<br>
&gt; partnership between FBI and academia would be productive. They dealt<br>
&gt; very successfully with Silk road, after all.<br>
<br>
</span>I particularly agree with the last paragraph. Also, I&#39;m not sure that<br>
modeling sth along the lines of CMU-CERT with respect to the security<br>
community is a good citizen model --- just look at the fallout that<br>
CMU-CERT&#39;s deanonymying TOR exercise produced.<br>
<br>
cheers,<br>
--manuel<br>
<div class="HOEnZb"><div class="h5"><br>
&gt; Hristo<br>
&gt;<br>
&gt; 2017-01-04 7:13 GMT-08:00 Ari Trachtenberg &lt;<a href="mailto:trachten@bu.edu">trachten@bu.edu</a>&gt;:<br>
&gt;         Sounds like a perfect role for academia (maybe patterned after<br>
&gt;         CMU&#39;s CERT here at BU).  The biggest problem is, of course,<br>
&gt;         with<br>
&gt;         getting reliable data ... perhaps it is possible to cull data<br>
&gt;         from everybody<br>
&gt;         and use statistical tests to fish for bias.<br>
&gt;<br>
&gt;         Regarding Hristo&#39;s question ... I think that the key word is<br>
&gt;         evidence,<br>
&gt;         since most things can be faked with enough effort.  Evidence<br>
&gt;         could<br>
&gt;         include:<br>
&gt;         * use, structure, and style reuse of attributed code or<br>
&gt;         vulnerabilities,<br>
&gt;                 ideally those that are private<br>
&gt;         * IP addresses<br>
&gt;         * cryptographic keys<br>
&gt;         * pictures of hackers and geolocation (as with the Chinese<br>
&gt;         hackers not so long ago)<br>
&gt;         * hack back data<br>
&gt;<br>
&gt;         best,<br>
&gt;                 -Ari<br>
&gt;<br>
&gt;         &gt; On Jan 4, 2017, at 9:03 AM, Ethan Heilman &lt;<a href="mailto:eth3rs@gmail.com">eth3rs@gmail.com</a>&gt;<br>
&gt;         wrote:<br>
&gt;         &gt;<br>
&gt;         &gt; I worry that this wordfence report makes it look like only<br>
&gt;         that php<br>
&gt;         &gt; malware was used and that there is no additional evidence.<br>
&gt;         &gt;<br>
&gt;         &gt; However my understanding is that DNC hackers used several<br>
&gt;         forms of<br>
&gt;         &gt; persistence including XAgent (according to the crowdstrike).<br>
&gt;         I was<br>
&gt;         &gt; unable to find any evidence that XAgent was available for<br>
&gt;         use by<br>
&gt;         &gt; anyone other than SEDNIT/APT28. I would love to see a report<br>
&gt;         on the<br>
&gt;         &gt; windows variant of the XAgent used in the DNC hack.<br>
&gt;         &gt;<br>
&gt;         &gt;&gt; I believe (correct me if I&#39;m wrong), there is no other data<br>
&gt;         available from the USG. Only (very) pointed accusations<br>
&gt;         against a certain country.<br>
&gt;         &gt;<br>
&gt;         &gt; Not sure why the DHS/FBI report goes out of its way to<br>
&gt;         present so<br>
&gt;         &gt; little evidence. Was the crowdstrike report incorrect? Did<br>
&gt;         they not<br>
&gt;         &gt; want to step on crowdstrikes toes? Is this the result of<br>
&gt;         over zealous<br>
&gt;         &gt; secrecy?<br>
&gt;         &gt;<br>
