恐慌与无措:俄罗斯黑客曾入侵纳市

2010 年 10 月,美国联邦调查局监控美国互联网流量的一部系统收到报警,信号来自纳斯达克。看起来恶意软件已经浸入了纳斯达克的中央服务器。迹象显示入侵者并非是某个地方的小孩子,而是某国的情报机构。更糟糕的在后面:当美国计算机专家仔细查看了入侵的软件之后,他们意识到这是一个攻击程序,目的就是要造成破坏。

目标:纳斯达克

虽然黑客行动已经成为每天都有的烦心事,但是大部分都是在公众不知情的情况下发生的。中国、法国、以色列——还有许多其他不知名的对手——都会以这样或那样的方式黑客入侵。他们窃取导弹计划、化学方程式、电力管道结构图还有经济数据。这是一种间谍行为;攻击程序是一种军事打击。有报道的行动部署很少,最著名的要数 Stuxnet 蠕虫,被广泛认为是美国和以色列的合作项目。2010 年,Stuxnet 曾经导致伊朗位于纳坦兹镇铀浓缩设施的临时瘫痪。Stuxnet 关闭了该设施的安全机制,导致位于精炼厂核心的分离机失去了控制。两年后,伊朗摧毁了沙特阿美石油公司(Saudi Aramco)三分之二的计算机网络,使用的是一种相对简单但是传播极快的“擦拭者”(wiper)病毒。美方某资深官员表示,在美国关键电脑系统内植入的数字武器,他只见过一例——在纳斯达克的系统里。

十月份的这次警报让国家安全局(NSA)也牵扯了进来,2011 年初,NSA 调查结论认为存在巨大的危险。华盛顿郊外一栋 11 层高的办公楼里,紧急行动小队通过安全线路进行了视频会议。这栋楼正是美国国家数字按群和通讯整合中心(NCCIC, National Cybersecurity and Communications Integration Center)的总部,该机构的任务是聚焦并协调美国政府针对数字攻击的应对措施。他们评估了 FBI 的数据以及来自 NSA 的补充资料,迅速决定需要扩大行动规模。

于是,一场长达五个月的调查开始了,严苛程度让美国的数字反应能力都经受了挑战,直接将美国总统牵入其中。情报和执法机构承受着解码复杂黑客入侵的压力,即便是向立法机构提供一份稍显清晰的报告都有些力不从心。在几个月的努力之后,政府不同部门对于谁是幕后主使这一问题仍旧存在基本分歧。“我们观察到某个国家获取了进入至少一家美国股票交易所的权限,这么说吧,目前仍不清楚他们的最终目的到底是什么,”众议院情报委员会(House Intelligence Committee)主席、密歇根州民主党议员麦克・罗杰斯(Mike Rogers)这样说道,他在采访时仅同意发表一般观点,因为细节部分仍旧处于保密状态。“这种情况糟糕的地方在于,直到最后一刻来临否则我无法确认真的弄清楚了。而你又永远不希望这一刻的来临。”

彭博商业周刊花费几个月的时间,就纳斯达克入侵及其后续事件采访了超过二十位相关人士。其中有九个人直接参与了调查和国家安全审核;所有人都没有获得接受采访的授权。“纳斯达克入侵事件的调查仍旧在进行中,”FBI 纽约助理行动首长(Assistant Director in Charge)乔治・维尼泽罗斯(George Venizelos)表示,“和所有的数字犯罪案情一样,情况是复杂的,证据和事实会随着时间发生变化。”

虽然黑客入侵被成功中断了,但却揭示出金融交易所——还有银行、化学精炼厂、水处理厂以及电力系统——在数字攻击面前的不堪一击。亲身体验了这次事件的某官员认为,这次攻击将会改变一切,迫使美国认真对待,准备好迎接计算机冲突的新时代。不过这一点他说错了。

危险升级:白宫介入

NCCIC 电话会议的成员都是来自国防部、财政部、国土安全部、NSA 还有 FBI 的专家。最初的评估结果给紧急行动小队提供的只是一些关于黑客身份的粗略资料,但是几分钟之后他们就一致同意,入侵情况非常严重,必须通知白宫。

第二天,电话会议成员又在白宫集结,参加会议的还有来自司法部和中央情报局的官员。小组罗列了几个方案,要汇报给来自白宫、司法部、五角大楼以及其他部门的高级国家安全人员。这些官员来判断哪些问题是调查人员不得不回答的:黑客们是否能操纵或者破坏交易平台?这次入侵是否只是大规模攻击美国金融基础设施计划的一部分?

