恐慌與無措:俄羅斯黑客曾入侵納市13臺服務器
責編:admin |2014-07-20 13:56:242010 年 10 月,美國聯邦調查局監控美國互聯網流量的一部系統收到報警,信號來自納斯達克。看起來惡意軟件已經浸入了納斯達克的中央服務器。跡象顯示入侵者并非是某個地方的小孩子,而是某國的情報機構。更糟糕的在后面:當美國計算機專家仔細查看了入侵的軟件之后,他們意識到這是一個攻擊程序,目的就是要造成破壞。
金融交易所、銀行、水處理廠以及電力系統,在數字攻擊面前不堪一擊
雖然黑客行動已經成為每天都有的煩心事,但是大部分都是在公眾不知情的情況下發生的。中國、法國、以色列——還有許多其他不知名的對手——都會以這樣或那樣的方式黑客入侵。他們竊取導彈計劃、化學方程式、電力管道結構圖還有經濟數據。這是一種間諜行為;攻擊程序是一種軍事打擊。有報道的行動部署很少,最著名的要數 Stuxnet 蠕蟲,被廣泛認為是美國和以色列的合作項目。2010 年,Stuxnet 曾經導致伊朗位于納坦茲鎮鈾濃縮設施的臨時癱瘓。Stuxnet 關閉了該設施的安全機制,導致位于精煉廠核心的分離機失去了控制。兩年后,伊朗摧毀了沙特阿美石油公司(Saudi Aramco)三分之二的計算機網絡,使用的是一種相對簡單但是傳播極快的“擦拭者”(wiper)病毒。美方某資深官員表示,在美國關鍵電腦系統內植入的數字武器,他只見過一例——在納斯達克的系統里。
十月份的這次警報讓國家安全局(NSA)也牽扯了進來,2011 年初,NSA 調查結論認為存在巨大的危險。華盛頓郊外一棟 11 層高的辦公樓里,緊急行動小隊通過安全線路進行了視頻會議。這棟樓正是美國國家數字按群和通訊整合中心(NCCIC, National Cybersecurity and Communications Integration Center)的總部,該機構的任務是聚焦并協調美國政府針對數字攻擊的應對措施。他們評估了 FBI 的數據以及來自 NSA 的補充資料,迅速決定需要擴大行動規模。
于是,一場長達五個月的調查開始了,嚴苛程度讓美國的數字反應能力都經受了挑戰,直接將美國總統牽入其中。情報和執法機構承受著解碼復雜黑客入侵的壓力,即便是向立法機構提供一份稍顯清晰的報告都有些力不從心。在幾個月的努力之后,政府不同部門對于誰是幕后主使這一問題仍舊存在基本分歧。“我們觀察到某個國家獲取了進入至少一家美國股票交易所的權限,這么說吧,目前仍不清楚他們的最終目的到底是什么,”眾議院情報委員會(House Intelligence Committee)主席、密歇根州民主黨議員麥克?羅杰斯(Mike Rogers)這樣說道,他在采訪時僅同意發表一般觀點,因為細節部分仍舊處于保密狀態。“這種情況糟糕的地方在于,直到最后一刻來臨否則我無法確認真的弄清楚了。而你又永遠不希望這一刻的來臨。”
彭博商業周刊花費幾個月的時間,就納斯達克入侵及其后續事件采訪了超過二十位相關人士。其中有九個人直接參與了調查和國家安全審核;所有人都沒有獲得接受采訪的授權。“納斯達克入侵事件的調查仍舊在進行中,”FBI 紐約助理行動首長(Assistant Director in Charge)喬治?維尼澤羅斯(George Venizelos)表示,“和所有的數字犯罪案情一樣,情況是復雜的,證據和事實會隨著時間發生變化。”
雖然黑客入侵被成功中斷了,但卻揭示出金融交易所——還有銀行、化學精煉廠、水處理廠以及電力系統——在數字攻擊面前的不堪一擊。親身體驗了這次事件的某官員認為,這次攻擊將會改變一切,迫使美國認真對待,準備好迎接計算機沖突的新時代。不過這一點他說錯了。
NCCIC 電話會議的成員都是來自國防部、財政部、國土安全部、NSA 還有 FBI 的專家。最初的評估結果給緊急行動小隊提供的只是一些關于黑客身份的粗略資料,但是幾分鐘之后他們就一致同意,入侵情況非常嚴重,必須通知白宮。
第二天,電話會議成員又在白宮集結,參加會議的還有來自司法部和中央情報局的官員。小組羅列了幾個方案,要匯報給來自白宮、司法部、五角大樓以及其他部門的高級國家安全人員。這些官員來判斷哪些問題是調查人員不得不回答的:黑客們是否能操縱或者破壞交易平臺?這次入侵是否只是大規模攻擊美國金融基礎設施計劃的一部分?
