剖析国家级的黑客攻击

最近,一名中国男子承认帮助黑客攻击航空公司的计算机系统,并面临监禁。

维护网络安全并不仅仅意味着防范网络窃贼,它也和抵御网络间谍有关。

向你的电子邮箱发送垃圾邮件、网络钓鱼信息和设置了陷阱的电子邮件的人,可能不是网络罪犯,而是一群为政府工作的黑客。

不幸的是,这些信息并没有什么特别之处,它们看起来和其他net-borne威胁没什么不同。这是因为,恶意程序的创造者通常会利用和主流恶意软件相同的软件漏洞,并且更容易成功。

PlugX已附着于西藏关于人权侵犯的报告记录中。

FireEye的安全公司战略情报分析师Jordan Berry说,安全公司也很难发现他们,并且,由国家支持的恶意软件样本数目较少。

他说,黑客用来渗透目标的方法十分多样。有时国家为了自身的利益,会投入大量的时间、人才和资金来创造恶意软件。

一个例子是Stuxnet——一种旨在破坏伊朗的核计划的蠕虫。分析显示,它是一种精确制导武器,可能花上几个月才能创建出来。Stuxnet使用了四个独立的、先前不为人所知的软件漏洞,它只有在处于一个有具体网络配置的网络中时,才会现身。

其他同样复杂的威胁包括Flame、Gauss、Regin和PlugX。

但是,贝利说,并不是每一种攻击都需要使用这么精确的恶意软件。

他说:“有时候他们不需要使用这么精确的武器,就选取一些合适的武器来完成工作。”

Stuxnet蠕虫被普遍认为是由国家支持的,目的是削弱伊朗的核计划。

无论是哪个公司或政府的网络受到攻击,一旦恶意软件开始工作,背后的支持者就不难被猜出来。

他说:“周围的环境很重要,如果它攻击了外交部,攻击中没有什么金融动机,那就可能是某个国家所为。”

为了了解国家支持的恶意软件有多大危害,我请求安全公司的Kevin O ‘ reilly讲一些和PlugX恶意软件有关的内容。

O ‘ reilly先生说,它于2012年中期首次被发现,直到今天,它已经更新改进了多次。它被认为是由中国创建的,用与针对不同国家的工业目标,以及西藏和其他地方的持不同政见者。

中国在进行国家级攻击方面,似乎已经形成经营模式。那些观察中国恶意软件的人说,先是国家创建软件,然后国家会为了自身的利益,将其交给很多其他的组织使用。

然而,O ‘ reilly先生说,所有的一切只是猜想,目前并没有直接证据表明PlugX来自于中国。

他说,这种恶意软件的最新版本危害很大,它使用几种不同的技术渗透到目标。我看到的版本是作为电子邮件的附件传递过来的。

他说,电子邮件是这次袭击的关键。使用PlugX的黑客组织在发送设置了陷阱的电子邮件之前,通常会做很多准备。他们会在目标公司中,选择某些可能更容易受到吸引的的人。

他补充说:“这些文件通常有合法来源,并且嵌入了恶意软件。”

具有讽刺意味的是, PlugX被植入在西藏的一份关于侵犯人权的报告中。

远程代理

感染从打开文档的那一刻就开始了。它使用Windows某个利用或者漏洞安装恶意软件。

俄罗斯也被认为是许多国家级恶意软件的幕后推手。

其中一个完全合法的Windows文件,它在运行时,会寻找一个特定的系统文件,PlugX中包括它需要的文件,这个文件已经修改过,可以用来安装实际的恶意软件。Windows的工作方式确保它会使用那个修改过的文件,而不是安全的那一个。

O ‘ reilly先生说:“一旦它获得立足点,并且确保自己将和Windows一起自动运行,就会联系创建者,获取下一步的指令。” 一旦PlugX在计算机上成功安装,攻击者就可以对计算机进行远程访问。”

他说:”它有很多内置的功能,可以通过植入获取关键日志和屏幕截图。”

很明显,它和普通的恶意软件不同。

O ‘ reilly先生说:“这是由某个人控制的,它自身并不能造成什么破坏。”

Context是少数几家研究PlugX的公司之一,它通过网络取证,重现攻击者去过的地方和做过的事情。

他说:“在一次攻击中,入侵被杀毒软件捕捉到,我们能够看出它在尝试清除日志,它们知道到底应该去哪里。”

罗伯特·汉森在联邦调查局工作了27年,但被认为一直在将信息传递给俄罗斯,这已经持续了22年。

资深间谍猎手Eric O’Neill协助曝光了双重间谍——前联邦调查局特工罗伯特·汉森。

他说:“在从前,间谍需要潜入大楼窃取文件。现在他们已经不需要这么做了,间谍已经进化了。”

他说,一个成功的国家级网络活动可以获取的信息,比从双重间谍那里获得的要多得多。

在窃取某些人的数据后,外国势力可以迫使一些人为他们工作。

他说:“有三种招募人员的主要方式——利用意识形态、贪婪和勒索。”

数据库中的医疗信息可以提供某些线索,例如债务或个人问题等,这些东西可以让一个人妥协。

他说:“你必须知道你要攻击的是谁,以及他们是否有可能受到意识形态、贪婪或敲诈的影响。”

现工作于安全公司Carbon Black的奥尼尔说:“这种类型的攻击不容易进行,但如果公司认为自己不会成为目标,这种想法就十分愚蠢。”

他说:“这些人都是间谍,不是黑客。他们并不是那种随意发动攻击的人,而是蓄谋已久的。”