微剋多資訊

 找回密碼
 註冊

Login

Login

搜索
回覆 0則 瀏覽 836篇

紅色十月

該用戶從未簽到

發表於 2013-2-6 11:25 | 顯示全部樓層 |閱讀模式
鉅亨看世界-「紅色十月」
鉅亨網 楊琇羽  2013-02-06 07:23:22

「紅色十月」行動災區示意圖(圖片取自Kaspersky lab官網)

■ 木馬惡行始作俑者?

在過去五年,電腦病毒「紅色十月(Red October)」不斷有新的攻擊行動,專門竊取全球各國外交官的電郵及其它加密的檔案。

在莫斯科東北部,座落一幢不甚起眼的建築,但這座建築卻為全球電腦用戶築起安全防火牆,封鎖網路與防止駭客的攻擊,一方面也主動出擊獵殺電腦病毒。現年 28 歲的白俄羅斯人 Vitaly Kamlyuk 就在這裡服務,他蓄著一頭長髮,打著一條光滑的黑色絲質領帶,坐在巨大的監視螢幕牆之前,螢幕上的影像是全球地圖。

Kamlyuk 與他的幾位同事是名符其實的電腦病毒獵人,他們的服務單位是全球成長最快的防毒軟體公司卡巴斯基(Kaspersky),這三位卡巴斯基員工主要負責獵捕「紅色十月」,在全球政界最惡名昭彰的病毒。「紅色十月」這個名稱取材自美國作家 Tom Clancy 的小說《獵殺紅色十月號》,筆下一艘移動無聲的潛水艇「紅色十月號」。

回到這支代號「紅色十月」惡名昭彰的電腦病毒,它目前已攻擊全球一共至少 350 個國家政府機關、大使館、以及研究機構,尤其是針對前蘇聯共和國與中亞國家。Kamlyuk 指出,這支病毒顯然對地緣政治重要情報有特別的偏好。

俄羅斯駐美大使館正是「紅色十月」的攻擊目標之一,包括莫斯科外交部機密檔案在內一共數萬筆敏感文件,都淪為駭客的盤中飧。高達數兆兆位元組的資料遭竊,裡面的情報可能與「維基解密」 (Wikileaks)網站公佈的機密檔案一樣震撼,竊取內容涵蓋外交、核子研究、軍事、能源等。

「紅色十月」從事網路間諜活動已五年,然而,有些人可能被駭迄今,仍渾然不覺。

Kamlyuk 表示,過去從未見過攻擊力道如此快狠準且狡滑的電腦病毒,他呼籲同事要加快應對腳步。卡巴斯基公司發現,發動病毒攻擊的駭客會湮滅入侵證據。非但如此,它們還有可能先隱藏在 Adobe Reader 與微軟文書軟體,即便病毒被發現且移除,還是能再以回覆模組方式「重返犯罪現場」再竊取電腦資料。

■ 病毒大軍敵方難辨!

「紅色十月」是新一代間諜軟體之一,其構造複雜,發動攻擊與竊取資料過程代價高昂且難有經濟效益,它們活動主要是為拿取政治軍事資訊,而非盜取銀行帳戶。Kamlyuk 因此合理懷疑,政府情報機構可能涉及創造及發展這套複雜的間諜軟體系統。

卡巴斯基創辦人 Eugene Kaspersky 是俄羅斯聯邦安全局(KGB)學校畢業生,著重研究新一代特洛伊木馬程式。Kaspersky 在 2010 年分析 Stuxnet 病毒,這種電腦病毒入侵伊朗政府的電腦,致該政府核能計畫無法正常運作。去年,俄羅斯還發現到代號 Flame 與 Gauss 的電腦病毒,這兩種病毒活躍於中東,並推測這兩種病毒連同 Stuxnet 都是美國與以色列政府主導的傑作。

在俄國,「紅色十月」以不同的名稱現身,也就是「zakladka」(蟲)與「proga」(程式)兩字的組合。莫斯科資安公司 Group-IB 主管 Sergei Nikitin 依「紅色十月」程式編寫的方式推斷,這幾年興風作浪的「紅色十月」病毒不似出自同一人之手,而且程式複雜度有別,但可以看得出來,這款病毒應出自同一情報單位,他們雇用不同的駭客撰寫,而這些入幕之賓可能都是俄國人!

