ZDNet新聞專區:Jonathan Skillings 2009/03/31 12:02:02
這波瞄準外國政府與機構的惡意軟體與網際網路攻擊中,中國被發現最有嫌疑。
最新的兩份研究報告都把網路間諜作為的根源指向中國。這兩份報告是各自完成的,一份是多倫多Munk國際研究中心所寫的「Tracking GhostNet」(追蹤鬼網),以及劍橋大學電腦實驗室的「The snooping dragon」(偷窺的龍)
根據CNN,被媒體問到這兩份報告時,中國分析師都認為這種說法過於誇大,有政治企圖。
另外,越南資安廠商BKIS也將預計在4月1日發作的Conficker蠕蟲源頭指向中國。BKIS週一指出,該公司發現Conficker程式碼跟2001年出現的Nimda病毒很像。
在週末公布的「Tracking GhostNet: Investigating a Cyber Espionage Network」報告中(追蹤鬼網:網際間諜網調查),加拿大研究員指出,鬼網感染了103個國家1295台電腦,其中有三分之一都是「高價值」目標,包括外交部、領事局、大使館、國際組織、新聞媒體與NGO(非政府組織)。
雖然該份報告仔細說明了鬼網運作模式,並認為中國政府對於運用網路進行策略性破壞具有高度興趣,但Munk中心研究員並沒有指出幕後黑手是誰:
「鬼網的性能影響深遠,這份報告顯示西藏電腦系統被破解後,導致攻擊者可存取許多機密資訊,包括達賴喇嘛私人辦公室的文件。這份報告也有證據顯示許多受害電腦都直指中國是幕後黑手,但該報告十分慎重,不願妄下定論臆測其動機或攻擊者的身份,或者受影響網路的狀況。該報告認為這種源頭有可能造假。」
鬼網使用的是所謂社交工程破壞,亦即針對西藏社群發出e-mail,其電子郵件網址刻意捏造是由「campaigns@freetibet.org」發出,郵件並夾帶一個Word文件檔,標題是「Translation of Freedom Movement ID Book for Tibetans in Exile」,該份Word文件檔則夾有病毒。
遭鎖定的電腦若被破解,損失十分慘重:
「系統會指引受害電腦下載一個稱為 gh0st RAT的木馬程式,允許攻擊者取得完整即時的存取權限,受害電腦經常性地會被來自位於中國海南帳戶經由商業網際網路所控制。」
「我們的研究顯示,鬼網可完整控制受害電腦,包括搜尋或下載特定檔案,並秘密操作周邊裝置,包括麥克風、與Web攝影機。」
該攻擊的主控電腦有70%的IP(Internet Protocol )位址來自中國;但研究員也發現伺服器有位於美國、瑞典、南韓與台灣。被感染的1300電腦中,台灣受害最嚴重,之後則是美國、越南與印度。
另一份劍橋大學的報告「The snooping dragon: social-malware surveillance of the Tibetan movement」,則毫不掩飾的直指中國政府是這波惡意攻擊的幕後指使者。「這是具有針對性的偵測攻擊,用意是搜尋有利情報來供一個專制國家的公安警察單位使用。」
兩份報告都指出這波跟西藏有關的惡意程式攻擊影響十分深遠,並警告IT專業人士與一般電腦用戶都應更具警覺心。從10年前地Melissa病毒到目前的Conficker蠕蟲,攻擊之所以能得逞都是因為電腦用戶沒有做好保護措施。