&gt;         &gt; This issue highlights a critical need for neutral ICT<br>
&gt;         investigative<br>
&gt;         &gt; bodies that operate not as intelligence agencies but instead<br>
&gt;         work to<br>
&gt;         &gt; build public cases and publish evidence in a trustworthy<br>
&gt;         open manner.<br>
&gt;         &gt; This should be the role of the FBI, but clearly something<br>
&gt;         went wrong<br>
&gt;         &gt; here. Currently private companies like Crowdspike and<br>
&gt;         Fireeye fill<br>
&gt;         &gt; this role but since they are hired and paid by an interested<br>
&gt;         party<br>
&gt;         &gt; they are often viewed with skepticism.<br>
&gt;         &gt;<br>
&gt;         &gt;<br>
&gt;         &gt; On Wed, Jan 4, 2017 at 2:47 AM, Hristo Stoyanov<br>
&gt;         &lt;<a href="mailto:htstoyanov@gmail.com">htstoyanov@gmail.com</a>&gt; wrote:<br>
&gt;         &gt;&gt; Here&#39;s some actual details based on the csv and xml<br>
&gt;         published alongside the<br>
&gt;         &gt;&gt; written report:<br>
&gt;         &gt;&gt;<br>
&gt;         <a href="https://www.wordfence.com/blog/2016/12/russia-malware-ip-hack/" rel="noreferrer" target="_blank">https://www.wordfence.com/<wbr>blog/2016/12/russia-malware-<wbr>ip-hack/</a><br>
&gt;         &gt;&gt;<br>
&gt;         &gt;&gt; Conclusions: old freely available malware, incredibly wide<br>
&gt;         variety of<br>
&gt;         &gt;&gt; countries making up the IP addresses given as a source of<br>
&gt;         the attack. Hence,<br>
&gt;         &gt;&gt; that data is as evidence-free as the written report. I<br>
&gt;         believe (correct me<br>
&gt;         &gt;&gt; if I&#39;m wrong), there is no other data available from the<br>
&gt;         USG. Only (very)<br>
&gt;         &gt;&gt; pointed accusations against a certain country.<br>
&gt;         &gt;&gt;<br>
&gt;         &gt;&gt; However, what would be good technical details that show<br>
&gt;         attribution? Russian<br>
&gt;         &gt;&gt; documents/emails that order/discuss/report on the attack<br>
&gt;         (perhaps with some<br>
&gt;         &gt;&gt; signatures :)) would definitely cut it. What else?<br>
&gt;         &gt;&gt;<br>
&gt;         &gt;&gt; - Hristo<br>
&gt;         &gt;&gt;<br>
&gt;         &gt;&gt; 2017-01-03 13:10 GMT-08:00 Ari Trachtenberg<br>
&gt;         &lt;<a href="mailto:trachten@bu.edu">trachten@bu.edu</a>&gt;:<br>
&gt;         &gt;&gt;&gt;<br>
&gt;         &gt;&gt;&gt; Yes, the crowdstrike report is much more interesting, but,<br>
&gt;         at this point,<br>
&gt;         &gt;&gt;&gt; rather dated.<br>
&gt;         &gt;&gt;&gt; What it doesn&#39;t include is evidence of attribution to the<br>
&gt;         Russian<br>
&gt;         &gt;&gt;&gt; government (just<br>
&gt;         &gt;&gt;&gt; some suggestive information about the slickness of the<br>
&gt;         attack and a belief<br>
&gt;         &gt;&gt;&gt; of<br>
&gt;         &gt;&gt;&gt; some link).  Has anyone seen public technical details in<br>
&gt;         this realm?<br>
&gt;         &gt;&gt;&gt;<br>
&gt;         &gt;&gt;&gt; best,<br>
&gt;         &gt;&gt;&gt;        -Ari<br>
&gt;         &gt;&gt;&gt;<br>
