Thursday, 31 January 2013

纽约时报遭中国黑客连续数月攻击

旧金山——在过去四个月的时间里,中国黑客一直不断攻击《纽约时报》,侵入公司电脑,盗取记者和其他员工的密码。

经过秘密跟踪侵入者,研究他们的举动,并建立更好的防御系统阻止入侵,《纽约时报》及电脑安全专家已经驱逐了侵入者,并阻止了他们继续入侵。

黑客入侵正好发生在《纽约时报》10月25日发表一篇调查报道的时候。报道发现,中国总理温家宝的亲属通过商业交易积累了价值几十亿美元的财富。

《纽约时报》聘请了安全专家侦测并阻止电脑攻击,他们收集的数字证据说明,中国黑客侵入了《纽约时报》的电脑网络。据此前技术咨询人士的分析,他们使用的技术与中国军方有关。黑客侵入了《纽约时报》上海分社社长张大卫(David Barboza)以及印度的南亚分社社长杨金新(Jim Yardley)的邮箱;前者发表了有关温家宝亲属的那篇文章,后者之前是《纽约时报》北京分社社长。

《纽约时报》执行主编吉尔·阿布拉姆松(Jill Abramson) 说,“计算机安全专家没有发现证据证明,一些与温家宝家族的文章有关的敏感邮件和文件遭人入侵、下载或复制。”

《纽约时报》聘请的Mandiant公司的计算机安全专家表示,黑客试图掩盖针对《纽约时报》的攻击的源头,他们首先入侵美国大学的电脑,然后通过那些电脑实施攻击。Mandiant此前侦测到的多次源自中国的黑客攻击,手法与此相符。

黑客首先安装恶意软件,从而得以侵入《纽约时报》网络的任何一台电脑。计算机安全专家确认,这种恶意软件是一种与来自中国的计算机攻击有关的软件。此外,发动这些攻击的电脑正是此前中国军方曾用来攻击美军承包商的电脑,这也为黑客的来源提供了更多证据。

安全专家找到证据证明,黑客盗取了公司所有员工的密码,并利用密码入侵了53台员工的电脑,涉及的员工多数不在《纽约时报》的编辑部。安全专家没有发现证据说明黑客利用盗取的密码寻找与温家宝家族相关报道无关的信息。

安全专家表示,《纽约时报》的客户数据没有丢失。

当被问及有证据显示黑客来自中国,而且可能与军方有关,中国国防部称,“中国法律禁止包括黑客行为在内的任何破坏网络安全的行为。”国防部补充道,“没有充分证据就指责中国军队进行网络攻击,是不专业的,没有根据的。”

这些攻击似乎是对美国新闻媒体公司展开的广泛的计算机侦查活动的一部分。这些媒体都报道过中国领导人及中国公司的情况。

一位熟知彭博社内部调查的人士说,去年,彭博社于7月29日刊发一篇文章,报道习近平家人聚敛的财富。随后,彭博社被中国黑客瞄准,一些雇员的电脑感染病毒。习近平当时是中国副主席,去年11月,他成为中国共产党总书记,并且将在今年3月就任国家主席。彭博社发言人崔普特(Ty Trippet)证实,黑客曾试图入侵,但是“没有计算机系统或计算机被破坏。”

大举进攻的迹象

越来越多的袭击被追踪出是来自中国,这表明中国黑客是在进行一场广泛的间谍活动,他们的目标正在扩大,包括美国公司、政府部门、活动人士组织以及媒体机构。外交政策专家及计算机安全研究者说,这些情报收集活动不仅是为了盗窃贸易机密,同样也是试图控制中国在国内外的公众形象。

安全专家称,从2008年开始,中国黑客开始瞄准西方记者。他们的目的是要确定西方记者的线人和联系人,并对其进行威吓,同时预判可能有损中国领导人声誉的文章。

Mandiant在12月为客户发布的情报报告中称,经过多次调查他们发现,中国黑客窃取了西方媒体机构30多名记者及高管的邮件、联系人信息及文件,并且持有一份记者的“短名单”,这些人的帐户他们会反复实施攻击。

尽管计算机安全专家称,中国在黑客行动方面是最活跃、最坚持不懈的,但中国却不是唯一使用计算机攻击实现包括商业侦查在内的各种国家目的的国家。美国、以色列、俄罗斯和伊朗等国家都被怀疑开发并部署网络武器。

有证据显示,2012年,美国和以色列发布了一种复杂的计算机病毒,攻击并破坏了伊朗主要的核浓缩工厂。但美以两国从未公开承认。据信,伊朗也采取了报复,对美国的银行和海外石油公司发动了攻击。