美国特勤局(The U.S. Secret Service)被推选来领导此次调查。特勤局代表指出,他们已经在几个月之前去过纳斯达克,并携带了几个俄罗斯数字犯罪嫌疑人的证据,为首的是圣彼得堡人加里宁(Aleksandr Kalinin),犯罪嫌疑人曾经入侵了纳斯达克,这两起事件或许有关联。但是,特勤局未能在辩论中占上风,退出了调查行动。

调查起疑团:两个“零日漏洞”

当 FBI 通知纳斯达克入侵事件的存在时,却发现纳斯达克自己已经检测到异常情况,但是并没有公布受攻击的消息。在就保密方面的问题讨教还价一番之后,纳斯达克公司允许政府工作人员使用他们的计算机网络。调查小队分别抵达了纳斯达克位于纽约城自由广场(One Liberty Plaza)的总部和位于新泽西卡特雷特(Carteret)的数据中心,在那里他们发现了某国情报机构或军方的多处行动迹象。

黑客使用了两个“零日漏洞”(zero-day),这是一种计算机代码中的未知漏洞——程序员称其为“零日”——允许黑客轻松地远程控制一台计算机。该漏洞已经成为一种很有价值的通货,有时候在地下黑市能够卖到上万美元。使用一个零日漏洞意味着某个经验丰富的黑客在操纵;一个以上则是政府在支撑。Stuxnet 曾经安置了四个——这意味着代码编写者曾经做过高水平的侦测,并且熟悉不同的系统如何协调工作。

攻击纳斯达克的人也曾经做过类似的功课,拥有同等级的资源支持。关键的一点是从纳斯达克电脑集群中取出的黑客恶意软件。NSA 之前曾经见到过一个版本,是由俄罗斯联邦安全局(Federal Security Service of the Russian Federation)设计开发的,也就是该国的主要间谍机构。这款恶意软件不仅仅是窃听:虽然也能够用于窃取数据,同样可以在电脑网络里实施大规模的颠覆操作。NSA 认为这款软件有能力清除整个交易所的数据。

一月初,NSA 向国家安全部门的高层报告:俄罗斯精英黑客已经入侵了纳斯达克股票交易所,并且植入了数字炸弹。最好的情况是黑客将其设置为破坏模式,被侦测到的时候在纳斯达克的电脑网络中制造破坏,以便甩掉追踪者。最糟糕的情况是,制造破坏就是这些黑客的目的。这一发现结果汇报给了美国总统奥巴马。

在之后的调查中,一些美国官员质疑 NSA 是否对证据做了过度解读。恶意软件通常会被买卖交易——被出售、被窃取或者被分享。攻击代码和不那么具有毁灭效果的代码,两者之间在技术上的分别是非常小的。当时 NSA 首长肯斯・亚历山大(Keith Alexander)与其他政府部门争执不休,分歧就在与 NSA 在保护个人电脑不受这种形式攻击的过程中究竟应该有多少权力。发生这样一次攻击事件,显然支持了 NSA 的主张。

随着调查继续在纳斯达克总部及其数据中心深入开展,调查人员重现了这些全球顶级黑客的入侵路线。调查人员对于像纳斯达克这样复杂的业务系统如此脆弱感到非常惊讶。“我们以为,一般来说,金融机构的操作水平是非常好的,”前奥巴马政府数字安全专家克里斯托佛・费南(Christopher Finan)说道,“并不是说他们做得完美,但就整体水平来说他们名列前茅。”

入侵来自中国?