&gt;         &gt;&gt;&gt;&gt; On Jan 3, 2017, at 2:32 PM, Ethan Heilman<br>
&gt;         &lt;<a href="mailto:eth3rs@gmail.com">eth3rs@gmail.com</a>&gt; wrote:<br>
&gt;         &gt;&gt;&gt;&gt;<br>
&gt;         &gt;&gt;&gt;&gt; With the exception of the attribution of individual<br>
&gt;         hackers the<br>
&gt;         &gt;&gt;&gt;&gt; DHS/FBI report is almost entirely detail free. The<br>
&gt;         crowdstrike report<br>
&gt;         &gt;&gt;&gt;&gt; provides many of the missing details:<br>
&gt;         &gt;&gt;&gt;&gt;<br>
&gt;         &gt;&gt;&gt;&gt;<br>
&gt;         <a href="https://www.crowdstrike.com/blog/bears-midst-intrusion-democratic-national-committee/" rel="noreferrer" target="_blank">https://www.crowdstrike.com/<wbr>blog/bears-midst-intrusion-<wbr>democratic-national-committee/</a><br>
&gt;         &gt;&gt;&gt;&gt;<br>
&gt;         &gt;&gt;&gt;&gt; One interesting tidbit in DHS/FBI report was that it<br>
&gt;         blame Slavik of<br>
&gt;         &gt;&gt;&gt;&gt; Zeus Gameover fame.<br>
&gt;         &gt;&gt;&gt;&gt;<br>
&gt;         &gt;&gt;&gt;&gt; On Tue, Jan 3, 2017 at 2:08 PM, Ari Trachtenberg<br>
&gt;         &lt;<a href="mailto:trachten@bu.edu">trachten@bu.edu</a>&gt;<br>
&gt;         &gt;&gt;&gt;&gt; wrote:<br>
&gt;         &gt;&gt;&gt;&gt;&gt; Somehow I&#39;m missing the description ... I just see<br>
&gt;         generic malware<br>
&gt;         &gt;&gt;&gt;&gt;&gt; information on a popular web shell tool and<br>
&gt;         &gt;&gt;&gt;&gt;&gt; generic mitigation strategies.  If anything, the<br>
&gt;         suggests a *lack* of<br>
&gt;         &gt;&gt;&gt;&gt;&gt; an<br>
&gt;         &gt;&gt;&gt;&gt;&gt; actual smoking gun.<br>
&gt;         &gt;&gt;&gt;&gt;&gt;<br>
&gt;         &gt;&gt;&gt;&gt;&gt; best,<br>
&gt;         &gt;&gt;&gt;&gt;&gt; -Ari<br>
&gt;         &gt;&gt;&gt;&gt;&gt;<br>
&gt;         &gt;&gt;&gt;&gt;&gt; On Dec 29, 2016, at 5:56 PM, Scheffler, Sarah, Ann<br>
&gt;         &lt;<a href="mailto:sscheff@bu.edu">sscheff@bu.edu</a>&gt;<br>
&gt;         &gt;&gt;&gt;&gt;&gt; wrote:<br>
&gt;         &gt;&gt;&gt;&gt;&gt;<br>
&gt;         &gt;&gt;&gt;&gt;&gt; This is a joint report written by DHS and the FBI, and<br>
&gt;         it&#39;s the first<br>
&gt;         &gt;&gt;&gt;&gt;&gt; actual<br>
&gt;         &gt;&gt;&gt;&gt;&gt; decent description I&#39;ve found of the Russian hacking<br>
&gt;         that&#39;s been all<br>
&gt;         &gt;&gt;&gt;&gt;&gt; over<br>
&gt;         &gt;&gt;&gt;&gt;&gt; the news, and I figured y&#39;all might be interested in<br>
&gt;         reading it:<br>
&gt;         &gt;&gt;&gt;&gt;&gt;<br>
&gt;         &gt;&gt;&gt;&gt;&gt;<br>
&gt;         <a href="http://www.nytimes.com/interactive/2016/12/29/us/politics/document-Report-on-Russian-Hacking.html" rel="noreferrer" target="_blank">http://www.nytimes.com/<wbr>interactive/2016/12/29/us/<wbr>politics/document-Report-on-<wbr>Russian-Hacking.html</a><br>
&gt;         &gt;&gt;&gt;&gt;&gt;<br>
&gt;         &gt;&gt;&gt;&gt;&gt; Happy last-two-and-a-half-days-of-<wbr>2016,<br>
&gt;         &gt;&gt;&gt;&gt;&gt; Sarah<br>
&gt;         &gt;&gt;&gt;&gt;&gt; ______________________________<wbr>_________________<br>
&gt;         &gt;&gt;&gt;&gt;&gt; Busec mailing list<br>
