紅色十月

divale

鉅亨看世界－「紅色十月」
鉅亨網　楊琇羽　　2013-02-06 07:23:22

「紅色十月」行動災區示意圖（圖片取自Kaspersky lab官網）

■ 木馬惡行始作俑者？

在過去五年，電腦病毒「紅色十月（Red October）」不斷有新的攻擊行動，專門竊取全球各國外交官的電郵及其它加密的檔案。

在莫斯科東北部，座落一幢不甚起眼的建築，但這座建築卻為全球電腦用戶築起安全防火牆，封鎖網路與防止駭客的攻擊，一方面也主動出擊獵殺電腦病毒。現年 28 歲的白俄羅斯人 Vitaly Kamlyuk 就在這裡服務，他蓄著一頭長髮，打著一條光滑的黑色絲質領帶，坐在巨大的監視螢幕牆之前，螢幕上的影像是全球地圖。

Kamlyuk 與他的幾位同事是名符其實的電腦病毒獵人，他們的服務單位是全球成長最快的防毒軟體公司卡巴斯基（Kaspersky），這三位卡巴斯基員工主要負責獵捕「紅色十月」，在全球政界最惡名昭彰的病毒。「紅色十月」這個名稱取材自美國作家 Tom Clancy 的小說《獵殺紅色十月號》，筆下一艘移動無聲的潛水艇「紅色十月號」。

回到這支代號「紅色十月」惡名昭彰的電腦病毒，它目前已攻擊全球一共至少 350 個國家政府機關、大使館、以及研究機構，尤其是針對前蘇聯共和國與中亞國家。Kamlyuk 指出，這支病毒顯然對地緣政治重要情報有特別的偏好。

俄羅斯駐美大使館正是「紅色十月」的攻擊目標之一，包括莫斯科外交部機密檔案在內一共數萬筆敏感文件，都淪為駭客的盤中飧。高達數兆兆位元組的資料遭竊，裡面的情報可能與「維基解密」 （Wikileaks）網站公佈的機密檔案一樣震撼，竊取內容涵蓋外交、核子研究、軍事、能源等。

「紅色十月」從事網路間諜活動已五年，然而，有些人可能被駭迄今，仍渾然不覺。

Kamlyuk 表示，過去從未見過攻擊力道如此快狠準且狡滑的電腦病毒，他呼籲同事要加快應對腳步。卡巴斯基公司發現，發動病毒攻擊的駭客會湮滅入侵證據。非但如此，它們還有可能先隱藏在 Adobe Reader 與微軟文書軟體，即便病毒被發現且移除，還是能再以回覆模組方式「重返犯罪現場」再竊取電腦資料。

■ 病毒大軍敵方難辨！

「紅色十月」是新一代間諜軟體之一，其構造複雜，發動攻擊與竊取資料過程代價高昂且難有經濟效益，它們活動主要是為拿取政治軍事資訊，而非盜取銀行帳戶。Kamlyuk 因此合理懷疑，政府情報機構可能涉及創造及發展這套複雜的間諜軟體系統。

卡巴斯基創辦人 Eugene Kaspersky 是俄羅斯聯邦安全局（KGB）學校畢業生，著重研究新一代特洛伊木馬程式。Kaspersky 在 2010 年分析 Stuxnet 病毒，這種電腦病毒入侵伊朗政府的電腦，致該政府核能計畫無法正常運作。去年，俄羅斯還發現到代號 Flame 與 Gauss 的電腦病毒，這兩種病毒活躍於中東，並推測這兩種病毒連同 Stuxnet 都是美國與以色列政府主導的傑作。

在俄國，「紅色十月」以不同的名稱現身，也就是「zakladka」（蟲）與「proga」（程式）兩字的組合。莫斯科資安公司 Group-IB 主管 Sergei Nikitin 依「紅色十月」程式編寫的方式推斷，這幾年興風作浪的「紅色十月」病毒不似出自同一人之手，而且程式複雜度有別，但可以看得出來，這款病毒應出自同一情報單位，他們雇用不同的駭客撰寫，而這些入幕之賓可能都是俄國人！

Nikitin 表示，俄羅斯有太多單打獨鬥的駭客，這些駭客很樂意拿錢辦事。在俄國，雖然國家提供完善的技職訓練，但是在政府研究單位的專家薪資卻少得可憐，部份電腦專家只能向外尋找副業多賺點錢。俄羅斯內政部預估，國內約有高達 30% 俄羅斯人曾參與全球網路犯罪。

