旧金山——追踪发现,捷克共和国、葡萄牙、保加利亚、拉脱维亚和匈牙利五国外交部电脑遭受的攻击都源自中国黑客。
加州米尔皮塔斯的电脑安全公司火眼公司(FireEye)周二公布的一份报告显示,这些攻击始于2010年,现在仍在继续。
研究人员并未在报告中列明这些黑客攻击的目标,但《纽约时报》已通过攻击者网页列出的邮件地址确定,攻击目标是上述国家的外交部。一名了解调查但无权公开发言的人士证实,前述五国的外交部遭到了黑客入侵。
爱 德华·J·斯诺登(Edward J. Snowden)对国家安全局(National Security Agency)及其情报合作伙伴监听行为的曝光依然占据着众人的注意力,火眼公司的这份报告却提醒人们,中国黑客依然在发动以邮件为基础的简单攻击,入侵 政府和企业的电脑系统。
火眼公司的报告没有把相关袭击和中国的具体组织联系在一起,但安全专家表示,受害者名单表明这一行动与政府有关。
“其他组织往往攻击商业目标,与此不同的是,这一行动专门针对负责外交事务的部门,”协助主持火眼公司调查的研究人员纳尔特·维尔纳夫(Nart Villeneuve)说。
去年,还在东京的安全公司趋势科技(Trend Micro)担任研究员的维尔纳夫追踪了一系列攻击,这些攻击的目标是日本和印度的一些公司,以及一些藏族活动人士。当时他发现,发起攻击的人曾在四川大学读研究生,并且加入了中国的领先互联网公司腾讯。
维 尔纳夫说,目前的这些攻击具有极强的选择性。研究人员从2011年开始追踪这场黑客行动。根据恶意代码里隐藏的一条引用,他们把这场攻击行动称作 “Ke3Chang”。那年10月,20国集团(Group of 20,简称G20)在巴黎举行会议期间,该集团的多名财政部长成为了攻击目标。
攻 击者向目标发送电子邮件,邮件中有一个声称含有法国前总统尼古拉·萨科齐(Nicolas Sarkozy)的妻子卡拉·布吕尼-萨科齐(Carla Bruni-Sarkozy)裸照的链接。一旦目标点击链接,攻击者就能在目标的电脑网络中找到立足点。不过,调查人员表示,他们无法看出攻击者盗走了哪 些文件。火眼公司距攻击者最近的一次是在今年8月,当时,研究人员成功侵入了该组织23个指挥和控制服务器当中的一个,时间长达一周。其间他们发现,该服 务器侵入了21个不同的目标,其中包括前述五个欧洲国家的政府部门。
他们观察到了攻击者探查受害者的电脑网络并寻找高权限用户的过程,这类用户能让攻击者进入价值较高的目标的电脑。
这次观察向研究人员打开了一扇不多见的窗户,让他们看到了攻击者的技术,以及有关攻击者来源的线索。攻击者的恶意软件包含多个汉字串,一个用于侵入电脑的网页用的也是汉字。攻击者还曾用好几台机器来测试自己的恶意软件,机器的默认语言也是汉语。
“我们只知道攻击者是中国人,但却不知道他们是谁,也无法推测他们的动机,”维尔纳夫说。
中国外交部官员曾表示,中国不认可黑客行为,中国自身就是黑客攻击的受害者。周一,中国外交部的一名发言人没有回应置评请求。
安 全专家称,各国外交部一直是中国黑客的攻击目标。前美国国务院官员、华盛顿国际战略研究中心(Center for Strategic and International Studies)主任及高级研究员詹姆斯·A·刘易斯(James A. Lewis)说,此前,澳大利亚、英国、德国、法国、印度和加拿大的外交部都曾遭受黑客攻击,这些攻击都被追到了中国政府头上。
他说,“中国急于通过各国外交部收集贸易信息,此外也想看看,各国外交官对美国或日本持何种看法。”
火眼公司的高级研究主任罗布·拉什瓦尔德(Rob Rachwald)说,火眼还曾看到其他的一些黑客行动,行动中的黑客侵入了一些国家的外交部和智库,专门窃取与中国有关的政策文件的初期草稿。