&gt;         &gt;&gt;&gt;&gt;&gt; <a href="mailto:Busec@cs.bu.edu">Busec@cs.bu.edu</a><br>
&gt;         &gt;&gt;&gt;&gt;&gt; <a href="http://cs-mailman.bu.edu/mailman/listinfo/busec" rel="noreferrer" target="_blank">http://cs-mailman.bu.edu/<wbr>mailman/listinfo/busec</a><br>
&gt;         &gt;&gt;&gt;&gt;&gt;<br>
&gt;         &gt;&gt;&gt;&gt;&gt;<br>
&gt;         &gt;&gt;&gt;&gt;&gt; —<br>
&gt;         &gt;&gt;&gt;&gt;&gt; Prof. Ari Trachtenberg<br>
&gt;         &gt;&gt;&gt;&gt;&gt; Electrical and Computer Engineering<br>
&gt;         &gt;&gt;&gt;&gt;&gt; Boston University<br>
&gt;         &gt;&gt;&gt;&gt;&gt; <a href="mailto:trachten@bu.edu">trachten@bu.edu</a><br>
&gt;         &gt;&gt;&gt;&gt;&gt;<br>
&gt;         &gt;&gt;&gt;&gt;&gt;<br>
&gt;         &gt;&gt;&gt;&gt;&gt;<br>
&gt;         &gt;&gt;&gt;&gt;&gt;<br>
&gt;         &gt;&gt;&gt;&gt;&gt;<br>
&gt;         &gt;&gt;&gt;&gt;&gt;<br>
&gt;         &gt;&gt;&gt;&gt;&gt; ______________________________<wbr>_________________<br>
&gt;         &gt;&gt;&gt;&gt;&gt; Busec mailing list<br>
&gt;         &gt;&gt;&gt;&gt;&gt; <a href="mailto:Busec@cs.bu.edu">Busec@cs.bu.edu</a><br>
&gt;         &gt;&gt;&gt;&gt;&gt; <a href="http://cs-mailman.bu.edu/mailman/listinfo/busec" rel="noreferrer" target="_blank">http://cs-mailman.bu.edu/<wbr>mailman/listinfo/busec</a><br>
&gt;         &gt;&gt;&gt;&gt;&gt;<br>
&gt;         &gt;&gt;&gt;<br>
&gt;         &gt;&gt;&gt; —<br>
&gt;         &gt;&gt;&gt; Prof. Ari Trachtenberg<br>
&gt;         &gt;&gt;&gt; Electrical and Computer Engineering<br>
&gt;         &gt;&gt;&gt; Boston University<br>
&gt;         &gt;&gt;&gt; <a href="mailto:trachten@bu.edu">trachten@bu.edu</a><br>
&gt;         &gt;&gt;&gt;<br>
&gt;         &gt;&gt;&gt;<br>
&gt;         &gt;&gt;&gt;<br>
&gt;         &gt;&gt;&gt;<br>
&gt;         &gt;&gt;&gt;<br>
&gt;         &gt;&gt;&gt;<br>
&gt;         &gt;&gt;&gt; ______________________________<wbr>_________________<br>
&gt;         &gt;&gt;&gt; Busec mailing list<br>
&gt;         &gt;&gt;&gt; <a href="mailto:Busec@cs.bu.edu">Busec@cs.bu.edu</a><br>
&gt;         &gt;&gt;&gt; <a href="http://cs-mailman.bu.edu/mailman/listinfo/busec" rel="noreferrer" target="_blank">http://cs-mailman.bu.edu/<wbr>mailman/listinfo/busec</a><br>
&gt;         &gt;&gt;&gt;<br>
&gt;         &gt;&gt;<br>
&gt;<br>
&gt;         —<br>
&gt;         Prof. Ari Trachtenberg<br>
&gt;         Electrical and Computer Engineering<br>
&gt;         Boston University<br>
&gt;         <a href="mailto:trachten@bu.edu">trachten@bu.edu</a><br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt; ______________________________<wbr>_________________<br>
&gt; Busec mailing list<br>
&gt; <a href="mailto:Busec@cs.bu.edu">Busec@cs.bu.edu</a><br>
&gt; <a href="http://cs-mailman.bu.edu/mailman/listinfo/busec" rel="noreferrer" target="_blank">http://cs-mailman.bu.edu/<wbr>mailman/listinfo/busec</a><br>
<br>
<br>
______________________________<wbr>_________________<br>
Busec mailing list<br>
<a href="mailto:Busec@cs.bu.edu">Busec@cs.bu.edu</a><br>
<a href="http://cs-mailman.bu.edu/mailman/listinfo/busec" rel="noreferrer" target="_blank">http://cs-mailman.bu.edu/<wbr>mailman/listinfo/busec</a><br>
</div></div></blockquote></div><br></div>