<div dir="ltr">Good find on XAgent!<br><br>&gt;<span style="font-size:12.8px">The kind of thing that FBI is supposed to do. Perhaps some form of partnership between FBI and academia would be productive. They dealt very successfully with Silk road, after all. </span><br><br>The problem when dealing with potential nation state sponsored actors is that the FBI isn&#39;t a disinterested party. Real conflicts of interest exist at the FBI. These conflicts of interests are made worse by the FBI&#39;s <a href="https://www.fbi.gov/investigate/counterintelligence">mission as a counter-intelligence agency</a> and the FBI&#39;s long history of intentional spreading of disinformation. I am not an Russian-DNC skeptic, but the FBI&#39;s intelligence mission has caused it to perform actions which deeply undermine its credibility as a neutral investigative body. <span style="font-size:12.8px">This is just further evidence of the harmful nature of the &quot;Cheka-zation&quot; of US Law Enforcement.</span><br><br>The JIT used by NL government to investigate to who shot down flight 17 seemed to have generated far more legitimacy (despite a fairly storng Russian disinformation effort). <br><a href="https://en.wikipedia.org/wiki/Malaysia_Airlines_Flight_17#Criminal_investigation">https://en.wikipedia.org/wiki/Malaysia_Airlines_Flight_17#Criminal_investigation</a><div><br></div><div>&gt;<span style="font-size:12.8px"> I don&#39;t know how else you determine who did something like this with 100% certainty that the USG is claiming without some &quot;cloak &amp; dagger&quot; stuff.  </span><br><br><span style="font-size:12.8px">New York prosecutors were able to get a long string of convictions of NY Mafia by presenting evidence in mostly-open court. I think similar approaches would apply here. Rather than develop the long term sources US intelligence wants, instead focus on criminal investigations using short term informants. Treating hacks like this as intelligence operations is extremely dangerous, they should be treated like criminal conspiracies. US Justice Dept indictments of the APT1 hackers show that at least some elements of the US gov understand this. </span><br><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Jan 4, 2017 at 11:28 AM, Mike Sabbota <span dir="ltr">&lt;<a href="mailto:mike@sabbota.com" target="_blank">mike@sabbota.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>There is also the &quot;human&quot; factor where the USG has a source or participated in activities that are usually considered unconventional ;-).  I don&#39;t know how else you determine who did something like this with 100% certainty that the USG is claiming without some &quot;cloak &amp; dagger&quot; stuff.  </div><div><br></div><div>I find the crowdstrike &amp; ESET reports shaky at best.  It does make a much better story than this being a 14yr old kid using SE Toolkit + Metasploit.</div><div><br></div><div>Cheers,</div><div>--Mike</div></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Jan 4, 2017 at 8:13 AM, Ari Trachtenberg <span dir="ltr">&lt;<a href="mailto:trachten@bu.edu" target="_blank">trachten@bu.edu</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Sounds like a perfect role for academia (maybe patterned after<br>
CMU&#39;s CERT here at BU).  The biggest problem is, of course, with<br>
getting reliable data ... perhaps it is possible to cull data from everybody<br>
and use statistical tests to fish for bias.<br>
<br>
Regarding Hristo&#39;s question ... I think that the key word is evidence,<br>
since most things can be faked with enough effort.  Evidence could<br>
include:<br>
* use, structure, and style reuse of attributed code or vulnerabilities,<br>
        ideally those that are private<br>
* IP addresses<br>
* cryptographic keys<br>
* pictures of hackers and geolocation (as with the Chinese hackers not so long ago)<br>
* hack back data<br>
<br>
best,<br>
        -Ari<br>
<span class="m_-700381123007544075im m_-700381123007544075HOEnZb"><br>
&gt; On Jan 4, 2017, at 9:03 AM, Ethan Heilman &lt;<a href="mailto:eth3rs@gmail.com" target="_blank">eth3rs@gmail.com</a>&gt; wrote:<br>
&gt;<br>
&gt; I worry that this wordfence report makes it look like only that php<br>
&gt; malware was used and that there is no additional evidence.<br>