拉什瓦尔德说,火眼已经通知了最近的受害者,但在许多情况下,受害者的回应仅仅是采取最基本的电脑安全防护措施。
捷克共和国外交部副发言人戴维·弗劳斯(David Frous)说他们无法就此置评。他说,“但我可以向你们保证,我们已经采取了一切措施来防止我们的电脑系统遭受黑客攻击。”
拉脱维亚外交部发言人卡尔利斯·埃亨包姆斯(Karlis Eihenbaums)表示无可奉告。葡萄牙、匈牙利和保加利亚外交部发言人都没有回应置评请求。
火眼公司的研究人员顺着三种不同形式的恶意软件追查到了Ke3Chang,进而发现,同一批黑客也对航空、能源、高科技、咨询、化学、制造业和采矿业领域的一些组织进行了攻击。
最近,这些黑客还试图引诱目标点击一封电邮里的链接,该链接声称包含美国可能会对叙利亚进行军事干预的信息。研究人员说,这些电子邮件是在最近一次20国集团会议召开之前发出的,该会议于今年9月在俄罗斯召开。
利 用时事来引诱攻击目标的做法并不新鲜。研究人员说,2012年3月,同一个组织还使用了关于伦敦奥运会的一封电邮。三个月后,这个组织又更改了来自反病毒 软件先驱迈克菲(McAfee)的一份安全报告,并在上面安装了恶意代码,这样一来,一旦攻击目标点击附件,攻击者就能在目标的机器上获得据点。
火 眼说,Ke3Chang攻击者费了很大的力气来掩饰自己的活动,经常会关闭自己用来进行黑客袭击的工具。研究人员虽然只确认了这些攻击者的23个命令-控 制服务器,但却通过相关网址查到了总计99个服务器——所有服务器都设在中国、香港和美国。他们还认为,已被侵入的电脑数量比他们能看到的多得多。
刘易斯说,“攻击外国目标实在是轻而易举,情报机构抵挡不了这种诱惑。”
加州米尔皮塔斯的电脑安全公司火眼公司(FireEye)周二公布的一份报告显示,这些攻击始于2010年,现在仍在继续。
研究人员并未在报告中列明这些黑客攻击的目标,但《纽约时报》已通过攻击者网页列出的邮件地址确定,攻击目标是上述国家的外交部。一名了解调查但无权公开发言的人士证实,前述五国的外交部遭到了黑客入侵。
爱 德华·J·斯诺登(Edward J. Snowden)对国家安全局(National Security Agency)及其情报合作伙伴监听行为的曝光依然占据着众人的注意力,火眼公司的这份报告却提醒人们,中国黑客依然在发动以邮件为基础的简单攻击,入侵 政府和企业的电脑系统。
火眼公司的报告没有把相关袭击和中国的具体组织联系在一起,但安全专家表示,受害者名单表明这一行动与政府有关。
“其他组织往往攻击商业目标,与此不同的是,这一行动专门针对负责外交事务的部门,”协助主持火眼公司调查的研究人员纳尔特·维尔纳夫(Nart Villeneuve)说。
去年,还在东京的安全公司趋势科技(Trend Micro)担任研究员的维尔纳夫追踪了一系列攻击,这些攻击的目标是日本和印度的一些公司,以及一些藏族活动人士。当时他发现,发起攻击的人曾在四川大学读研究生,并且加入了中国的领先互联网公司腾讯。
维 尔纳夫说,目前的这些攻击具有极强的选择性。研究人员从2011年开始追踪这场黑客行动。根据恶意代码里隐藏的一条引用,他们把这场攻击行动称作 “Ke3Chang”。那年10月,20国集团(Group of 20,简称G20)在巴黎举行会议期间,该集团的多名财政部长成为了攻击目标。
