<p dir="ltr">Disgruntled / former nation state actors seem like the riskiest entity, regardless of who actually did it. But recall that DNC data was actually hacked by Bernie inside staffers last year anyway so we know there were multiple malicious actors over time. If non-technical staffers can &quot;hack&quot; DNC data that easily, it is likely there were other significant remote flaws that anyone else could penetrate, even by bored teenagers.</p>
<p dir="ltr"><a href="http://www.cnn.com/2015/12/18/politics/bernie-sanders-campaign-dnc-suspension/">http://www.cnn.com/2015/12/18/politics/bernie-sanders-campaign-dnc-suspension/</a></p>
<p dir="ltr">&quot;The internal warfare exploded after the DNC cut off Sanders from the database and said the Vermont senator&#39;s presidential campaign exploited a software error to improperly access confidential voter information collected by Hillary Clinton&#39;s team.&quot; -- December, 2015</p>
<div class="gmail_quote">On Jun 20, 2016 7:06 AM, &quot;the grugq&quot; &lt;<a href="mailto:thegrugq@gmail.com">thegrugq@gmail.com</a>&gt; wrote:<br type="attribution"><blockquote class="quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I love the scepticism, this is an excellent attitude to have with cyber claims of attribution! So lets apply some analytic processes to the problem, I’m sure they can help illuminate the situation.<br>
<br>
What I’d love to see, from anyone, is an actual ACH matrix with some options and the available data we have mapped out. Lets see what hypothetical threat actors match against the available data. What are the alternatives here? I’ve heard:<br>
<br>
TA-1. a kid, or kids, in it for the lulz<br>
TA-2. a false flag op by another FIS<br>
TA-3. a FIS badly attributed by CrowdStrike<br>
TA-4. the Russian intelligence services<br>
TA-5. a Russian intelligence sub contractor for cyber ops gone rogue<br>
<br>
Any others I’ve missed? There are a lot of variants of TA-1, so I’m including all non-FIS autonomous threat actors (but please, if there is a variant that merits special consideration, lets add them as a separate possibility.)<br>
<br>
There are three distinct operations that need to be covered by the actor. Lets map those out:<br>
<br>
Op-1. the DNC breach and exfil<br>
    a. at least two threat actors on the network<br>
    b. used tools, techniques and procedures associated with Russian APTs<br>
    c. focused on political data exfil, not monetisation<br>
       - no ransomware, exploitation of PII, banking/CC fraud, etc.<br>
          * I’d bet the DNC would pay a _lot_ to a ransomware operator<br>
<br>
Op-2. the &quot;covert action&quot; against the Democratic campaign<br>
    a. analysis of “thousands” of documents<br>
       - requires access to the take from Op-1<br>
    b. requires some political savvy wrt document selection<br>
       - political savvy requirement goes up if the documents were altered<br>
    c. at least minimal planning wrt the release channel and the timing<br>
       - wikileaks? the intercept? MSM? the pirate bay? dedicated website?<br>
       - after Trump nomination, but before the election (obviously)<br>
           * on the network for months, yet no docs leaked before WaPo article<br>
<br>
Op-3. the guccifer2 claim of responsibility<br>
    a. the supporting evidence<br>
       - requires access to the take from Op-1<br>
       - requires analytic and political skills from Op-2.a &amp; Op-2.b<br>
    b. subtle notes of Russian (too subtle for media to notice, but not for pros)<br>
       - maybe deliberately inserted (threat actor is proficient in Russian)<br>
       - or, “mistakes were made” (threat actor happens to be Russian speaking)<br>
    c. deployed w/in &lt; 24hrs of the WaPo story<br>
       - complete absence of evidence of g2 before the WaPo article<br>
    d. why guccifer2? another eastern european hacker’s name<br>
       - other threat actor’s have used unique names for claims of responsibility (e.g. the Sony hack, hackers seeking fame, etc)<br>
<br>
With the data that we have available to us, what are some potential actors, or series of events w/ different actors, who would have the capability, the intent and the opportunity to execute the above three operations?<br>
<br>
Can someone show that Op-2 didn’t actually exist? Maybe no documents were passed to wikileaks, and the selection of evidence for Op-3.a was basically random? Would there be another way of providing evidence other than stolen documents?<br>
<br>
I am very honestly interested in hearing what suggestions people have.<br>
<br>
As Mara pointed out, Op-2 would be an extremely risky move by Russia particularly at a politically sensitive time. That might be a motivation for some entity who wants to damage (a subset of) Russian interests by implicating them (see: TA-2, TA-5). Conversely, aiding Trump is inline with (a subset of) Russian interests (see: TA-4, TA-5), although it is also inline with other possible threat actors, e.g. 4chan’s alt-right community (see: TA-1). There are a lot of possibilities here!<br>
<br>
Lets apply some analytic rigour to our speculation and see what we can come up with.<br>
<br>
* Can we use the available data to eliminate any of the threat actors?<br>
