在今天看見明天
熱門: 配息 玉山金 pimco esg 房地產

中國「隱形間諜」入侵美國

中國「隱形間諜」入侵美國

陳曉夫

國際瞭望

591期

2008-04-17 17:23

美國最敏感電腦網路遇襲事件不斷增加,從五角大廈、武器包商、到大型民間企業無一倖免,中國成為眾失之的,這塊驚人的安全漏洞有多嚴重?

美國博思艾倫管理顧問公司(Booz Allen Hamil-ton)的一位主管,接到由國防部五角大廈發來的一封電子郵件,內容是印度想採購的武器清單。

經查證,這郵件是幾可亂真的假貨。原來在那些飛機、引擎與雷達裝備採購明細底下,暗藏所謂「毒長春藤」(Poison Ivy)電腦程式,使得假造這封信的人,可以從這家市值四十億美元的顧問公司的電腦網路中,竊取資料。

這封來路不詳的郵件,根本不是國防部發出的。如果博思艾倫的這位主管點擊了附件,「神祕客」就能監視這位主管在電腦上的一舉一動、任何指令。而「神祕客」是登記在cybersyndrome.3322.org這個網址,中國一家名不見經傳的公司。


 
軍用網路入侵事件增五五%

兩年來,美國政府與其國防包商,遭到空前規模的類似電腦攻擊。前國家安全高級官員庫茲(Paul B. Kurtz)說,「這是一場大規模間諜攻勢。」根據國土安全部接獲的報告,上個會計年度共發生電腦安全事故一萬二九八六起,是前兩年的三倍。

國防部全球網路作戰聯合特戰中心負責人克魯(Charles E. Croom)中將說,軍用網路入侵事件去年已經增加五五%。像博思艾倫這類民營企業,近年來也淪為駭客攻擊的犧牲品。克魯說,「他們替我們製造武器系統,他們網路上有我們的情資,這些情資不能落入敵手。」

去年夏天,全美二十家最大國防包商的執行長或代表,祕密前往國防部,出席一項「威脅簡報」。美國《商業周刊》獲悉,美國政府已經展開一項名為拜占庭據點(Byzantine Foothold)的祕密行動,以偵測、追蹤、擊潰這些網路入侵。布希總統已在一月八日悄悄簽署所謂「網上行動」(Cyber Initiative)命令,以數百億美元整頓美國電腦防務。

據悉,這項行動總共有十二項目標,其中一項明文規定,到今年六月,所有政府機構必須將連接網際網路的通訊頻道數,從四千多個減到一百個以下。駭客攻擊事件的規模與緊急性,由此可見。

四月八日,國土安全部長齊托夫(Michael Chertoff)稱這項總統令為電腦安全的「曼哈頓計畫」(Manhattan Project,編按:二戰期間美國原子彈研發計畫)。


 
矛頭指向中國間諜行動

但許多安全專家擔心,網際網路已經大得難以控制。六○年代發明網際網路的國防部先進研究計畫署(Advanced Research Projects Agency),現在開始悔不當初,認為自己造了一頭怪物。

令華府更加膽戰心驚的是,根據美國政府官員的說法,許多發動攻擊的新駭客,是有外國政府撐腰的專家。軍方與情報人士說,美國最大的駭客威脅來自中共。國防部三月三日向國會發表的中國軍力年報中指出,「全球各地無數電腦網路,包括美國政府擁有的網路,去年遭到很可能是來自中國的入侵。」布希的網上行動命令,也開門見山地直指中共。

華府中國大使館發言人說,這一切指控都沒有根據,都是「反華勢力」幕後指使的。他說,中國政府一直反對、也禁止一切網路犯罪,包括危害電腦網路安全的駭客行為。他還說,中國「經常遭到某些國家駭客的入侵與攻擊,」本身也是受害人。由於活躍於網路的數位間諜與竊賊,可以在下毒時運用假身分,隱藏實際位置,想找出特定攻擊者往往幾乎不可能。