在2008年俄罗斯与格鲁吉亚的战争中,俄罗斯也被怀疑使用过计算机攻击。

下文有关《纽约时报》被攻击的情况是根据对《纽约时报》高管、记者及安全专家的采访了解到的,从中或可窥见这种间谍行动之一斑。

中国政府官员曾警告说,《纽约时报》对温家宝家族财富的调查会“有后果”。随后,公司高管即于10月24日请管理《纽约时报》网络的美国电话电报公司(AT&T)注意观察异常现象。

在那篇文章发表到网上的10月25日,美国电话电报公司通知《纽约时报》,发现了一些与由中国军方一贯进行的其他攻击相一致的行为。

《纽约时报》告知了美国联邦调查局(Federal Bureau of Investigation,简称FBI),并主动介绍了这些攻击的情况。随后,在最初并未认识到其电脑遭渗透程度的情况下,《纽约时报》与美国电话电报公司一起追踪攻击者,而当时《纽约时报》还尝试把他们从其系统中清除。

但尽管作出了驱逐这些攻击者的努力,但在11月7日,《纽约时报》确认他们仍在系统里,于是聘请了Mandiant公司,这是一家应对安全漏洞的专业公司。从知悉这些攻击行为时起,《纽约时报》先后与美国电话电报公司和Mandiant合作,监视了攻击者在其系统中的活动。

这些黑客团队一直定时开始上班,多半是在北京时间早上8点开始。通常他们会持续工作一个标准工作日,但有时黑客行动会一直持续到午夜。Mandiant称,这些攻击会时不时地暂停两周时间,不过其原因尚不清楚。

研究人员还不清楚这些黑客最初如何闯入了《纽约时报》的系统。他们怀疑这些黑客使用的是一种称为“鱼叉式钓鱼攻击”(spear-phishing attack)的手法,即向员工发送包含恶意链接或附件的电子邮件。只要一名员工在这种电子邮件中点击一下,黑客们就能装上“远程访问工具”。这种软件可以窃取海量数据,包括密码、键盘按键、屏幕图像和文档,在某些情况下,还可以通过电脑的麦克风和摄像头录音、录像,并把这些信息全部传回攻击者的网络服务器。

《纽约时报》首席安全官迈克尔·希金斯(Michael Higgins)说,“攻击者不再硬闯我们的防火墙,而是转向了个人。他们把一串恶意代码发送到人们的邮箱里,人们打开这些代码时,就把他们放了进来。”

潜伏

黑客们一旦闯入,就很难把他们驱逐出去。比如,在2011年美国商会(United States Chamber of Commerce)被黑客闯入后,据商会员工称,这家贸易团体与FBI紧密合作并封闭了其系统。但数月之后,商会发现连接到互联网的设备,包括公司公寓中的一个恒温器和办公室内的一台打印机,仍然在与位于中国的电脑进行通讯。

《纽约时报》允许黑客用4个月时间布下一张数字罗网,从而查明黑客所使用的每一道数字后门,部分目的是想防止上述情况发生。《纽约时报》随后替换了每一台被侵入的电脑,并设置了新的防御手段,以期把黑客挡在门外。

负责Mandiant公司调查行动的安全顾问尼克·本内特(Nick Bennett)说,“攻击者们把某家公司当目标是有原因的,即使你把他们踢出去,他们还会努力重新闯入。我们希望,能够完全掌握他们闯入的程度,以便下次他们想要闯入时,我们可以迅速反应。”

据过去数月里进行的取证分析显示,黑客在去年9月13日有关温家的报道临近完成时侵入了《纽约时报》的电脑系统。他们在用户电脑上设置了至少三个后门。随后,他们以这几台电脑为数字基地,从那里出发四处窥探《纽约时报》的电脑系统,时间至少长达两周,直到他们找到了包含每个《纽约时报》员工用户名以及散列密码,也就是加密密码的域控制器。

尽管散列运算让黑客入侵更加困难,但人们依然可以通过使用所谓的“彩虹表”(rainbow table)轻易破解散列密码,彩虹表是一种现成的散列值的数据库,它涵盖了几乎所有一定长度以内的字母数字组合。一些黑客网站公布了多达500亿组的散列值。

调查者发现的证据显示,攻击者破解了密码,利用它们进入了若干台电脑。他们设计了定制软件,让他们从《纽约时报》的邮件服务器上搜索以及盗取张大卫和杨金新的电子邮件和文件。

在长达三个月的时间里,黑客安装了45种定制恶意软件。《纽约时报》使用的是赛门铁克(Symantec)生产的杀毒产品。据Mandiant公司介绍,《纽约时报》只有一次通过赛门铁克杀毒软件把一种黑客安装的软件识别为恶意软件,并隔离了该软件。