「紅色十月」雖被懷疑與美國、以色列脫不了干係，但是其它國家政府也有可能是幕後推手，最常被點名的就是中國，理由很簡單，因為中國目前尚未傳出「紅色十月」災情，此外，中國網路駭客先前就被發現，以類似「重返犯罪現場」手法監測西藏民運份子的電腦。

卡巴斯基實驗室的報告更指出，智慧手機也會受到「紅色十月」病毒感染，駭客因此能夠竊取手機上的資訊。

顯然地，「紅色十月」極具針對性，它會夾藏在電郵中潛入特定目標收件人的信箱，這種手法稱作「魚叉式網路釣魚」（Spear phishing）。當駭客鎖定目標後，會假冒公司或組織名義寄送電子郵件，誘使收件人打開真偽難辨的附加檔，藉機安裝特洛伊木馬程式或其它間諜軟體，竊取機密。

■ 病毒作戰方式

卡巴斯基一支 34 人的研究團隊組長 Costin Raiu 表示：「紅色十月真的很強，駭客編寫上千個不同的模組以竊取資料。」2012 年 10 月，一名線民傳給 Raiu 一支電腦病毒，它夾在看似不起眼的檔案裏，Raiu 接著做了實驗，刻意讓病毒感染實驗室電腦，並觀察這只病毒的變化。

Raiu 發現，病毒會令電腦軟體自動開啓，獲取其它系統的連結權限，然後開始繪製整個內部網絡的構造，建立連接設備的目錄，然後一面儲存駭得的資訊一面加密。

接下來，惡意程式就會連接上駭客建立的控制伺服器，並依竊取而來的資訊配對適當的破解工具，再來就是進入受害者的電腦竊取密碼、地址、行事曆、文字、圖表、以及聯絡人清單，其中一個模組習於讀取 iPhone 裏面的資訊，另一個模組則是讀取複製 USB 快閃隨身碟內的資料。

這些病毒還會搜尋特定的機密文件，這些機密文件通常會受到「Acid Cryptofiler」軟體的加密保護，該軟體被歐盟（EU）及大西洋公約組織（NATO）內所採用。為了將檔案解碼，駭客同時會植入鍵盤側錄程式，擷取在鍵盤上輸入的數據，入侵者就能以遠端遙控方式記錄及察看鍵盤活動，最後破解密碼。

然後，這些偷來的資料會壓縮並傳輸至指定的命令伺服器，部份伺服器位於德國，部份位於俄羅斯，不過，這些命令伺服器只不過是駭客障眼法的一種。卡巴斯基公司發現，大量的伺服器其實只是充當代理伺服器，目的是為隱藏控制伺服器的真實地理位置。

俄羅斯聖彼得堡大學資安教授 Igor Kotenko 指出，這 60 個命令伺服器已逐漸被關掉，但這不意謂「紅色十月」永遠消失，它們只是冬眠，秘密插件能夠隨時啓動，它們不可能永遠消失，只是看它們何時再出來作威作福罷了。

另外一項問題－－掃毒與防毒科技產業也被質疑過，為何這些病毒能夠作亂長達五年之久而直至近來才被發現？

■ 防毒軟體不夠，隨時提高警覺為上策！

國際防毒評測權威的德國企業 AV-Test 管理總監Andreas Marx 解釋，「紅色十月」之所以遲未被發現，是因為這種病毒發動的攻擊是非常針對性的，然而防毒軟體只能偵測及處理到量產型的電腦病毒。

Marx 預估一年約有 5000 萬種新型電腦病毒在外肆虐，病毒膨脹的速度是以秒來計。Marx 建議電腦用戶採用多重防護系統，也就是透過可信任的電腦上網，並將防毒軟體、防火牆設定為隨時自動下載更新。

防毒防駭期刊《Journal in Computer Virology》資安顧問 Fred Cohen 表示，防毒軟體的安裝並非一勞永逸且萬無一失，許多安裝防毒軟體的用戶常會以為自已穿上「防毒金鐘罩」，因此就亳無顧忌地一直下載各式各樣的軟體，但這是錯誤的觀念，電腦病毒就會趁隙鑽入用戶的電腦裏。

在發現與對抗電腦病毒有 30 年經驗的 Cohen，是防治電腦病毒產業始祖之一。Cohen 表示，儘管已有電腦防毒軟體金鐘罩，他仍舊無法完全放心，隨時提高警覺。　（文：楊琇羽）