但是调查人员在纳斯达克的发现让他们感到震惊,工作人员发现几个不同的用户组自由操作的痕迹,其中一些已经在该交易所的网络里面存在几年时间了,这里面就包括中国的黑客间谍。每日机器活动的基本纪录都是在服务器上生成的,这一点可以帮助调查人员追踪黑客行动,但是这些纪录几乎完全不存在了。调查人员同样发现自由广场管理公司负责的网站被植入了名为黑洞(Blackhole)的代码包,这是一个俄罗斯人的发明,能够感染那些访问该页面支付账单或者做其他物业维护的承租人的电脑。

一位调查人员称纳斯达克的电脑集群仿佛是“泥泞的沼泽地”(the dirty swamp)一般,这让追查俄罗斯黑客软件的进度出奇缓慢。调查人员认为黑客至少在警报发出前三个月已经入侵了纳斯达克的电脑系统,但这只是个猜测。有迹象显示一大块缓存数据被窃取了,但是证据过于欠缺,很难发现究竟丢失的是什么。“如果有人闯入你家,想弄清楚他们去了那里、拿了什么东西是很困难的,因为和银行不同,你家里没有摄像头,你也没有运动探测器,”安全公司 Siege Technologies 的首席执行官杰森・西沃森(Jason Syversen)说道,“就数字安全来说,大部分公司更像居民房屋,而不是一家银行。”

调查人员把这次攻击定性的问题交给了纳斯达克自己去处理,该公司在二月五日发布了一份公司声明,之后又提交了一份监管报告。对于纳斯达克来说,没有更糟糕的时机了。当时正值其试图以 110 亿美元收购纽约股票交易所之际。

但纳斯达克在声明里并没有说明这次攻击有多么严重。该公司只是说在一次“例行检查”(a routine scan)中发现了恶意软件,入侵只限于名为“总监工作台”(Director's Desk)的电脑系统,有 230 家公司使用这个系统与董事会成员分享金融信息。“尚未有信息显示任何资料被窃取的迹象,”声明说道。

在撰写本文的采访中,纳斯达克发言人约瑟夫・克里斯汀拿特(Joseph Christinat)表示:“在与美国政府紧密合作进行的调查取证中,没有任何证据表明 Director's Desk 系统有任何资料被泄漏。2010 年是我们公司在数字安全领域加大投入的重要一年,今天我们有更强的能力保护我们的系统、技术和市场交易者。”

俄罗斯黑客的真实目的——并非钱财

与此同时,对幕后黑手的调查出现了戏剧性的转折。与炸弹和导弹不同的是,恶意软件可以重复使用。只要存在于网络内,就能够被其他黑客获得,反向工程并重新部署在受害者的电脑集群里,掩盖踪迹,就好像一个杀手使用了其他人的手枪一样。调查人员开始审查他国政府或军方电脑的黑客入侵数据,有证据表明俄罗斯的恶意软件正在被一名中国的黑客间谍所使用,该黑客同样也有类似的犯罪纪录。这名黑客可能被给予了该恶意软件的权限,也可能是从内部的另一台电脑得到了权限,并利用其伪装自己的身份。来自纳斯达克内部的一些证据也支持这种论断。随着怀疑对象转向亚洲,报告再次被递交给奥巴马总统。

随着新线索的出现,更多调查小队开始在美国全境展开行动。美国财政部给出了可能成为大规模攻击目标的一份清单,包括十家主要银行和美国股票交易所。不过并非所有的公司都表示愿意合作。在接受调查的公司当中,调查人员在该公司安全负责人的配合下,开始处理电脑纪录、检查服务器。

调查人员发现了很少大规模攻击的证据,但却发现大部分美国主要金融机构存在系统性的安全隐患。清单上的许多公司对于纳斯达克所遭受的攻击都不具有抵抗力。这些公司之所以幸免只是因为黑客没有去尝试而已。

指向亚洲的调查方向没有进展。调查人员把关注点转回到俄罗斯嫌疑人身上,但是后者的动机有不少疑问。几个月来黑客能够轻松地自由操纵纳斯达克的网络。交易所本身的网络与公司其他网络是隔离的,调用数据有些难,但是没有证据显示黑客曾经有过尝试。

为了找到答案,白宫将任务交给了 CIA。与 NSA 不同,CIA 是一家“各种资源”(all source)的情报机构,尤其有丰富的人脉资源。CIA 开始将重点放在俄罗斯的情报机构和有组织犯罪人员的联系上面。俄罗斯情报机构内部的人可能私下在运作这样一个网络,或者将恶意软件出售、给予某黑客犯罪集团。

