安全研究机构称近年网络攻击活动来自印度
| 2013-06-25 17:13
全球各国的各种组织一直都在受到网络攻击的侵扰,而这些攻击看起来是来自于一个极少与目标攻击活动有关的国家——印度。
过去几个月时间里,遍及三个大洲的民间计算机安全调查机构一直都在对这种情况展开调查,它们所发现的证据表明,遭受网络攻击的目标覆盖从巴基斯坦的国家利益到芝加哥商业交易所(CME)。
在网络安全领域中,一种普遍的观点是“一切都来自中国”,计算机安全公司Norman Shark的斯诺尔·法格兰(Snorre Fagerland)说道,这家公司从今年春天开始研究与网络攻击有关的问题。但当Norman Shark对可用数据进行研究以后,他“并未看到任何惯常迹象表明”攻击活动来自于中国,而是开始在为窃取数据而设计的软件中发现其他迹象,例如“很像是典型的印度人的姓名”等。
虽然安全公司和受害者已日益接近于鉴别网络攻击活动的来源,但有很多未解之谜仍旧徘徊不去,这凸显出在网络时代中对这种攻击活动进行监控有多么困难的现实情况。最基本的问题——找出谁应为计算机间谍活动负责——仍旧是一件很困难的事情,而与此同时,大规模黑客工具的制作和开发则正在迅速蔓延至印度等国家。
研究人员指出,黑客会使用电子邮件和文件为“诱饵”,也就是使用所谓的“鱼叉式网路钓鱼”技术,欺骗某些政府和公司职员运行恶意软件。这种软件被称为“恶意软件”,会从用户的计算机里窃取数据,甚至会监听并记录用户每一次按键,然后将这些数据发回给全球范围内的许多电脑中。目前还不清楚黑客在被它们攻破的系统中做了些什么,但从黑客们所窃取的文件来看,看起来它们对来自于研究机构和公司的文件很感兴趣。
反病毒软件厂商Norman AS旗下子公司Norman Shark已经找到了一些证据,证明黑客会利用600多个网站来传播其恶意软件以及收取被盗信息,而这些网站中有很多都是在印度注册的。Norman Shark发现,这些网络攻击活动的牺牲者可能包括挪威电信公司Telenor、芝加哥商业交易所、巴基斯坦国家灾害管理局(National Disaster Management Authority)和中国清华大学等。
Telenor称,挪威警方仍在对3月份发生的一次网络攻击活动展开调查;据去年的投诉记录显示,芝加哥商业交易所报称曾有黑客试图利用该交易所的电子邮件地址向联合国下属的一个仲裁机构行骗。芝加哥商业交易所拒绝就此置评,巴基斯坦国家灾害管理局和中国清华大学的发言人也尚未置评。
业界人士指出,虽然许多网络攻击活动的目标都指向巴基斯坦,但没有证据表明这些活动是在印度政府(或其他任何国家的政府)的支持下而发起的。印度计算机紧急应对小组(CERT-In)的负责人Gulshan Rai表示:“印度政府并未参与网络领域中任何性质的任何恶意攻击活动,并未鼓励任何人从印度的网络空间发起攻击活动。”他还补充道,印度政府不会聘用“任何行动者来攻击其他任何国家的基础设施”。
“今时不同往日,以前核弹爆炸以后你会知道是哪个国家涉身其中。”约翰霍普金斯应用物理学实验室(Johns Hopkins Applied Physics Lab)的网络安全高级顾问迪基·乔治(Dickie George)说道,他曾供职于美国国家安全局(NSA),但已在2011年退休。乔治查看了Norman Shark的研究报告,将其称为自己所看到的第一份将国际电脑数据窃案与印度联系到一起的“全面分析”。
Norman Shark的主要业务是出售安全分析服务,这家公司在去年年底公布了一份有关中东地区一个网络间谍网站的报告,指称这个网站使用恶意软件来监控以色列和巴勒斯坦的目标。
除了Norman Shark以外,还有其他四家独立运营的安全研究公司已经发现了类似的证据。美国安全公司CrowdStrike称,在过去18个月时间里,这家公司一直都在追踪印度黑客团体。其他发现了与印度黑客团体有关的恶意软件的三家安全公司则分别是:斯洛伐克安全软件公司ESET、印度安全公司Network Intelligence India和芬兰安全公司F-Secure Corp等。
在印度,有些业界人士对上述研究结果提出了质疑。推广数据保护实务和标准的印度行业组织数据安全委员会(Data Security Council)首席执行官 Kamlesh Bajaj指出,安全研究公司的报告并未提供“决定性的证据”证明网络攻击活动是从印度发起的。
对印度来说,网络战争的概念并不陌生,该国和巴基斯坦已经多次指称对方对彼此的多个网站进行了攻击。
在最近的一些攻击活动中,黑客用假名(其中包括宝莱坞明星的姓名)注册域名以避免被追踪,隐身于隐私权保护的大旗之下。这些黑客可能还使用了其他人的电脑,或是会不停改变的互联网地址。
在Norman Shark、CrowdStrike和Network Intelligence India研究的软件代码中,有一个词曾多次出现,那就是“Appin”,每家公司都发现了“Appin”的不同变体。在用于程序调试的恶意软件中,经常都会出现“AppinSecurityGroup”、“Appin”、“appinbot”和“appinclient”等字样。
“Appin”同时还是一家新德里安全公司的名称,这家公司的全称是Appin Security Group。Appin Security Group拥有650名员工,提供电脑服务和培训服务,该公司否认曾从事任何网络攻击活动,称有人冒用其名称,可能是一名前员工。Appin Security Group还表示,该公司并非世界上唯一在公司名称中使用“Appin”这个词的企业。
Appin Security Group的一名公司代表称,带有“Appin”一词的恶意软件“并不是由Appin或任何获得Appin许可的人所创造的”。这家公司提供了一份来自于洛桑大学(University of Lausanne)瑞士网络安全咨询和研究小组教授Solange Ghernaouti的信函,信中指出Norman Shark的报告并不“可靠,无法构成可证明任何事的‘证据’”。Ghernaouti教授拒绝就此置评。
据Norman Shark称,在2010年中,一个以Appin为名的网站曾被用来接收被窃数据,该网站的注册名为“"Appin Technologies”,联系人信息是一个名叫Rakesh Gupta的Appin员工,并将Appin位于新德里的公司总部列为邮政地址。Gupta并未就此置评。
Appin的律师并表示,该公司以往和现在都并未“拥有、注册或控制过这个域名”。律师还称,一名“前员工”正试图将其个人作品变成Appin服务的一部分。“一旦我们发现以后,就与他进行了面谈,现在我们相信那种活动已经停止了。”Appin说道。
Appin Security Group成立于2004年,该公司称其在过去四年时间里已经为10多万人提供了培训服务,培训范围覆盖从安全到编程乃至英语等多个领域。
虽然网络攻击活动的覆盖范围很广泛,但黑客并未对其窃取的数据进行严格管理。Norman Shark发现,多台接收来自恶意软件的数据的电脑都没有采取防护措施;也就是说,互联网上的任何用户都可轻松获取被窃数据。“我只能说,他们根本不看重自己窃取的数据。”法格兰在谈及这些黑客时说道。
前美国国家安全局官员乔治指出,黑客发起网络攻击的能力凸显了一件事情,那就是即便是新手也能轻松参与到这场游戏中来。他表示,黑客所使用的攻击类型不需要消耗太多时间,价格也并不高。“大概也就5000美元吧。”他在说起网络攻击活动中看到的恶意软件类型时说道。“在这个世界上,没有哪个国家承担不起这样的费用。”