计算机世界中的“幽灵网络(GhostNets)”
2009-05-18
计算机世界中的“鬼蜮网络”(GhostNets)
网络犯罪大行发财之道——随着民族主义情绪躁动下网络攻击的鹊起,也许在中国更是无处不在。 会会这些在一线拼杀的人物吧。
《卫报》, 2009 4月16日星期四
丹尼·布拉德伯里(Danny Bradbury ) 海瑞两千 译
遭遇网络……中国有三亿网络用户,是世界上最多的。
图片提供: 中国图片社/盖帝图库
直到上个星期天,斯考特·亨德森(Scott Henderson)才发现自己已经上当了。这位美军前任情报官,一直在与他的同事“Jumper”一起跟踪一个网名为“Lost33”的所谓中国黑客,这个黑客曾答应与他谈一谈。“昨晚,‘Lost33’并没有和‘Jumper’联系。事实上,似乎他花了一晚上的时间频繁变换他的QQ号码”——QQ是一种颇为流行的中文即时通讯服务——“并且删除了他博客上的所有信息。现在这个博客,除了他的个人资讯有所改变以外,其余已全部清空。”亨德森在他的博客上如是说。
亨德森依据其电子邮件地址——losttemp33@hotmail.com ——一直在跟踪Lost33,这个邮件地址曾出现在一个叫做鬼蜮网络(GhostNet)的网上跟踪调查行动中。鬼蜮网络(GhostNet)行动始于这样一个时刻:当时,多伦多大学和加拿大安全智囊机构SecDev刚刚联合创建了一个网络战研究小组,即:“信息战监测”(Information Warfare Monitor (IWF)),该小组受托为逃亡的西藏政府(指:达赖集团——译者)从事一项安全监测任务。他们在达赖喇嘛的一些最易受感染的计算机上发现了恶意软件。
该项调查发现一些连接指向了主要位于中国境内的命令和控制服务器。从而,IWF进一步发现:被这些服务器控制的受感染计算机遍布103个国家。他们大致识别出了其中的三分之一,并且发现:它们都是一些与中国利益有着重大关联的组织中易受感染的计算机。这些组织包括很多大使馆、电信部门、公司企业、甚至越南人的汽油商行。正像“Lost33”的真实身份和动机被神秘地隐藏起来一样,鬼蜮网络与中国政府之间的这个富有决定性意义的连接也是不知所踪。
这表面上看起来像是某个国家发起的一个网络间谍团伙。尤其是当你读了下面这个报告的有关部分,就更是如此。报告中说:一位西藏基金会联机项目的成员被中国官员扣押了两个月并遭到审讯。中国官员向她出示了她的互联网聊天记录。做该项目所使用的计算机也曾被同一个恶意软件糟蹋过,这是一个偷窃达赖喇嘛文件的恶意软件,并且联结着鬼蜮网络(GhostNet)的控制服务器。
为了爱国
但是,可能有其他的一些动机和行为人,IWF说。鬼蜮网络(GhostNet)可能是一个由一些网络犯罪分子经营的以赢利为目的的“创业”。它可能受控于中国境外,即通过把受侵害的计算机用作代理服务器的办法。(其中一台控制服务器安装在美国——也是鬼蜮网络被发现时,最先被关闭掉的服务器之一。)
“甚至也可能是‘有爱国心的黑客’根据他们自己的意愿所为、或者是在他们的政府默许的情况下,以鬼蜮网络的操作人员的名义所为,”IWF的报告说。问题是:不管怎么说,所有这些事情都正在中国发生着。亨德森说:自上个世纪九十年代中期以来,爱国式的黑客活动(hacking)就一直是中国地下黑客活动的主流。
1994年,互联网接入中国以后,人们便开始做技术上的试验演练,1997年,绿营(Green Army)黑客小组成立。其后,这个小组又让位于红客联盟(the Red Hacker Alliance),这是一个有着松散联系的各小组的集合,出现于1998年雅加达暴乱之后,当时,一些中国国民曾被指控破坏国家稳定。一些印度尼西亚的网站,被愤怒的中国黑客丑化,一场民族主义运动风起云涌。