攻 击者向目标发送电子邮件,邮件中有一个声称含有法国前总统尼古拉·萨科齐(Nicolas Sarkozy)的妻子卡拉·布吕尼-萨科齐(Carla Bruni-Sarkozy)裸照的链接。一旦目标点击链接,攻击者就能在目标的电脑网络中找到立足点。不过,调查人员表示,他们无法看出攻击者盗走了哪 些文件。火眼公司距攻击者最近的一次是在今年8月,当时,研究人员成功侵入了该组织23个指挥和控制服务器当中的一个,时间长达一周。其间他们发现,该服 务器侵入了21个不同的目标,其中包括前述五个欧洲国家的政府部门。
他们观察到了攻击者探查受害者的电脑网络并寻找高权限用户的过程,这类用户能让攻击者进入价值较高的目标的电脑。
这次观察向研究人员打开了一扇不多见的窗户,让他们看到了攻击者的技术,以及有关攻击者来源的线索。攻击者的恶意软件包含多个汉字串,一个用于侵入电脑的网页用的也是汉字。攻击者还曾用好几台机器来测试自己的恶意软件,机器的默认语言也是汉语。
“我们只知道攻击者是中国人,但却不知道他们是谁,也无法推测他们的动机,”维尔纳夫说。
中国外交部官员曾表示,中国不认可黑客行为,中国自身就是黑客攻击的受害者。周一,中国外交部的一名发言人没有回应置评请求。
安 全专家称,各国外交部一直是中国黑客的攻击目标。前美国国务院官员、华盛顿国际战略研究中心(Center for Strategic and International Studies)主任及高级研究员詹姆斯·A·刘易斯(James A. Lewis)说,此前,澳大利亚、英国、德国、法国、印度和加拿大的外交部都曾遭受黑客攻击,这些攻击都被追到了中国政府头上。
他说,“中国急于通过各国外交部收集贸易信息,此外也想看看,各国外交官对美国或日本持何种看法。”
火眼公司的高级研究主任罗布·拉什瓦尔德(Rob Rachwald)说,火眼还曾看到其他的一些黑客行动,行动中的黑客侵入了一些国家的外交部和智库,专门窃取与中国有关的政策文件的初期草稿。
拉什瓦尔德说,火眼已经通知了最近的受害者,但在许多情况下,受害者的回应仅仅是采取最基本的电脑安全防护措施。
捷克共和国外交部副发言人戴维·弗劳斯(David Frous)说他们无法就此置评。他说,“但我可以向你们保证,我们已经采取了一切措施来防止我们的电脑系统遭受黑客攻击。”
拉脱维亚外交部发言人卡尔利斯·埃亨包姆斯(Karlis Eihenbaums)表示无可奉告。葡萄牙、匈牙利和保加利亚外交部发言人都没有回应置评请求。
火眼公司的研究人员顺着三种不同形式的恶意软件追查到了Ke3Chang,进而发现,同一批黑客也对航空、能源、高科技、咨询、化学、制造业和采矿业领域的一些组织进行了攻击。
最近,这些黑客还试图引诱目标点击一封电邮里的链接,该链接声称包含美国可能会对叙利亚进行军事干预的信息。研究人员说,这些电子邮件是在最近一次20国集团会议召开之前发出的,该会议于今年9月在俄罗斯召开。
利 用时事来引诱攻击目标的做法并不新鲜。研究人员说,2012年3月,同一个组织还使用了关于伦敦奥运会的一封电邮。三个月后,这个组织又更改了来自反病毒 软件先驱迈克菲(McAfee)的一份安全报告,并在上面安装了恶意代码,这样一来,一旦攻击目标点击附件,攻击者就能在目标的机器上获得据点。
火 眼说,Ke3Chang攻击者费了很大的力气来掩饰自己的活动,经常会关闭自己用来进行黑客袭击的工具。研究人员虽然只确认了这些攻击者的23个命令-控 制服务器,但却通过相关网址查到了总计99个服务器——所有服务器都设在中国、香港和美国。他们还认为,已被侵入的电脑数量比他们能看到的多得多。
刘易斯说,“攻击外国目标实在是轻而易举,情报机构抵挡不了这种诱惑。”
from 纽约时报中文网 http://cn.nytimes.com/technology/20131210/c10hacks/