美國國家情報局(National Intelligence)官員不願對拜占庭據點等「特定代號行動」,或「特定入侵或受害事件」置評。但他表示,「大範圍關鍵性基礎設施,與國防工業基地的各式政府與企業網路,已經遭到電腦入侵。」白宮也以機密為由,不願談論網上行動令。

發給博思艾倫的那封源自中國、經美國《商業周刊》取得的電郵,讓我們一睹美國電腦敵人的強大威力。


 
毫無破綻的電子敵人

去年九月五日,美東時間八時二十二分,博思艾倫國際軍援項目副總穆亨(John F. "Jack" Mulhern)接到這封郵件。穆亨曾是美國海軍軍官,在博思艾倫軍事顧問部門工作三十三年,是美國武器外銷外國政府的專家。郵件中談到「美、俄與印度武器暨航空電子系統整合」,還說明印度政府希望「將來源程式碼交給印度,協助本國電腦能力升級」,以身為武器銷售專家的穆亨看來,這郵件用了許多只有專家才理解的術語,應該不假。更令人信服的是郵件上註明的發件人摩里(Stephen J. Moree)。

摩里是文職人員,他的單位直接受命於空軍部長韋恩(Michael W. Wynne),評估美國軍機外銷正是摩里的職掌。摩里傳送這份高度技術性文件,加以電郵主題項中提到的印度MRCA招商規畫書,令人難以起疑。因為印度政府一周以前,剛在八月二十八日發表這項招商規畫書,電郵中又提到空軍即將舉行「團隊合作會議」,討論這項交易,更增加了它的可信性。

但摩里寄給穆亨的這封郵件是假的。三位電腦安全專家為美國《商業周刊》進行的電郵路徑分析顯示,郵件寄件人是身分不明的駭客,信件通過南韓一處網址,經過紐約一部Yahoo!伺服器,最後進入穆亨的博思艾倫收件匣。

分析也顯示,一經受害人開啟,藏在附件中的帶毒程式,即所謂惡意程式(malware),能追蹤受害人的鍵盤操作,而使類似微軟Access資料庫檔案密碼保護程式形同虛設。這類保護程式正是美國國防工業等大型組織用來管理大批資料的程式。

這作法雖不是目前電子竊賊使用的最精密科技,但一位要求匿名的著名電腦安全公司高級主管說,「如果你在Access資料庫存了敏感資料,這程式可以隨意進出。」

但植入這封假郵件的毒軟體,還有一種更令人擔憂的能力。它是一種所謂「遙控行政工具」,即RAT,能使攻擊者享有對個人電腦的主控權,當使用者在網路瀏覽時,RAT能隱藏在背景中,暗中窺伺。之後,它將竊得的資料回報給目前登記在cybersyndrome.3322.org名下的郵址,交給它的「主人」。

追蹤cybersyndrome.3322.org的數位蹤跡,以及之後應美國《商業周刊》之請而進行的分析,都指向中國最大的一家網域名註冊與電郵服務公司3322.org。


 
德、法、英國上演「龐德片」

美國高級官員很清楚最近這波駭客攻勢來自何方。接受美國《商業周刊》訪談的十餘位現任與前任美國軍方、電腦安全、與情報官員說,中國是最大敵人。電腦安全公司網上防衛社(Cyber Defense Agency)負責人、前國安署主管沙賈利(O. Sami Saydjari)說,擁有五百七十億美元年度預算的中國人民解放軍,訓練了「數以萬計」的人,專責攻擊美國電腦網路。

今年二月底,在參院軍事委員會作證時,極力鼓吹美國政府加強網路安全防護的國家情報局局長麥康奈(Michael McConnell),也認為威脅來自中國。中國指使駭客攻勢的疑雲,去年擴散到德國、法國與英國。英國主管國內情報的軍情局第五處,由於握有足夠證據,相信由中國政府指使的駭客正侵入、竊取企業機密,處長伊凡斯(Jonathan Evans)向三百家企業、會計公司與法律公司,遞交一封罕見的警告信,並向一群網路安全專家求助,以資對抗。受雇於第五處的著名安全顧問雅普(Peter Yapp)說,「這情節彷彿是在演一部龐德片,大家都認為,這事不可能發生在我身上,但事實是已經發生了。」


