“黑客主义”的兴起
作者:卡巴斯基实验室全球研究和分析团队总监 Costin Raiu
2011 年已经过去,我们有必要回顾一下过去12 个月中IT 安全领域所发生的重大事件。如果必须用一个词总结这过去的一年,我觉得“火爆”这个词非常贴切。这一年,发生了太多的事件、故事,揭露了众多真相,同时也出现很多新的趋势和新的主角,所以,要选择2011 年十大安全事件并不容易。我挑选这些事件的目的是让大家记住这些故事,同时了解其代表的最新安全趋势以及登上安全舞台的新主角。通过了解这些事件,我们能够预测2012 年的安全形势。
1.“黑客主义”的兴起
我想,任何阅读本文的读者肯定都听说过Anonymous 和LulzSec,还可能有 TeaMp0isoN。在过去的2011 年中,这些黑客组织同其它黑客组织一起,积极投入到针对执法机关、银行、政府、安全公司以及大型软件公司的攻击行为中。有时候,他们协同作战,有时候又各自为战,这些黑客团体无疑是2011 年安全领域最重要的角色之一。它们制造出众多安全事件,如联合国网络、FBI 承包商IRC Federal、美国国防部承包商ManTech 以及CIA 被黑事件。有趣的是,有些安全事件,如Stratfor 被黑事件,暴露出很多安全问题,包括CVV 号码采用未加密格式储存,或者系统管理员使用强度非常弱的密码。
整体来看,黑客主义兴起是2011 年的主要安全趋势之一。毫无疑问,这一趋势在2012 年仍将继续,并且还会因此产生类似的安全事件。
2.HBGary Federal 被黑事件
虽然这一事件同上述的黑客组织攻击有关,但是我认为有必要将其单独列为一个事件。2011 年1 月,来自Anonymous 黑客组织的黑客通过SQL 注入攻击方式,攻陷了GBGary Federal 公司的网页服务器—— hbgaryfederal.com。黑客想办法获取到多个MD5 哈希值,其中包括公司CEO Aaron Barr 和COO Ted Vera所使用的密码。不幸的是,他们所使用的密码均十分简单,仅包括六位小写字母和两位数字。通过这些密码,黑客获取到该公司的研究资料以及储存在Google App 上的数万份电子邮件。我认为这一事件具有典型性,因为其发生的前提很巧。首先,使用的密码强度较弱,而且公司使用的是较为陈旧的软件系统,而且还使用了云存储技术,最终这些因素导致了一场安全噩梦。如果公司的CEO 和COO 都是用高强度密码,这一攻击事件可能就不会发生。或者,如果他们在Google App 中使用多重认证系统,攻击者也不会轻易获取超级账号,将公司的电子邮件全部拷贝下来。另外,需要指出的是,即使该公司所采用的安全措施都到位了,我们仍然不能排除黑客通过其它途径将其攻陷的可能,因为黑客可能会发现其它的入侵渠道。
攻击者具有持久的耐心和不懈的决心,再加上大量的时间,使得他们能够最终攻击成功。
3. 高级持续性威胁
虽然很多安全专家对于这一词汇颇有微词,但是该词汇确实被主流媒体所引用,并且因为RSA 安全事件或Night Dragon 行动、Lurid 和Shady Rat 等类似的事件成为一个热门词汇。但是有趣的是,很多这样的网络攻击行为所采用的技术和手段并不高超。另一方面,很多这样的安全事件中,网络黑客都采用了零日漏洞攻击,例如RSA 被黑事件中。该案例中,攻击者利用Adobe Flash Player 中的CVE-2011-0609 漏洞,在被攻击计算机上运行恶意代码。而在针对美国国防部承包商ManTech 的针对性攻击中,黑客则利用CVE-2011-2462 漏洞发起攻击,该漏洞是一个存在于Adobe Reader 中的零日漏洞。很多攻击都是以美国为目标,同美国军方或政府有合作的公司更是首当其冲。Lurid 攻击的目标主要是东欧国家,例如俄罗斯或其它独联体国家。这些攻击表明网络武器超级大国的出现,意味着网络间谍行为已经变得普遍。此外,很多这样的攻击似乎之间都有关联,甚至是全球范围内攻击的一部分。例如,RSA 被黑事件中造成SecurID 电子口令数据库失窃,而这些电子口令之后则被用在其它攻击中。
