Pages

Friday, 1 February 2013

纽约时报遭中国黑客连续数月攻击

研究人员还不清楚这些黑客最初如何闯入了《纽约时报》的系统。他们怀疑这些黑客使用的是一种称为“鱼叉式钓鱼攻击”(spear-phishing attack)的手法,即向员工发送包含恶意链接或附件的电子邮件。只要一名员工在这种电子邮件中点击一下,黑客们就能装上“远程访问工具”。这种软件可 以窃取海量数据,包括密码、键盘按键、屏幕图像和文档,在某些情况下,还可以通过电脑的麦克风和摄像头录音、录像,并把这些信息全部传回攻击者的网络服务器。
《纽约时报》首席安全官迈克尔·希金斯(Michael Higgins)说,“攻击者不再硬闯我们的防火墙,而是转向了个人。他们把一串恶意代码发送到人们的邮箱里,人们打开这些代码时,就把他们放了进来。”
潜伏
黑客们一旦闯入,就很难把他们驱逐出去。比如,在2011年美国商会(United States Chamber of Commerce)被黑客闯入后,据商会员工称,这家贸易团体与FBI紧密合作并封闭了其系统。但数月之后,商会发现连接到互联网的设备,包括公司公寓中 的一个恒温器和办公室内的一台打印机,仍然在与位于中国的电脑进行通讯。
《纽约时报》允许黑客用4个月时间布下一张数字罗网,从而查明黑客所使用的每一道数字后门,部分目的是想防止上述情况发生。《纽约时报》随后替换了每一台被侵入的电脑,并设置了新的防御手段,以期把黑客挡在门外。
负责Mandiant公司调查行动的安全顾问尼克·本内特(Nick Bennett)说,“攻击者们把某家公司当目标是有原因的,即使你把他们踢出去,他们还会努力重新闯入。我们希望,能够完全掌握他们闯入的程度,以便下次他们想要闯入时,我们可以迅速反应。”
据过去数月里进行的取证分析显示,黑客在去年9月13日有关温家的报道临近完成时侵入了《纽约时报》的电脑系统。他们在用户电脑上设置了至少三个后 门。随后,他们以这几台电脑为数字基地,从那里出发四处窥探《纽约时报》的电脑系统,时间至少长达两周,直到他们找到了包含每个《纽约时报》员工用户名以 及散列密码,也就是加密密码的域控制器。
尽管散列运算让黑客入侵更加困难,但人们依然可以通过使用所谓的“彩虹表”(rainbow table)轻易破解散列密码,彩虹表是一种现成的散列值的数据库,它涵盖了几乎所有一定长度以内的字母数字组合。一些黑客网站公布了多达500亿组的散列值。
调查者发现的证据显示,攻击者破解了密码,利用它们进入了若干台电脑。他们设计了定制软件,让他们从《纽约时报》的邮件服务器上搜索以及盗取张大卫和杨金新的电子邮件和文件。
在长达三个月的时间里,黑客安装了45种定制恶意软件。《纽约时报》使用的是赛门铁克(Symantec)生产的杀毒产品。据Mandiant公司介绍,《纽约时报》只有一次通过赛门铁克杀毒软件把一种黑客安装的软件识别为恶意软件,并隔离了该软件。
赛门铁克的一名发言人说,鉴于公司政策,公司不能对客户做出评论。
在《纽约时报》10月25日刊登关于温氏家族的文章后的一段时间,黑客表现得尤为活跃,特别是在11月6日美国进行总统大选的当晚尤其如此。这引起 了《纽约时报》高级编辑的担忧,担心黑客可能会企图关闭报纸的电子或印刷出版系统。报社高层已经得知了黑客的入侵。不过,黑客的行动显示,他们的主要攻击 目标依然是张大卫的日常往来邮件。
《纽约时报》首席信息官马克·弗朗斯(Marc Frons)说,“他们本来可以重创我们的电脑系统。不过,那不是他们的目的。”
他们似乎是在寻找那些可能给张大卫提供了信息的人的名字。
正如《纽约时报》之前所报道的,张大卫在这篇报道中的研究是以公开信息为基础的,其中包括从中国工商管理局得到的数千份公司资料。这些资料被用于调查温氏家族的商业利益,律师和咨询公司支付少量费用都可拿到这些资料。
艰难的追踪
追踪攻击的源头来自哪个团体或国家是相当困难的,因为黑客往往设法隐匿他们的身份和位置。
据Mandiant公司调查员透露,为了运作此次对《纽约时报》的间谍行动,黑客使用了众多受感染的计算机系统,这些系统注册于北卡罗来纳州、亚利桑那州、威斯康星州和新墨西哥州的己所大学,以及遍布全美的小型企业和互联网服务提供商。
黑客还不断更改IP地址。IP地址是一串唯一的数字,用来标识每台连接到互联网的设备,使其与全球数十亿台其他设备相区分,从而确保一台设备发送的消息或其他数据,能正确地传递到打算送达的设备上。IP是“互联网协议”(Internet protocol)的英语缩写。
用大学的电脑充当代理服务器,并经常改变IP地址,目的是为了掩盖攻击行为的真实来源地。调查人员认为,调查来源地就是中国。Mandiant公司 的专家侦测到的攻击模式,与此前源头追溯到中国的攻击行为高度吻合。例如,谷歌曾在2010年遭到攻击,攻击者打开了中国人权活动人士的Gmail账户, 调查人员发现,攻击来自中国的两所高校,其中一所与中国军方有联系。
安全专家表示,通过绕道其他国家的服务器实施入侵,并将攻击任务外包给熟练的黑客,中国军方可以有似乎很充分的理由否认嫌疑。
Mandiant公司首席安全官理查德·贝特利希(Richard Bejtlich)说,“如果孤立地观察每次攻击,你不能说,就是中国军方干的。”
但如果黑客的手法和攻击模式相似,这种迹象就说明,黑客是同一批人,或相互关联。
他说,“你看到同一个团体窃取中国异见人士和藏族活动人士的数据,之后又攻击一家航天公司,这就能把你引向正确的方向。”
Mandiant一直在追踪对美国境内和全球各地的组织机构实施间谍行为的约20个团体。该公司调查人员称,根据所用的恶意软件、被攻陷的指令控制 中心,以及黑客使用的手法等证据判断,《纽约时报》是受到了一组中国黑客的袭击。Mandiant内部将这组黑客称为“12号APT”。
APT是“高度持续威胁”(Advanced Persistent Threat)的英语缩写,电脑安全专家和政府官员用这个术语描述有明确目标的攻击行为。许多人表示,它已经成了中国实施的攻击的代名词。美国电话电报公 司和美国联邦调查局也在追踪这个黑客组织,它们也发现这个组织来自中国,但它们在内部对该组织有各自的叫法。
Mandiant称,这个黑客组织一直“十分活跃”,并已经攻入了数百家其他西方国家的机构,包括若干家美国军方的承包商。
为了摆脱这些黑客,《纽约时报》屏蔽了被侵入的外部电脑、清除了网络中的所有后门、更改了所有员工的密码,并在系统外围增加了安全措施。
目前这些措施似乎产生了作用。不过调查人员和《纽约时报》高管表示,他们预计还会有新的黑客入侵企图。
“事情还不算完,”Mandiant公司的贝特利希说。“他们攻击一个受害者攻击顺了手,往往还会回来。这不像是一个数字犯罪案例,入侵者偷了数据,然后就逃之夭夭。需要建立一种内部警戒机制。”