Nikitin 表示,俄羅斯有太多單打獨鬥的駭客,這些駭客很樂意拿錢辦事。在俄國,雖然國家提供完善的技職訓練,但是在政府研究單位的專家薪資卻少得可憐,部份電腦專家只能向外尋找副業多賺點錢。俄羅斯內政部預估,國內約有高達 30% 俄羅斯人曾參與全球網路犯罪。

「紅色十月」雖被懷疑與美國、以色列脫不了干係,但是其它國家政府也有可能是幕後推手,最常被點名的就是中國,理由很簡單,因為中國目前尚未傳出「紅色十月」災情,此外,中國網路駭客先前就被發現,以類似「重返犯罪現場」手法監測西藏民運份子的電腦。

卡巴斯基實驗室的報告更指出,智慧手機也會受到「紅色十月」病毒感染,駭客因此能夠竊取手機上的資訊。

顯然地,「紅色十月」極具針對性,它會夾藏在電郵中潛入特定目標收件人的信箱,這種手法稱作「魚叉式網路釣魚」(Spear phishing)。當駭客鎖定目標後,會假冒公司或組織名義寄送電子郵件,誘使收件人打開真偽難辨的附加檔,藉機安裝特洛伊木馬程式或其它間諜軟體,竊取機密。

■ 病毒作戰方式

卡巴斯基一支 34 人的研究團隊組長 Costin Raiu 表示:「紅色十月真的很強,駭客編寫上千個不同的模組以竊取資料。」2012 年 10 月,一名線民傳給 Raiu 一支電腦病毒,它夾在看似不起眼的檔案裏,Raiu 接著做了實驗,刻意讓病毒感染實驗室電腦,並觀察這只病毒的變化。

Raiu 發現,病毒會令電腦軟體自動開啓,獲取其它系統的連結權限,然後開始繪製整個內部網絡的構造,建立連接設備的目錄,然後一面儲存駭得的資訊一面加密。

接下來,惡意程式就會連接上駭客建立的控制伺服器,並依竊取而來的資訊配對適當的破解工具,再來就是進入受害者的電腦竊取密碼、地址、行事曆、文字、圖表、以及聯絡人清單,其中一個模組習於讀取 iPhone 裏面的資訊,另一個模組則是讀取複製 USB 快閃隨身碟內的資料。

這些病毒還會搜尋特定的機密文件,這些機密文件通常會受到「Acid Cryptofiler」軟體的加密保護,該軟體被歐盟(EU)及大西洋公約組織(NATO)內所採用。為了將檔案解碼,駭客同時會植入鍵盤側錄程式,擷取在鍵盤上輸入的數據,入侵者就能以遠端遙控方式記錄及察看鍵盤活動,最後破解密碼。

然後,這些偷來的資料會壓縮並傳輸至指定的命令伺服器,部份伺服器位於德國,部份位於俄羅斯,不過,這些命令伺服器只不過是駭客障眼法的一種。卡巴斯基公司發現,大量的伺服器其實只是充當代理伺服器,目的是為隱藏控制伺服器的真實地理位置。

俄羅斯聖彼得堡大學資安教授 Igor Kotenko 指出,這 60 個命令伺服器已逐漸被關掉,但這不意謂「紅色十月」永遠消失,它們只是冬眠,秘密插件能夠隨時啓動,它們不可能永遠消失,只是看它們何時再出來作威作福罷了。

另外一項問題--掃毒與防毒科技產業也被質疑過,為何這些病毒能夠作亂長達五年之久而直至近來才被發現?

■ 防毒軟體不夠,隨時提高警覺為上策!

國際防毒評測權威的德國企業 AV-Test 管理總監Andreas Marx 解釋,「紅色十月」之所以遲未被發現,是因為這種病毒發動的攻擊是非常針對性的,然而防毒軟體只能偵測及處理到量產型的電腦病毒。

Marx 預估一年約有 5000 萬種新型電腦病毒在外肆虐,病毒膨脹的速度是以秒來計。Marx 建議電腦用戶採用多重防護系統,也就是透過可信任的電腦上網,並將防毒軟體、防火牆設定為隨時自動下載更新。

防毒防駭期刊《Journal in Computer Virology》資安顧問 Fred Cohen 表示,防毒軟體的安裝並非一勞永逸且萬無一失,許多安裝防毒軟體的用戶常會以為自已穿上「防毒金鐘罩」,因此就亳無顧忌地一直下載各式各樣的軟體,但這是錯誤的觀念,電腦病毒就會趁隙鑽入用戶的電腦裏。

在發現與對抗電腦病毒有 30 年經驗的 Cohen,是防治電腦病毒產業始祖之一。Cohen 表示,儘管已有電腦防毒軟體金鐘罩,他仍舊無法完全放心,隨時提高警覺。 (文:楊琇羽)
您需要登入後才可以回帖 登入 | 註冊

本版積分規則

小黑屋|Archiver|微剋多資訊(MicroDuo)

GMT+8, 2016-12-6 23:58

Discuz! X

© 2009-2016 Microduo

快速回覆 返回頂部 返回列表