美國特勤局(The U.S. Secret Service)被推選來領導此次調查。特勤局代表指出,他們已經在幾個月之前去過納斯達克,并攜帶了幾個俄羅斯數字犯罪嫌疑人的證據,為首的是圣彼得堡人加里寧(Aleksandr Kalinin),犯罪嫌疑人曾經入侵了納斯達克,這兩起事件或許有關聯。但是,特勤局未能在辯論中占上風,退出了調查行動。
當 FBI 通知納斯達克入侵事件的存在時,卻發現納斯達克自己已經檢測到異常情況,但是并沒有公布受攻擊的消息。在就保密方面的問題討教還價一番之后,納斯達克公司允許政府工作人員使用他們的計算機網絡。調查小隊分別抵達了納斯達克位于紐約城自由廣場(One Liberty Plaza)的總部和位于新澤西卡特雷特(Carteret)的數據中心,在那里他們發現了某國情報機構或軍方的多處行動跡象。
黑客使用了兩個“零日漏洞”(zero-day),這是一種計算機代碼中的未知漏洞——程序員稱其為“零日”——允許黑客輕松地遠程控制一臺計算機。該漏洞已經成為一種很有價值的通貨,有時候在地下黑市能夠賣到上萬美元。使用一個零日漏洞意味著某個經驗豐富的黑客在操縱;一個以上則是政府在支撐。Stuxnet 曾經安置了四個——這意味著代碼編寫者曾經做過高水平的偵測,并且熟悉不同的系統如何協調工作。
攻擊納斯達克的人也曾經做過類似的功課,擁有同等級的資源支持。關鍵的一點是從納斯達克電腦集群中取出的黑客惡意軟件。NSA 之前曾經見到過一個版本,是由俄羅斯聯邦安全局(Federal Security Service of the Russian Federation)設計開發的,也就是該國的主要間諜機構。這款惡意軟件不僅僅是竊聽:雖然也能夠用于竊取數據,同樣可以在電腦網絡里實施大規模的顛覆操作。NSA 認為這款軟件有能力清除整個交易所的數據。
一月初,NSA 向國家安全部門的高層報告:俄羅斯精英黑客已經入侵了納斯達克股票交易所,并且植入了數字炸彈。最好的情況是黑客將其設置為破壞模式,被偵測到的時候在納斯達克的電腦網絡中制造破壞,以便甩掉追蹤者。最糟糕的情況是,制造破壞就是這些黑客的目的。這一發現結果匯報給了美國總統奧巴馬。
在之后的調查中,一些美國官員質疑 NSA 是否對證據做了過度解讀。惡意軟件通常會被買賣交易——被出售、被竊取或者被分享。攻擊代碼和不那么具有毀滅效果的代碼,兩者之間在技術上的分別是非常小的。當時 NSA 首長肯斯?亞歷山大(Keith Alexander)與其他政府部門爭執不休,分歧就在與 NSA 在保護個人電腦不受這種形式攻擊的過程中究竟應該有多少權力。發生這樣一次攻擊事件,顯然支持了 NSA 的主張。
隨著調查繼續在納斯達克總部及其數據中心深入開展,調查人員重現了這些全球頂級黑客的入侵路線。調查人員對于像納斯達克這樣復雜的業務系統如此脆弱感到非常驚訝。“我們以為,一般來說,金融機構的操作水平是非常好的,”前奧巴馬政府數字安全專家克里斯托佛?費南(Christopher Finan)說道,“并不是說他們做得完美,但就整體水平來說他們名列前茅。”
但是調查人員在納斯達克的發現讓他們感到震驚,工作人員發現幾個不同的用戶組自由操作的痕跡,其中一些已經在該交易所的網絡里面存在幾年時間了,這里面就包括中國的黑客間諜。每日機器活動的基本紀錄都是在服務器上生成的,這一點可以幫助調查人員追蹤黑客行動,但是這些紀錄幾乎完全不存在了。調查人員同樣發現自由廣場管理公司負責的網站被植入了名為黑洞(Blackhole)的代碼包,這是一個俄羅斯人的發明,能夠感染那些訪問該頁面支付賬單或者做其他物業維護的承租人的電腦。
一位調查人員稱納斯達克的電腦集群仿佛是“泥濘的沼澤地”(the dirty swamp)一般,這讓追查俄羅斯黑客軟件的進度出奇緩慢。調查人員認為黑客至少在警報發出前三個月已經入侵了納斯達克的電腦系統,但這只是個猜測。有跡象顯示一大塊緩存數據被竊取了,但是證據過于欠缺,很難發現究竟丟失的是什么。“如果有人闖入你家,想弄清楚他們去了那里、拿了什么東西是很困難的,因為和銀行不同,你家里沒有攝像頭,你也沒有運動探測器,”安全公司 Siege Technologies 的首席執行官杰森?西沃森(Jason Syversen)說道,“就數字安全來說,大部分公司更像居民房屋,而不是一家銀行。”