赛门铁克的一名发言人说,鉴于公司政策,公司不能对客户做出评论。

在《纽约时报》10月25日刊登关于温氏家族的文章后的一段时间,黑客表现得尤为活跃,特别是在11月6日美国进行总统大选的当晚尤其如此。这引起了《纽约时报》高级编辑的担忧,担心黑客可能会企图关闭报纸的电子或印刷出版系统。报社高层已经得知了黑客的入侵。不过,黑客的行动显示,他们的主要攻击目标依然是张大卫的日常往来邮件。

《纽约时报》首席信息官马克·弗朗斯(Marc Frons)说,“他们本来可以重创我们的电脑系统。不过,那不是他们的目的。”

他们似乎是在寻找那些可能给张大卫提供了信息的人的名字。

正如《纽约时报》之前所报道的,张大卫在这篇报道中的研究是以公开信息为基础的,其中包括从中国工商管理局得到的数千份公司资料。这些资料被用于调查温氏家族的商业利益,律师和咨询公司支付少量费用都可拿到这些资料。

艰难的追踪

追踪攻击的源头来自哪个团体或国家是相当困难的,因为黑客往往设法隐匿他们的身份和位置。

据Mandiant公司调查员透露,为了运作此次对《纽约时报》的间谍行动,黑客使用了众多受感染的计算机系统,这些系统注册于北卡罗来纳州、亚利桑那州、威斯康星州和新墨西哥州的己所大学,以及遍布全美的小型企业和互联网服务提供商。

黑客还不断更改IP地址。IP地址是一串唯一的数字,用来标识每台连接到互联网的设备,使其与全球数十亿台其他设备相区分,从而确保一台设备发送的消息或其他数据,能正确地传递到打算送达的设备上。IP是“互联网协议”(Internet protocol)的英语缩写。

用大学的电脑充当代理服务器,并经常改变IP地址,目的是为了掩盖攻击行为的真实来源地。调查人员认为,调查来源地就是中国。Mandiant公司的专家侦测到的攻击模式,与此前源头追溯到中国的攻击行为高度吻合。例如,谷歌曾在2010年遭到攻击,攻击者打开了中国人权活动人士的Gmail账户,调查人员发现,攻击来自中国的两所高校,其中一所与中国军方有联系。

安全专家表示,通过绕道其他国家的服务器实施入侵,并将攻击任务外包给熟练的黑客,中国军方可以有似乎很充分的理由否认嫌疑。

Mandiant公司首席安全官理查德·贝特利希(Richard Bejtlich)说,“如果孤立地观察每次攻击,你不能说,就是中国军方干的。”

但如果黑客的手法和攻击模式相似,这种迹象就说明,黑客是同一批人,或相互关联。

他说,“你看到同一个团体窃取中国异见人士和藏族活动人士的数据,之后又攻击一家航天公司,这就能把你引向正确的方向。”

Mandiant一直在追踪对美国境内和全球各地的组织机构实施间谍行为的约20个团体。该公司调查人员称,根据所用的恶意软件、被攻陷的指令控制中心,以及黑客使用的手法等证据判断,《纽约时报》是受到了一组中国黑客的袭击。Mandiant内部将这组黑客称为“12号APT”。

APT是“高度持续威胁”(Advanced Persistent Threat)的英语缩写,电脑安全专家和政府官员用这个术语描述有明确目标的攻击行为。许多人表示,它已经成了中国实施的攻击的代名词。美国电话电报公司和美国联邦调查局也在追踪这个黑客组织,它们也发现这个组织来自中国,但它们在内部对该组织有各自的叫法。

Mandiant称,这个黑客组织一直“十分活跃”,并已经攻入了数百家其他西方国家的机构,包括若干家美国军方的承包商。

为了摆脱这些黑客,《纽约时报》屏蔽了被侵入的外部电脑、清除了网络中的所有后门、更改了所有员工的密码,并在系统外围增加了安全措施。

目前这些措施似乎产生了作用。不过调查人员和《纽约时报》高管表示,他们预计还会有新的黑客入侵企图。

“事情还不算完,”Mandiant公司的贝特利希说。“他们攻击一个受害者攻击顺了手,往往还会回来。这不像是一个数字犯罪案例,入侵者偷了数据,然后就逃之夭夭。需要建立一种内部警戒机制。”

相关日志



from 墙外楼 http://www.letscorp.net/archives/45309?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+letscorp%2FaDmw+%28%E5%A2%99%E5%A4%96%E6%A5%BC%29