&gt;<br>
&gt; However my understanding is that DNC hackers used several forms of<br>
&gt; persistence including XAgent (according to the crowdstrike). I was<br>
&gt; unable to find any evidence that XAgent was available for use by<br>
&gt; anyone other than SEDNIT/APT28. I would love to see a report on the<br>
&gt; windows variant of the XAgent used in the DNC hack.<br>
&gt;<br>
</span><span class="m_-700381123007544075im m_-700381123007544075HOEnZb">&gt;&gt; I believe (correct me if I&#39;m wrong), there is no other data available from the USG. Only (very) pointed accusations against a certain country.<br>
&gt;<br>
</span><span class="m_-700381123007544075im m_-700381123007544075HOEnZb">&gt; Not sure why the DHS/FBI report goes out of its way to present so<br>
&gt; little evidence. Was the crowdstrike report incorrect? Did they not<br>
&gt; want to step on crowdstrikes toes? Is this the result of over zealous<br>
&gt; secrecy?<br>
&gt;<br>
&gt; This issue highlights a critical need for neutral ICT investigative<br>
&gt; bodies that operate not as intelligence agencies but instead work to<br>
&gt; build public cases and publish evidence in a trustworthy open manner.<br>
&gt; This should be the role of the FBI, but clearly something went wrong<br>
&gt; here. Currently private companies like Crowdspike and Fireeye fill<br>
&gt; this role but since they are hired and paid by an interested party<br>
&gt; they are often viewed with skepticism.<br>
&gt;<br>
&gt;<br>
&gt; On Wed, Jan 4, 2017 at 2:47 AM, Hristo Stoyanov &lt;<a href="mailto:htstoyanov@gmail.com" target="_blank">htstoyanov@gmail.com</a>&gt; wrote:<br>
</span><div class="m_-700381123007544075HOEnZb"><div class="m_-700381123007544075h5">&gt;&gt; Here&#39;s some actual details based on the csv and xml published alongside the<br>
&gt;&gt; written report:<br>
&gt;&gt; <a href="https://www.wordfence.com/blog/2016/12/russia-malware-ip-hack/" rel="noreferrer" target="_blank">https://www.wordfence.com/blog<wbr>/2016/12/russia-malware-ip-<wbr>hack/</a><br>
&gt;&gt;<br>
&gt;&gt; Conclusions: old freely available malware, incredibly wide variety of<br>
&gt;&gt; countries making up the IP addresses given as a source of the attack. Hence,<br>
&gt;&gt; that data is as evidence-free as the written report. I believe (correct me<br>
&gt;&gt; if I&#39;m wrong), there is no other data available from the USG. Only (very)<br>
&gt;&gt; pointed accusations against a certain country.<br>
&gt;&gt;<br>
&gt;&gt; However, what would be good technical details that show attribution? Russian<br>
&gt;&gt; documents/emails that order/discuss/report on the attack (perhaps with some<br>
&gt;&gt; signatures :)) would definitely cut it. What else?<br>
&gt;&gt;<br>
&gt;&gt; - Hristo<br>
&gt;&gt;<br>
&gt;&gt; 2017-01-03 13:10 GMT-08:00 Ari Trachtenberg &lt;<a href="mailto:trachten@bu.edu" target="_blank">trachten@bu.edu</a>&gt;:<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; Yes, the crowdstrike report is much more interesting, but, at this point,<br>
&gt;&gt;&gt; rather dated.<br>
&gt;&gt;&gt; What it doesn&#39;t include is evidence of attribution to the Russian<br>
&gt;&gt;&gt; government (just<br>
&gt;&gt;&gt; some suggestive information about the slickness of the attack and a belief<br>
&gt;&gt;&gt; of<br>
&gt;&gt;&gt; some link).  Has anyone seen public technical details in this realm?<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; best,<br>
&gt;&gt;&gt;        -Ari<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt; On Jan 3, 2017, at 2:32 PM, Ethan Heilman &lt;<a href="mailto:eth3rs@gmail.com" target="_blank">eth3rs@gmail.com</a>&gt; wrote:<br>
&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt; With the exception of the attribution of individual hackers the<br>
&gt;&gt;&gt;&gt; DHS/FBI report is almost entirely detail free. The crowdstrike report<br>
&gt;&gt;&gt;&gt; provides many of the missing details:<br>
&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt; <a href="https://www.crowdstrike.com/blog/bears-midst-intrusion-democratic-national-committee/" rel="noreferrer" target="_blank">https://www.crowdstrike.com/bl<wbr>og/bears-midst-intrusion-democ<wbr>ratic-national-committee/</a><br>