調查人員把這次攻擊定性的問題交給了納斯達克自己去處理,該公司在二月五日發布了一份公司聲明,之后又提交了一份監管報告。對于納斯達克來說,沒有更糟糕的時機了。當時正值其試圖以 110 億美元收購紐約股票交易所之際。
但納斯達克在聲明里并沒有說明這次攻擊有多么嚴重。該公司只是說在一次“例行檢查”(a routine scan)中發現了惡意軟件,入侵只限于名為“總監工作臺”(Director's Desk)的電腦系統,有 230 家公司使用這個系統與董事會成員分享金融信息。“尚未有信息顯示任何資料被竊取的跡象,”聲明說道。
在撰寫本文的采訪中,納斯達克發言人約瑟夫?克里斯汀拿特(Joseph Christinat)表示:“在與美國政府緊密合作進行的調查取證中,沒有任何證據表明 Director's Desk 系統有任何資料被泄漏。2010 年是我們公司在數字安全領域加大投入的重要一年,今天我們有更強的能力保護我們的系統、技術和市場交易者。”
與此同時,對幕后黑手的調查出現了戲劇性的轉折。與炸彈和導彈不同的是,惡意軟件可以重復使用。只要存在于網絡內,就能夠被其他黑客獲得,反向工程并重新部署在受害者的電腦集群里,掩蓋蹤跡,就好像一個殺手使用了其他人的手槍一樣。調查人員開始審查他國政府或軍方電腦的黑客入侵數據,有證據表明俄羅斯的惡意軟件正在被一名中國的黑客間諜所使用,該黑客同樣也有類似的犯罪紀錄。這名黑客可能被給予了該惡意軟件的權限,也可能是從內部的另一臺電腦得到了權限,并利用其偽裝自己的身份。來自納斯達克內部的一些證據也支持這種論斷。隨著懷疑對象轉向亞洲,報告再次被遞交給奧巴馬總統。
隨著新線索的出現,更多調查小隊開始在美國全境展開行動。美國財政部給出了可能成為大規模攻擊目標的一份清單,包括十家主要銀行和美國股票交易所。不過并非所有的公司都表示愿意合作。在接受調查的公司當中,調查人員在該公司安全負責人的配合下,開始處理電腦紀錄、檢查服務器。
調查人員發現了很少大規模攻擊的證據,但卻發現大部分美國主要金融機構存在系統性的安全隱患。清單上的許多公司對于納斯達克所遭受的攻擊都不具有抵抗力。這些公司之所以幸免只是因為黑客沒有去嘗試而已。
指向亞洲的調查方向沒有進展。調查人員把關注點轉回到俄羅斯嫌疑人身上,但是后者的動機有不少疑問。幾個月來黑客能夠輕松地自由操縱納斯達克的網絡。交易所本身的網絡與公司其他網絡是隔離的,調用數據有些難,但是沒有證據顯示黑客曾經有過嘗試。
為了找到答案,白宮將任務交給了 CIA。與 NSA 不同,CIA 是一家“各種資源”(all source)的情報機構,尤其有豐富的人脈資源。CIA 開始將重點放在俄羅斯的情報機構和有組織犯罪人員的聯系上面。俄羅斯情報機構內部的人可能私下在運作這樣一個網絡,或者將惡意軟件出售、給予某黑客犯罪集團。
如果黑客的目的是錢財,納斯達克的 Director's Desk 系統是很好的選擇。該系統有上千名公司董事會主席在使用,用來交換關于各自公司的機密信息。任何獲得這些信息的人都能夠立刻積累起一筆財富。不過 FBI 在分析了交易紀錄之后沒有發現任何上述情況發生的證據。
FBI 的調查人員注意到黑客將注意力放在納斯達克的十三臺服務器上面,這十三臺服務器含有該公司最核心的技術。該技術十分復雜,以至于納斯達克將這部分業務分離出來,用軟件授權的方式給全球其他的股票交易所使用。
俄羅斯對納斯達克感興趣是有理由的。2011 年,俄羅斯總統梅德韋杰夫(Medvedev)在達沃斯的世界經濟論壇上向眾人展示了將莫斯科打造成全球金融中心的計劃。之后的一個月,莫斯科的兩個交易所 Micex 和 RTS 宣布合并,成為世界一流的交易平臺,全球新金融資本中心皇冠上的明珠。
2011 年中,調查人員得出結論,俄羅斯并沒有打算摧毀納斯達克,他們想要克隆一個,既不是在本國的交易所置入其技術,也不是學習仿照其模式,而是要復制一個。俄國人派出精英黑客去實施這項計劃。
當記者就納斯達克入侵一事采訪俄羅斯大使館發言人科里斯科(Yevgeniy Khorishko)時,對方表示“純屬子虛烏有,甚至不值得發表評論。”