2016年灾难性的民主党全国委员会黑客攻击事件给任何担心国际混乱运动的人敲响了警钟，周一晚上，我们有了新的理由担心2020年。《****》和网络安全公司Area1披露了俄罗斯情报部门针对乌克兰天然气公司Buri**a的新黑客攻击事件，Buri**a是特朗普总统正在进行的弹劾的中心。几个月来，共和党特工一直在暗示公司内部存在一些可怕的**行为，如果俄罗斯间谍真的入侵了公司，那就带来了可怕的可能性。

一些国会议员已经预测2016年会重演，众议员亚当·希夫（Adam Schiff）评论说，“看起来他们肯定又在重演，着眼于帮助这位总统。”这是一个令人震惊的想法，鉴于特朗普上一次拒绝承认俄罗斯黑客攻击，没有迹象表明白宫会这么做做任何事来阻止它。

不过，尽管报告描绘了一幅可怕的画面，但证据并不像看上去那么确凿。有强有力的证据表明，Buri**a成功地成为了网络钓鱼活动的目标，但要确定谁是这一活动的幕后黑手要困难得多。有确凿的证据表明俄罗斯的GRU情报部门可能参与其中，但证据大多是间接的，黑客活动通常就是这样。这一结果让针对俄罗斯的案件令人沮丧地不完整，并表明我们可能会带着更多的问题而不是答案进入总统竞选。

Area1的大部分证据都在一份与****文章一起发布的八页报告中列出。核心证据是以前针对哈德逊研究所（Hudson Institute）和乔治•索罗斯（George Soros）的攻击模式，通常使用相同的域名注册商和isp。最糟糕的是，所有三个网络钓鱼活动都使用相同的SSL提供程序和相同URL的版本，伪装成一个名为“我的Sharepoint”的服务。在Area1看来，这是GRU的剧本，而Buri**a只是一长串目标中的最新一个。（Area1没有回复多次的置评请求。）

但并不是每个人都认为基于领域的归属是一个扣篮。当Kyle Ehmke检查ThreatConnect相同模式的早期迭代时，他得出了一个更为慎重的结论，仅以“适度的信心”评估了这些域与APT28（俄罗斯GRU的研究人员速记）有关。

“我们看到了一致性，”埃姆克对《边缘报》说，“但在某些情况下，这些一致性对一个演员来说并不一致。”这种注册和网络钓鱼攻击的模式看起来确实是GRU的剧本，但它不是唯一的剧本，也不是唯一运行它的剧本。

实际上，这意味着网络运营商在任何时候看到符合这一特征的攻击时都应该发出警报，但要对单个事件做出最终裁决要困难得多。竞选活动中使用的网络基础设施都是公开的，也被许多其他党派使用，所以没有一个算是冒烟的枪。最显著的特征是术语“sharepoint”，研究人员只在与GRU紧密链接的url中看到过。但是任何人都可以注册一个带有“sharepoint”的URL，所以连接只是间接的。

埃姆克说：“这是一组值得注意的一致性，可以用来寻找和潜在地用来确定他们的基础设施。”。“但这并不是说所有具有这些一致性的东西都已经并且将成为APT28。”

在缺乏关于某一特定机构的战略和目标的具体信息的情况下，很难使这种归因更加强烈。但是，朝相反的方向走——从一个软弱的归因到一个意图的推定——可能是危险的。

这种弱归因在网络安全世界中是令人沮丧的普遍现象，在各国努力搞清楚网络战国际外交时，这种归因可能会带来现实问题。格鲁吉亚科技公司互联网治理项目前执行主任法扎纳·巴迪将弱势归因归类为“可以技术上受到质疑的间接证据”，她认为这是一个全球性问题，并主张国际归属团体能够解决僵局，因此，观察员不必依赖私人公司或**情报机构。没有这一点，信任问题就很难解决。

巴迪说：“国家主要通过个体承包商资助网络攻击，而不是自己实施，”这使得国家行为者和私人罪犯难以区分。如果你担心**为战争辩护或者私营公司抢占头条，那么问题只会变得更糟。“归属公司对其所有的归属方法都不愿意公开透明，因此评估其归属机制并不容易。”

如果你担心俄罗斯插手2020年大选，这些都不应该让人放心。GRU确实在2016年入侵了DNC，没有理由认为它不会再尝试类似的伎俩，不管它是否是这一特定网络钓鱼活动的幕后黑手。确实有理由认为GRU参与其中。没有一把冒烟的枪并不让人放心——如果说有什么区别的话，那就意味着不管是谁干的，都是清白的。但如果你只是想知道俄罗斯是否入侵了布里斯马，真正的答案可能是我们仍然不知道。