* What additional data would help eliminate any, and can we get it?<br>
<br>
Intelligence analysts frequently have to work with a patchwork of data of various levels of reliability. Which is precisely why these analytic processes were developed. Now is the perfect time to use them to help sift through what we know.<br>
<br>
This is very exciting! Intelligence and cyber, making history, right before our eyes!<br>
<br>
<br>
—gq<br>
<br>
<br>
ps. Maybe someone wants to start a Google Docs spreadsheet we can build an ACH matrix on? Probably columns for threat actors, and rows for operations and evidence would be most manageable.<br>
<div class="elided-text"><br>
<br>
&gt; On 17 Jun 2016, at 23:39, Jeffrey Carr &lt;<a href="mailto:greylogic.carr@gmail.com">greylogic.carr@gmail.com</a>&gt; wrote:<br>
&gt;<br>
&gt; I agree entirely, Allen. The market incentives are huge for a company to discover and report an attack attributed to a nation state, the bar for evidence is negligible, and there&#39;s really no way to disprove a claim. Even when someone involved in the attack pops up and says I did it, here&#39;s proof, and you&#39;re an idiot, that becomes a &quot;disinformation operation&quot; and again, there&#39;s no way to disprove that.<br>
&gt;<br>
&gt; Jeff<br>
&gt;<br>
&gt; ----------------------------------------------------------------------<br>
&gt;<br>
&gt; Message: 1<br>
&gt; Date: Thu, 16 Jun 2016 21:28:42 -0400<br>
&gt; From: Allen &lt;<a href="mailto:multimode1876@gmail.com">multimode1876@gmail.com</a>&gt;<br>
&gt; To: Adam Shostack &lt;<a href="mailto:adam@shostack.org">adam@shostack.org</a>&gt;<br>
&gt; Cc: &quot;<a href="mailto:dailydave@lists.immunityinc.com">dailydave@lists.immunityinc.com</a>&quot;<br>
&gt;         &lt;<a href="mailto:dailydave@lists.immunityinc.com">dailydave@lists.immunityinc.com</a>&gt;<br>
&gt; Subject: Re: [Dailydave] &quot;When you shoot at the king, you best not<br>
&gt;         miss.&quot;<br>
&gt; Message-ID:<br>
&gt;         &lt;<a href="mailto:CADwYKiY5RYJ5s61QXLf%2BHc7ZrgD1LCNbCcXt5qUsN8hv6c8kRA@mail.gmail.com">CADwYKiY5RYJ5s61QXLf+Hc7ZrgD1LCNbCcXt5qUsN8hv6c8kRA@mail.gmail.com</a>&gt;<br>
&gt; Content-Type: text/plain; charset=&quot;utf-8&quot;<br>
&gt;<br>
&gt; | It&#39;s entirely possible that this is a disinformation campaign, or that<br>
&gt; attribution is hard, and Crowdstrike made a mistake<br>
&gt; |<br>
&gt;<br>
&gt; I&#39;m inclined to believe that while attribution may be hard there are<br>
&gt; entirely too many market incentives to brand any given attack with one of<br>
&gt; the nation state animal totems.<br>
&gt;<br>
&gt; The fact that attribution is frequently derived from prior intelligence<br>
&gt; blended with the fact that all of the source data is confidential only<br>
&gt; lends itself to confirmation bias. A small attribution mistake by one<br>
&gt; vendor can really snowball.<br>
&gt; -------------- next part --------------<br>
&gt; An HTML attachment was scrubbed...<br>
&gt; URL: &lt;<a href="https://lists.immunityinc.com/pipermail/dailydave/attachments/20160616/55ad132a/attachment-0001.html" rel="noreferrer" target="_blank">https://lists.immunityinc.com/pipermail/dailydave/attachments/20160616/55ad132a/attachment-0001.html</a>&gt;<br>
&gt;<br>
&gt; ------------------------------<br>
&gt;<br>
&gt; _______________________________________________<br>
&gt; Dailydave mailing list<br>
&gt; <a href="mailto:Dailydave@lists.immunityinc.com">Dailydave@lists.immunityinc.com</a><br>
&gt; <a href="https://lists.immunityinc.com/mailman/listinfo/dailydave" rel="noreferrer" target="_blank">https://lists.immunityinc.com/mailman/listinfo/dailydave</a><br>
&gt;<br>
&gt;<br>
&gt; End of Dailydave Digest, Vol 55, Issue 12<br>
&gt; *****************************************<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt; --<br>
&gt; Jeffrey Carr (<a href="http://jeffreycarr.com" rel="noreferrer" target="_blank">jeffreycarr.com</a>)<br>
&gt; CEO, Taia Global, Inc. (<a href="http://taiaglobal.com" rel="noreferrer" target="_blank">taiaglobal.com</a>)<br>
&gt; Founder, Suits and Spooks (<a href="http://suitsandspooks.com" rel="noreferrer" target="_blank">suitsandspooks.com</a>)<br>
&gt; Author, &quot;Inside Cyber Warfare: Mapping the Cyber Underworld&quot; (O&#39;Reilly Media, 2009, 2011)<br>
&gt;<br>
&gt;<br>
&gt; THE CONTENTS OF THIS EMAIL ARE FOR THE RECIPIENT&#39;S EYES ONLY AND MAY NOT BE DUPLICATED OR DISTRIBUTED WITHOUT PRIOR PERMISSION.<br>
&gt; _______________________________________________<br>
&gt; Dailydave mailing list<br>
&gt; <a href="mailto:Dailydave@lists.immunityinc.com">Dailydave@lists.immunityinc.com</a><br>
&gt; <a href="https://lists.immunityinc.com/mailman/listinfo/dailydave" rel="noreferrer" target="_blank">https://lists.immunityinc.com/mailman/listinfo/dailydave</a><br>
<br>
_______________________________________________<br>
Dailydave mailing list<br>
<a href="mailto:Dailydave@lists.immunityinc.com">Dailydave@lists.immunityinc.com</a><br>
<a href="https://lists.immunityinc.com/mailman/listinfo/dailydave" rel="noreferrer" target="_blank">https://lists.immunityinc.com/mailman/listinfo/dailydave</a><br>
</div></blockquote></div>