4.Comodo 和DigiNotar 被黑事件
2011 年3 月15 日,知名安全软件和SSL 电子证书发放公司Comodo 的一个下属公司遭黑客攻陷。攻击者很快利用其基础设施,创建了九个假冒的数字证书,其中包括针对mail.google.com、login.yahoo. com、addons.mozilla.com、和 login.skype.com 等的电子证书。调查过程中,Comodo 最终确认攻击者的IP 地址来自伊朗的德黑兰,IP 地址为212.95.136.18。但是,仅从攻击规模来说,这次攻击同针对 DigiNotar 的攻击相比,规模要小得多。2011 年6 月17 日,黑客开始对DigiNotar 服务器发起攻击。在接下来的五天内,黑客获取到该公司的基础设施访问权限,并且创建了超过300 个假冒数字证书。黑客还以数字证书的形式进行了留言,留言为波斯语,内容为“了不起的黑客,我将解密所有的加密内容,我将摧毁你”。几天后,该假冒的数字证书被用来发动针对十万个Gmail 用户的中间人攻击,攻击来自伊朗,更证实了此次攻击同伊朗有关。
早在这些案例之前,大家对证书发放机构(CA)的信任度就有所下降,这些事件更是加剧了这一情况。未来,针对CA 机构的攻击可能会越来越多,而且采用数字签名的恶意软件也可能会逐渐增多。
5. Duqu 木马
2010 年6 月,来自白俄罗斯VirusBlokada 公司的研究人员Sergey Ulasen 发现了一款复杂的恶意软件。该恶意软件似乎采用了被盗数字证书对其驱动进行签名,而且还利用典型的Autorun 方式复制自身,并包含.Ink 文件零日漏洞利用程序。这一恶意软件迅速走红,并且被命名为Stuxnet。Stuxnet 是一种计算机蠕虫,其攻击目标非常特殊,直接攻击目标是伊朗的核设施。Stuxnet 劫持伊朗的Natanz 电站所使用的西门子PLC 系统,将其重新编程。其行为只有一个目的,就是破坏Natanz 的浓缩铀加工设施。当时,我看到该恶意程序的代码能够对控制64000 转离心机的PLC 系统进行重新编程,觉得不可思议。因为如果没有接触到原理图和源代码,是不可能写出这样的代码的。但是,攻击者是如何获取到这些敏感的代码的呢?而且这些代码还控制着价值上百亿美元的设施。
答案可能就在Duqu 木马中,因为Duqu 木马和Stuxnet 出自同一群恶意软件编写者。Duqu 最早于2011 年 8 月被匈牙利研究实验室CrySyS 发现。最初,我们还不清楚Duqu 木马是如何感染攻击目标的。后来,能够利用CVE-2011-3402 漏洞的恶意Word 文档被发现,并且是Duqu 入侵攻击目标的手段之一。Duqu 木马的目的同Stuxnet 非常不同。该木马其实是一个复杂的攻击工具,可以用来攻破系统,从而榨取其中的信息。此外,该木马还能加载新的模块并联机运行,不会留下文件系统足迹。Duqu 木马具有高度模块化的架构,并且在全球只感染了很少的系统,使得其出现多年以后才被发现。最早的Duqu 相关活动其实早在2007 年8 月就已经出现。我们分析这些攻击事件,发现攻击者都使用被攻陷服务器组成基础设施从受感染计算机上转移数据,有时候这些数据甚至有数百兆大小。
Duqu 和Stuxnet 是目前最为先进的网络武器。它们的出现预示着我们已经进入网络冷战时代。由于真实战争具有局限性,所以一些超级势力开始利用网络武器互相攻击。
网友评论