&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt; One interesting tidbit in DHS/FBI report was that it blame Slavik of<br>
&gt;&gt;&gt;&gt; Zeus Gameover fame.<br>
&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt; On Tue, Jan 3, 2017 at 2:08 PM, Ari Trachtenberg &lt;<a href="mailto:trachten@bu.edu" target="_blank">trachten@bu.edu</a>&gt;<br>
&gt;&gt;&gt;&gt; wrote:<br>
&gt;&gt;&gt;&gt;&gt; Somehow I&#39;m missing the description ... I just see generic malware<br>
&gt;&gt;&gt;&gt;&gt; information on a popular web shell tool and<br>
&gt;&gt;&gt;&gt;&gt; generic mitigation strategies.  If anything, the suggests a *lack* of<br>
&gt;&gt;&gt;&gt;&gt; an<br>
&gt;&gt;&gt;&gt;&gt; actual smoking gun.<br>
&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt; best,<br>
&gt;&gt;&gt;&gt;&gt; -Ari<br>
&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt; On Dec 29, 2016, at 5:56 PM, Scheffler, Sarah, Ann &lt;<a href="mailto:sscheff@bu.edu" target="_blank">sscheff@bu.edu</a>&gt;<br>
&gt;&gt;&gt;&gt;&gt; wrote:<br>
&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt; This is a joint report written by DHS and the FBI, and it&#39;s the first<br>
&gt;&gt;&gt;&gt;&gt; actual<br>
&gt;&gt;&gt;&gt;&gt; decent description I&#39;ve found of the Russian hacking that&#39;s been all<br>
&gt;&gt;&gt;&gt;&gt; over<br>
&gt;&gt;&gt;&gt;&gt; the news, and I figured y&#39;all might be interested in reading it:<br>
&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt; <a href="http://www.nytimes.com/interactive/2016/12/29/us/politics/document-Report-on-Russian-Hacking.html" rel="noreferrer" target="_blank">http://www.nytimes.com/interac<wbr>tive/2016/12/29/us/politics/<wbr>document-Report-on-Russian-<wbr>Hacking.html</a><br>
&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt; Happy last-two-and-a-half-days-of-20<wbr>16,<br>
&gt;&gt;&gt;&gt;&gt; Sarah<br>
&gt;&gt;&gt;&gt;&gt; ______________________________<wbr>_________________<br>
&gt;&gt;&gt;&gt;&gt; Busec mailing list<br>
&gt;&gt;&gt;&gt;&gt; <a href="mailto:Busec@cs.bu.edu" target="_blank">Busec@cs.bu.edu</a><br>
&gt;&gt;&gt;&gt;&gt; <a href="http://cs-mailman.bu.edu/mailman/listinfo/busec" rel="noreferrer" target="_blank">http://cs-mailman.bu.edu/mailm<wbr>an/listinfo/busec</a><br>
&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt; —<br>
&gt;&gt;&gt;&gt;&gt; Prof. Ari Trachtenberg<br>
&gt;&gt;&gt;&gt;&gt; Electrical and Computer Engineering<br>
&gt;&gt;&gt;&gt;&gt; Boston University<br>
&gt;&gt;&gt;&gt;&gt; <a href="mailto:trachten@bu.edu" target="_blank">trachten@bu.edu</a><br>
&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;&gt; ______________________________<wbr>_________________<br>
&gt;&gt;&gt;&gt;&gt; Busec mailing list<br>
&gt;&gt;&gt;&gt;&gt; <a href="mailto:Busec@cs.bu.edu" target="_blank">Busec@cs.bu.edu</a><br>
&gt;&gt;&gt;&gt;&gt; <a href="http://cs-mailman.bu.edu/mailman/listinfo/busec" rel="noreferrer" target="_blank">http://cs-mailman.bu.edu/mailm<wbr>an/listinfo/busec</a><br>
&gt;&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; —<br>
&gt;&gt;&gt; Prof. Ari Trachtenberg<br>
&gt;&gt;&gt; Electrical and Computer Engineering<br>
&gt;&gt;&gt; Boston University<br>
&gt;&gt;&gt; <a href="mailto:trachten@bu.edu" target="_blank">trachten@bu.edu</a><br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; ______________________________<wbr>_________________<br>
&gt;&gt;&gt; Busec mailing list<br>
&gt;&gt;&gt; <a href="mailto:Busec@cs.bu.edu" target="_blank">Busec@cs.bu.edu</a><br>
&gt;&gt;&gt; <a href="http://cs-mailman.bu.edu/mailman/listinfo/busec" rel="noreferrer" target="_blank">http://cs-mailman.bu.edu/mailm<wbr>an/listinfo/busec</a><br>
&gt;&gt;&gt;<br>
&gt;&gt;<br>
<br>
—<br>
Prof. Ari Trachtenberg<br>
Electrical and Computer Engineering<br>
Boston University<br>
<a href="mailto:trachten@bu.edu" target="_blank">trachten@bu.edu</a><br>
<br>
<br>
<br>
<br>
<br>
</div></div><br>______________________________<wbr>_________________<br>
Busec mailing list<br>
<a href="mailto:Busec@cs.bu.edu" target="_blank">Busec@cs.bu.edu</a><br>
<a href="http://cs-mailman.bu.edu/mailman/listinfo/busec" rel="noreferrer" target="_blank">http://cs-mailman.bu.edu/mailm<wbr>an/listinfo/busec</a><br>
<br></blockquote></div><br></div>
</div></div></blockquote></div><br></div>