 
中國3322.org已成駭客溫床

美國及外國政府、國防包商、與企業網路在過去兩年遭到的駭客攻擊,經過追蹤調查,發現它們多出自透過3322.org這類中國網域名服務而登記的網址。三月底,美國《商業周刊》在鄭州一棟住宅十四樓訪問了3322.org主人彭榮(譯音)。彭榮說,他在七年前以一萬四千美元建了3322.org,,推出以後生意興隆,目前已登記了一百多萬網域名,以.com, .org, or .net為結尾的「最高檔」名字,每年收費十四美元。

但電腦安全專家與國土安全部電腦緊急備戰小組(CERT)認為,3322.org,也成為駭客的最愛,這是因為3322.org,與另五個彭榮控制的姊妹網站,都提供DNS服務。一部電腦在網上的位置以一組數字為代表,而DNS就像一本網際網路電話簿一樣,為這組數字命名。舉例說,3322.org是cybersyndrome.3322.org 在網址61.234.4.28的登記名。

彭榮的3322.org與姊妹網站,已經引起美國政府與民營公司關注。電腦安全公司Team Cymru在三月七日送交客戶的一份機密報告中,說明駭客如何運用3322.org發動近來的多次攻擊。這份報告說,Team Cymru收到一封「假冒美國軍方某單位寄來的電郵,電郵的PowerPoint附件中植了一個毒軟體」。而控制這個毒軟體的電腦正是Cybersyndrome.3322. org,與攻擊博思艾倫的是同一部。報告指出,儘管cybersyndrome網址未必坐落中國,但與它直接通信的最主要五部電腦都在中國,而且其中四部登記在一家大型國營網際網路服務供應商名下。

據熟悉內情人士表示,Team Cymru已經找出一萬多個透過3322.org進行駭客作業的毒軟體樣本。遭到3322.org電腦攻擊、提出報告的組織,還包括民權團體學生支持西藏自由協會(Students for a Free Tibet)、歐洲議會、與U.S. Bancorp這家大銀行。


 
毒蛇四竄卻束手無策

美國國土安全部緊急備戰小組去年年底提出、經美國《商業周刊》獲得的一份機密報告,指明彭榮的業務有問題。報告中警告美國企業將安全軟體升級,阻絕與十餘個網址的網上交通。報告中說,「這些網路安全事件的精密度與規模,顯示它們是一種以民營系統為攻擊對象的協調作業」。報告中列出的問題網站包括彭榮經營的3322.org、8800.org、9966.org、與8866.org。

彭榮表示,駭客利用他的服務下毒的事,他一概不知。他說,美國電腦遭到入侵與他的生意無關,「就像我們只是鋪了一條路,至於什麼樣的駕駛人使用這條路,不是我們所能過問。」他在四月七日表示,他近來忙著發展網路電話,想關掉這些網站。美國《商業周刊》要求調閱cybersyndrome.3322.org登記資料,彭榮說,這個網域名登記人是中國鐵道部附屬單位甘肅鐵道通信公司,但基於保密條款,他不能透露客戶資料。

美國網路安全專家說,中國政府如果真的有意制止,駭客很難利用中國境內的電腦,對美國實體發動如此大規模的攻擊。網上防衛社的沙賈利說,「中國有全世界控制最嚴密的網際網路,出現在網上的一切都須經過政府批准。」對有關3322.org的詢問,中國政府發言人則拒絕置評。

但彭榮說,如果駭客真的利用他的服務作怪,他也無能為力,而且中國政府也不鼓勵他採取嚴厲行動。他說,「一般而言,遇到這類問題,我們的解決之道就是關閉網站。因為我們的法律並無處理這類問題的明文規定,有時我們想切斷服務也辦不到。」就目前看來,似乎美國政府對這一切也同樣束手無策。
 