如果黑客的目的是钱财,纳斯达克的 Director's Desk 系统是很好的选择。该系统有上千名公司董事会主席在使用,用来交换关于各自公司的机密信息。任何获得这些信息的人都能够立刻积累起一笔财富。不过 FBI 在分析了交易纪录之后没有发现任何上述情况发生的证据。

惊天阴谋:克隆纳斯达克交易所

FBI 的调查人员注意到黑客将注意力放在纳斯达克的十三台服务器上面,这十三台服务器含有该公司最核心的技术。该技术十分复杂,以至于纳斯达克将这部分业务分离出来,用软件授权的方式给全球其他的股票交易所使用。

俄罗斯对纳斯达克感兴趣是有理由的。2011 年,俄罗斯总统梅德韦杰夫(Medvedev)在达沃斯的世界经济论坛上向众人展示了将莫斯科打造成全球金融中心的计划。之后的一个月,莫斯科的两个交易所 Micex 和 RTS 宣布合并,成为世界一流的交易平台,全球新金融资本中心皇冠上的明珠。

2011 年中,调查人员得出结论,俄罗斯并没有打算摧毁纳斯达克,他们想要克隆一个,既不是在本国的交易所置入其技术,也不是学习仿照其模式,而是要复制一个。俄国人派出精英黑客去实施这项计划。

当记者就纳斯达克入侵一事采访俄罗斯大使馆发言人科里斯科(Yevgeniy Khorishko)时,对方表示“纯属子虚乌有,甚至不值得发表评论。”

原文发布时间为:2014-07-21

时间: 2024-11-08 22:31:19

恐慌与无措:俄罗斯黑客曾入侵纳市的相关文章

NSA绝密报告:俄罗斯黑客曾想在美国大选前搞事情

北京时间6月6日上午消息,美国国家安全局的一份绝密报告显示,在2016年总统大选前,超过100个地方政府组织和一家投票软件公司成为俄罗斯黑客的袭击目标. 在国家安全局5月5日公布的一份机密报告中,详细介绍了俄罗斯的军事黑客如何尝试诱骗美国选举官员和VR系统公司(VR Systems),后者是一家负责为美国八个州设计投票软件的技术公司,其产品覆盖加利福尼亚.佛罗里达州.伊利诺斯州.纽约州.北卡罗莱纳州.印第安娜州.弗吉尼亚州和西弗吉尼亚州.俄罗斯黑客曾多次试图在去年十月下旬对上述目标发动袭击. 今

NSA:在选举日之前俄罗斯黑客曾向美国选举官员发送钓鱼邮件

2016年美国大选期间黑客曾攻击民主党全国委员会的网络服务器并窃取了希拉里竞选团队主席的邮件. 今年1月, 美国国家情报局局长曾表示,俄罗斯总统普京亲自下令俄罗斯黑客进行干扰美国总统大选的网络攻击活动.普京则否认了这些指控,称他们可能只是单纯地想维护俄罗斯利益的"爱国者". 然而这份最新的报告显示,与俄罗斯相关的黑客团体也也将目标瞄准了美国投票基础设施.在一次活动中,该组织向一个投票软件公司七名员工发送了钓鱼邮件.NSA认为,该组织"可能试图获得与选举相关的硬件和软件应用程序

CIA常扮中俄黑客攻击 入侵美政客邮箱

俄罗斯战略文化基金会网站3月10日报道称,媒体对美国中央情报局的肮脏勾当不只是冷嘲热讽那么简单,因为这次的事件严重得多:维基揭秘网公布了中情局黑客假扮俄罗斯联邦安全局黑客的证据,这引起舆论一片哗然. CIA常扮中俄黑客攻击 入侵美政客邮箱-E安全 也就是说,轰动一时的美国民主党电子邮件服务器入侵案是中情局黑客所为,他们制造了"克里姆林宫间谍"攻击的假象.原来,中情局或相关机构的"卧底"被揪出来了.维基揭秘网爆料,中情局有一个专门负责伪装成外国黑客实施攻击的特殊部门,

