无障碍链接

中国时间: 09:58 2016年12月10日星期六

中国网络间谍案是一部黑客指南


被指控从事网络间谍活动的中国61398部队在上海的建筑

被指控从事网络间谍活动的中国61398部队在上海的建筑

被指控入侵美国企业电脑窃取机密信息的的几名中国军人,本身并不那样独特。网络攻击并不是很高级的技术。然而它却引发了更多让人不安的问题。

美国钢铁公司、美国铝业公司之类的主流国际企业,是如何被一个规模小,成本低的中国黑客组织窃取价值几百万美元知识产权的?

答案是:这种攻击没有更经常地发生,这才让人惊讶呢!

美国司法部相关的起诉书,洋洋48页,叙述了31个罪行,介绍了五个中国军官如何在网络中利用“丑陋的大猩猩”、Kandygoo和WinXYHappy等网名渗入六家美国大公司的电脑网络。

起诉书的诸多章节说的如此详细,读起来就像一本关于黑客做法的虚拟的操作手册。

*网络社交工程骗术*

然而有些术语,诸如“鱼叉式网络钓鱼” 或者“信标”,可能需要技术层面上的解释。起诉书表明,被告通常会使用安全分析人员所说的社交工程。

基本上,社交工程就是一种技巧,黑客用它伪装成别人,试图让对方相信他们。

黑客的目的是让对方直接泄露信息(比如密码)或者通过让用户点击恶意的链接和附件来使他们的电脑感染病毒。说到底,所谓社会工程就是把一个骗人的伎俩加上一个花哨的标签。

黑客有许多不同的招术来赢得对方的信任。一旦黑客达到目的,糊弄蒙在鼓里的人,让他们透露敏感信息,就比较容易了。

一个常见的例子是,分析人士说,如果你信任的一个同事发送一封紧急电子邮件给你,索要一个他们已经忘记的密码,你大概会不假思索地把密码发送给他们。

MWR信息安全公司的高级研究员迈克.奥蒂说:“鉴于这些类型的攻击即便失败也没有什么后果,所以黑客们能在一段长时间里发动若干次攻击,很可能有人犯错误,有人让他们进入。”

就像起诉书上所说的那样,中国黑客们就是这样做的。

据说被告们使用的的一种社会工程伎俩就是“鱼叉式网络钓鱼”,那就是,给人通过电邮发送链接或附件,如果对方点开了链接或附件,他们的电脑就会不知鬼不觉地受到感染。

一旦用户电脑被感染,恶意软件就会在系统中建立所谓后门,或者说进入系统的秘密入口,而这大概会在长时间里不被系统侦测到。

在不久前的起诉书中,美国检察官说,被告孙凯梁(音译)通过两个美国钢铁公司账户的电子邮箱给美国钢铁公司的大约八个雇员发电邮,从事“鱼叉式网络钓鱼”,对象之一是该公司首席执行官。

起诉书说:“有的邮件的标题是‘美国钢铁公司展望’,附有恶意链接,一旦被点击,就会暗中安装恶意软件,让这些黑客从‘后门’进入公司电脑,”

起诉书还陈述:“一个不明身份的黑客发送了大约49个以‘美国钢铁公司展望’为标题的鱼叉式网络钓鱼电邮给美国钢铁公司雇员。”

不只是“鱼叉式网络钓鱼”,学者奥蒂说,一个成功的社交工程式的入侵,除了恶意邮件之外,还需要别的。

起诉书列举了另一种更老练的策略,这需要更多的计划、研究和耐心。

*固执和技术*

在整篇起诉书里,美国司法部说明了被告是如何先试图获取六个目标企业中现任和前任雇员的名单,然后研究他们的身份。

被告们随后会买各种网站域名,诸如“arrowservice.net” 或者“hugesoft.org” (建议读者们不要去浏览这些网站),然后将貌似合法的内容以及隐秘的木马病毒软件放入网站中。

这些网站被用于创造让用户信任的假象,也在被感染的电脑和在中国的主要攻击服务器之间作为“跳点”,并且掌控所有在美国被恶意感染的电脑。

在起诉书中,律师们详解了这些跳点是如何暗中允许黑客们获取文件以及盗取资料并送回中国的。

起诉书谈到;“在两次入侵的间歇时间,黑客们使用域名账户,把恶意域名分配给那些非路由或者无病毒的IP地址,(比如谷歌电邮或者雅虎这样的主流网络电子邮件服务的IP地址,)这隐晦了他们在这个时期发送的任何恶意文件的信标。”

*“坏蛋们要抢我”*

从技术层面上来说,中国黑客们的手段,比起“震网”(stuxnet)病毒那样老练的网络攻击差远了。然而,他们以其坚持不懈和想象力,做得相当聪明。

“人们需要意识到这些坏蛋们是顽固坚持的,是有组织的,” 北美ESET网络安全公司的高级安全研究员斯蒂芬.科布表示,“也许我的以下说法会有所帮助:这并不是一个人想要在每五秒钟里闯入一次你的网络服务器。”

科布说:“让我们一起来面对事实:如今每一家公司都将信息放置于他们需要保护的电脑中。如果你有个网站,那么有人会试图在每五六秒钟里闯入一次,这是个自动的程序。” “因此,世界各地想要入侵他人电脑的人们正在使用自动程序寻找漏洞。对系统的侦测是持续不断的。”

专家们认为,对大部分人来说,了解网络安全,依旧是很困难的。

“如果你为银行工作,你应该清楚有人可能会打劫,因为银行是钞票所在,”科布说,“但如果你是医生,或者是设计产品的工程师,你未必会想‘有坏蛋要抢我’。”

然而安全专家奥迪指出,事情仍然有希望。 “人总会是个薄弱因素,但是考虑到各个组织机构学会了强化他们的边界,业界要求改进的下一个领域就是,确保其内部的能见度和适当的隔离。”

对于科布和奥蒂来说,关键在于,把资料隔离在一些特定的区域,实行不同等级的安全措施。

科布对美国之音说:“你不能够保护你不知道的东西,在我给大小企业的要务清单中,首要事项之一就是,了解你已经得到了什么。”

显示评论

XS
SM
MD
LG