(By Brian Grow, Keith Epstein,and Chi-Chu Tschang)


發展中的危機
美國政府與國防工業遭到的重大攻擊,與它們的代號

 
太陽升起(Solar Sunrise)
1998年2月。空軍與海軍電腦遭到病毒程式攻擊,這程式在一個廣為使用的企業軟體作業系統中打了一個洞,還用自己的塗料填補。之後,它並無進一步行動。其中有些攻擊取道阿拉伯聯合大公國而來,當時美國正在準備對伊拉克用兵。後來發現,發動這些攻擊的是加州克洛佛岱爾(Cloverdale)的兩名青少年,與一名自稱「Analyzer」的以色列人。

 
月光迷宮(Moonlight Maze)
1998年3月直到1999年年底。攻擊者運用特別程式進入美國國防部、國家航空暨太空總署、能源部、與全美各地武器實驗室網站。大批非機密資料被竊。熟悉本案調查工作的人士說,「失竊資料最後送入俄羅斯境內」,但攻擊主謀人身分一直未經查明。俄羅斯政府否認與事件有關。

 
巨雨(Titan Rain)
2004年。據信置身於中國的駭客,潛入國防包商洛克希德·馬丁(Lockheed Martin)、桑迪雅國家實驗室(Sandia National Labs)、與航太總署電腦網路,竊取機密資料。桑迪雅網路安全分析師夏恩·卡本特(Shawn Carpenter)發現網路遭到入侵。在他就事件向美國軍方與聯邦調查局提出報告後,桑迪雅將他解雇。卡本特之後控告桑迪雅不當解雇,2007年2月,陪審團判桑迪雅賠償他470萬美元。

 
拜占庭據點
2007年。國務院直到波音(Boeing)等許多組織的網路,遭到一種使用精密科技的新形式攻擊。軍方網路安全專家發現,這波攻擊「幕後有國家、政府資源撐腰」。他們稱這類型攻擊為「先進持續性威脅」。一項稱為「情報界評估」的機密文件,詳細記述了這些事件。美國官員說,這些攻擊有許多來自中國,中國已否認。

 
 
魚叉式駭客攻擊剖析
成功的魚叉式駭客攻擊的三個階段

 
網路偵測
線上詐術未必要以圈內人或非法取得的資訊打頭陣。發動攻擊的人可以在線上搜尋,研究公共文件、聊天室與部落格,針對目標人的職位、責任、與個人網路建立數位檔案。

 
構建魚叉
攻擊人寫一封電子郵件,並附上受害人很可能予以點擊的網路連結或附件。魚叉攻擊經常運用的連結或附件主題,計有新聞事件、營利成果與含有真正資訊的Word與PowerPoint文件。電郵地址也經精心製作,使之看來像是來自合理的寄件人。

 
收成資料
當受害人打開附件或點擊網路連結時,暗藏其中的帶毒程式就能掃描文件檔案,偷取密碼,將資料送往一處通常位在外國的「指管」伺服器,供進行研究。
 

延伸閱讀

噁心、想吐、拉肚子...天氣越熱越要小心食物中毒!毒理專家列常見6罪魁禍首,5招避免憾事發生

2024-03-27

寶林刻意漏報「這分店」繼續營業、拿過期保單稽查「最高罰300萬」!粿仔條曾供貨雙北10小吃店

2024-03-28

饗食天堂客人食物中毒,廚師上周就上吐下瀉!這分店勒令停業1天...諾羅病毒有多毒?症狀有哪些

2024-02-07

食物中毒?「寶林茶室」1死8通報!他們都吃了2種食物…衛生局揪3缺失、急診醫疑「這毒素」釀禍

2024-03-26

吃冰吃到血便、腎衰竭!高雄冰店爆44人食物中毒「老闆也拉肚子」遭停業…沙門氏菌有多可怕?

2023-07-18