黑鼠行动五年黑客攻击打击十四个国家

2018-06-25 29

美国、加拿大和韩国政府,以及联合国、国际奥委会和12个美国防务承包商,都是在安全公司迈克菲( McAfee )称之为“黑鼠行动”的五年黑客行动中遭到黑客攻击的,该行动揭露了这些攻击。许多侵入是长期的,19次侵入持续一年多,5次超过两次。在北美、欧洲、印度和东亚的14个不同国家发现了目标。

McAfee在对防御承包商的入侵进行调查的过程中,发现了一台被黑客用来指导远程管理工具的命令和控制服务器,从而发现了安装在受害组织中的名为“可疑RAT”的操作。服务器最初是在2009年检测到的;迈克菲于今年3月开始对服务器进行分析。公司在机器上发现了大量的攻击记录。从这一信息中积极确定了72个组织;该公司警告说,可能还有其他受害者,但没有足够的信息来确定他们是什么人。

攻击本身使用了目前标准的鱼叉式技术。显然,带有附件的合法电子邮件会发送给组织员工,这些附件包含危害员工系统的漏洞代码。这些攻击通常是零日攻击。现在电脑遭到破坏,黑客可以在受害电脑上安装RAT软件,以便进行长期监控、收集凭据、网络探测和数据过滤。

许多其他攻击也遵循相同的模式。今年,同样的技术被用于闯入安全公司RSA、法国和加拿大财政部以及许多石油和天然气公司。它还被用于2009年底发现的针对Google和其他公司的奥罗拉攻击行动。

此次攻击的第一个组织是一家韩国建筑公司,于2006年7月首次闯入。破门而入一直持续到2010年9月,当时印度政府机构遭到破坏。此后,数据盗窃事件持续不断,一家美国智库和一家美国新闻社驻香港办事处——据名利场报道是美联社——被掠夺到今年5月。

McAfee说,通过这些攻击窃取的数据总计达1pb。它去了哪里,谁用了它,现在还不得而知。目标是政府、科技和国防公司、非营利体育组织和智库的混合体。由于后一种情况,麦卡菲认为,袭击最有可能是由一名国家行为者实施的,因为这些体育组织的商业价值很低。该公司没有具体说明它认为应该对哪个国家负责,但战略与国际研究中心的吉姆·刘易斯在听取迈克菲介绍后指责中国是肇事者。中国以前曾被指控过此类袭击事件;刘易斯说,国际奥委会和台湾政府在遇难者名单上的出现进一步指向了中国。

安全公司正与美国政府机构合作,试图关闭命令与控制服务器。该公司还与受害者合作,向他们通报袭击情况,并协助他们作出反应。这些提议并不总是受到热烈的欢迎,有些受害者否认他们受到了损害,即使他们得到了压倒性的证据。

对于匿名和LulzSec收到的所有媒体来说,迈克菲警告说,这些长期、有针对性的攻击对公司和政府都是更严重的威胁。损失——知识产权和秘密的损失——要大得多,攻击者的动机不是想快速致富或寻找卢兹,而是想窃取大量数据的长期愿望,他们的尺度和韧性要大得多。威胁研究副总裁Dmitri Alperovitch说,攻击非常普遍,唯一没有风险的公司是那些没有价值的公司,而世界上最大的公司只有两种:知道自己受到危害的公司和还没有意识到自己受到危害的公司。