嗣后,盈利动机昭然若揭。“历史已然发生了变化,从一个意欲保卫祖国的小组嬗变为以赚钱为目的而存在的职业黑客群体,”亨德森说。 例如:现在一些黑客早已打破了他们不得攻击中国IP地址的经验法则(又译:拇指法则——译者)。就是在网络攻击因民族主义情绪的躁动而鹊起的当口,对这条法则,原本也不是那么中规中矩的。因此,在商业化网络犯罪的年代里,也就没有什么人不可以是攻击的对象了。
中国反恶意软件联盟共同创办人赵伟,自2006年起,既一直与地下黑客拼杀。他说:中国黑客正在日益增多,这部分是由于经济下滑——也就是说,中国国民正如中国差劲儿的网络空间安全一样,也极易受到伤害。
“中国现在至少有两千万人失业,当他们花光了他们所有的钱之后……就可能转向网络犯罪,”赵伟说。他补充说:联机网络犯罪正在向经济繁荣时大量冒出的小城市蔓延,其中有些地方,网络钓鱼以及其他一些网络犯罪已经取代了实体犯罪。”
究竟,为什么在存在因敲诈而受到严厉惩罚的危险的情况下,人们还能不畏报应地用电子方式坑人呢?“警方认为:这就是无耻。大街上一个人也没有。他们都去了网吧,他们正在干网络钓鱼的勾当。警方很关注互联网。”赵伟说。
本地漏洞
除了网络钓鱼、黑网站之外,中国黑客还大肆发掘本地第三方应用程序中的缺陷,这些应用程序常常写得很糟糕,赵伟说。 中国,以其轻视知识产权而著称,那里到处都是盗版的视窗软件——当地的一些公司现在为随机的视窗软件提供他们自己的安全更新服务,他说。
那么,中国黑客在他们受害人的机器上寻找些什么呢?在这一点上,与国外的黑客大同小异,所不同的是联机游戏帐户也是被攻击的目标,《魔兽世界》,这个流行最为深广的多人游戏世界,对他们来说,就是一个特别的奖赏。在这个游戏中累积起来的金币和角色点数,都可以公开销售。
来自中国黑客的攻击,也可能是颇为老练的。亚特兰大主营安全托管服务的SecureWorks公司的一位威胁情报分析师,丹尼斯·德怀尔(Dennis Dwyer)说:有目标的攻击是一项由中国网络罪犯改进的一项签名技术。他们会对某个组织开展大量的研究,以弄清都有哪些个人在那里工作,以及他们怎样取得联系。
“我们已经看到过的都是非常专门的恶意软件。它们将找寻那些使用某一版本的WORD软件的人,”德怀尔说。那份关于“鬼蜮网络”的报告透露了黑客们是怎样说服受害人,打开附加在来自他们可能会认识的人们的邮件上的那些受感染的文件。
“幽灵”胁迫
德怀尔证实说:“我们还见过利用零日期(zero-day,又译“零时差”——译者)或文件格式类型来开发[恶意应用程序]的,特别是,我们注意到一个叫做‘幽灵’的小组。他们所做的都是很公开的。”他们有一个特点就是:[开发]不是为自己所用,而是把它们卖给其他人使用。”
这种把开发出的产品在公开市场上出售的倾向,现正被诱导着朝向出售工具包的趋势发展。SecureWorks已经识别出一种新的工具包——“管中窥豹(Leopard in a Hole)”——它可以自动注册到SQL进行攻击,一些中国黑客业已因此而成名。去年这个时候,中国黑客用恶意的Java描述语言(JavaScript)程序,侵袭了数以万计的网站。各种版本的“管中窥豹”,就连根本没有什么技术的攻击实施者都可以用来发起攻击,只需点几下鼠标即可,现已发现:“管中窥豹”已卖至500美元。联机犯罪现在正大行发财之道呢。
所有这一切之中,依然有一个未解之题: 谁为鬼蜮网络(GhostNet)负责?“方便的答案是:‘有私掠船’⑴。那是一些得到了国王的授权书,为着自己的利益行事的人,但他们谁都保持距离。”IWF的首席分析师兼报告合著者拉斐尔·罗霍金斯基(Rafal Rohozinski)说。他把网络空间比作“旧时的公海”,那里被类似于由国家许可的自由职业者舰队占据着。“我认为:这些就是第三方行为人。无论他们是被有意授权的、被有意保护的,还是被允许从其他被监视的活动中筹钱,我说不好。”
在中国,这种网络流氓也许比世界其他任何一个地方都要多,俯拾皆是、取之不竭。天知道人们在这个世界网络里到底埋了多少别的什么百宝箱?——抑或,我们到底能够证明那些埋百宝箱的人们的真实身份吗?
原文出处:http://www.yeeyan.com/articles/view/64623/37521