绝密报告:大选前俄罗斯黑客攻击100多名美国官员

6月6日消息,据CNET报道,美国国家安全局(NSA)日前曝光的绝密报告显示,在2016年美国总统大选前,俄罗斯黑客曾对全美100多名地方选举官员和一家投票软件公司发动攻击. 绝密报告:大选前俄罗斯黑客攻击100多名美国官员 NSA在报告中描述了俄罗斯黑客的攻击细节,比如对美国地方选举官员和为8个州开发选举软件的科技公司VR Systems发动钓鱼攻击,这些州包括加州.佛罗里达州.纽约州.伊利诺伊州.北卡罗来纳州.印第安纳州.弗吉尼亚州以及西弗吉尼亚州.攻击时间恰好位于选举日之前,许多黑客攻击行

俄媒称中情局常扮中俄黑客攻击 入侵美政客邮箱

俄罗斯战略文化基金会网站3月10日报道称,媒体对美国中央情报局的肮脏勾当不只是冷嘲热讽那么简单,因为这次的事件严重得多:维基揭秘网公布了中情局黑客假扮俄罗斯联邦安全局黑客的证据,这引起舆论一片哗然. 也就是说,轰动一时的美国民主党电子邮件服务器入侵案是中情局黑客所为,他们制造了"克里姆林宫间谍"攻击的假象.原来,中情局或相关机构的"卧底"被揪出来了.维基揭秘网爆料,中情局有一个专门负责伪装成外国黑客实施攻击的特殊部门,他们的冒充对象包括中国和俄罗斯黑客. 德国<

曾入侵CIA和FBI的黑客组织“Crackas With Attitude”成员获刑5年

本文讲的是曾入侵CIA和FBI的黑客组织"Crackas With Attitude"成员获刑5年, 还记得那个由于入侵CIA.FBI.白宫.国土安全部和其它美国联邦机构官员的信息而登上新闻头条的黑客组织--"Crackas with Attitude"吗? 一起回顾一下他们的"战绩" · 2015年10月,该组织入侵了CIA局长个人电子邮件账号并泄露了敏感文件,包括安全调查绝密申请: · 2016年1月,一名与"Crackas Wit

俄罗斯黑客Alexander Tverdokhlebov由于运营银行木马僵尸网络,被判9年监禁

本文讲的是俄罗斯黑客Alexander Tverdokhlebov由于运营银行木马僵尸网络,被判9年监禁, 29岁的Alexander·Tverdokhlebov之前是俄罗斯人,现如今生活在洛杉矶并且已经成为了美国公民,但最近他却由于运营银行木马僵尸网络,从受害者银行账户窃取钱财,被判处9年徒刑. 根据法庭文件显示,Tverdokhlebov从2008年就开始了他的网络犯罪生涯,并在多个俄罗斯地下论坛活跃.美国当局表示,Tverdokhlebov利用他新建立的人际关系,向他们提供非法服务以及盗取

奥巴马的最后一击:彻查美国大选中的俄罗斯黑客行为

在今年的美国总统大选中,特朗普以黑马的姿态逆袭成功,震惊了所有人.然而,特朗普的上任之路似乎走得并不顺利:上周,奥巴马总统下令彻查今年总统大选中俄罗斯的黑客行为,给今年赚足话题的大选再添热度. 还有一个月就要离任的奥巴马总统命令美国众情报机构,全面彻查大选前针对民主党组织的网络攻击行为.许多人认为这些攻击影响了2016年的大选结果.美国情报机构则将这一系列的网络攻击行为归咎于俄罗斯. 在<基督教科学箴言报>举办的活动上,白宫反恐顾问Lisa Monaco宣布,奥巴马总统已"命令情报体

奥巴马的最后一击: 彻查美国大选中的俄罗斯黑客行为

在今年的美国总统大选中,特朗普以黑马的姿态逆袭成功,震惊了所有人.然而,特朗普的上任之路似乎走得并不顺利:上周,奥巴马总统下令彻查今年总统大选中俄罗斯的黑客行为,给今年赚足话题的大选再添热度. 还有一个月就要离任的奥巴马总统命令美国众情报机构,全面彻查大选前针对民主党组织的网络攻击行为.许多人认为这些攻击影响了2016年的大选结果.美国情报机构则将这一系列的网络攻击行为归咎于俄罗斯. 在<基督教科学箴言报>举办的活动上,白宫反恐顾问Lisa Monaco宣布,奥巴马总统已"命令情报体