恐慌与无措:俄罗斯黑客曾入侵纳市13台服务器
2014-07-20 08:55

恐慌与无措:俄罗斯黑客曾入侵纳市13台服务器

(原文来自 Bloomberg BusinessWeek,虎嗅编译)

2010 年 10 月,美国联邦调查局监控美国互联网流量的一部系统收到报警,信号来自纳斯达克。看起来恶意软件已经浸入了纳斯达克的中央服务器。迹象显示入侵者并非是某个地方的小孩子,而是某国的情报机构。更糟糕的在后面:当美国计算机专家仔细查看了入侵的软件之后,他们意识到这是一个攻击程序,目的就是要造成破坏。

目标:纳斯达克

虽然黑客行动已经成为每天都有的烦心事,但是大部分都是在公众不知情的情况下发生的。中国、法国、以色列——还有许多其他不知名的对手——都会以这样或那样的方式黑客入侵。他们窃取导弹计划、化学方程式、电力管道结构图还有经济数据。这是一种间谍行为;攻击程序是一种军事打击。有报道的行动部署很少,最著名的要数 Stuxnet 蠕虫,被广泛认为是美国和以色列的合作项目。2010 年,Stuxnet 曾经导致伊朗位于纳坦兹镇铀浓缩设施的临时瘫痪。Stuxnet 关闭了该设施的安全机制,导致位于精炼厂核心的分离机失去了控制。两年后,伊朗摧毁了沙特阿美石油公司(Saudi Aramco)三分之二的计算机网络,使用的是一种相对简单但是传播极快的“擦拭者”(wiper)病毒。美方某资深官员表示,在美国关键电脑系统内植入的数字武器,他只见过一例——在纳斯达克的系统里。

十月份的这次警报让国家安全局(NSA)也牵扯了进来,2011 年初,NSA 调查结论认为存在巨大的危险。华盛顿郊外一栋 11 层高的办公楼里,紧急行动小队通过安全线路进行了视频会议。这栋楼正是美国国家数字按群和通讯整合中心(NCCIC, National Cybersecurity and Communications Integration Center)的总部,该机构的任务是聚焦并协调美国政府针对数字攻击的应对措施。他们评估了 FBI 的数据以及来自 NSA 的补充资料,迅速决定需要扩大行动规模。

于是,一场长达五个月的调查开始了,严苛程度让美国的数字反应能力都经受了挑战,直接将美国总统牵入其中。情报和执法机构承受着解码复杂黑客入侵的压力,即便是向立法机构提供一份稍显清晰的报告都有些力不从心。在几个月的努力之后,政府不同部门对于谁是幕后主使这一问题仍旧存在基本分歧。“我们观察到某个国家获取了进入至少一家美国股票交易所的权限,这么说吧,目前仍不清楚他们的最终目的到底是什么,”众议院情报委员会(House Intelligence Committee)主席、密歇根州民主党议员麦克・罗杰斯(Mike Rogers)这样说道,他在采访时仅同意发表一般观点,因为细节部分仍旧处于保密状态。“这种情况糟糕的地方在于,直到最后一刻来临否则我无法确认真的弄清楚了。而你又永远不希望这一刻的来临。”

彭博商业周刊花费几个月的时间,就纳斯达克入侵及其后续事件采访了超过二十位相关人士。其中有九个人直接参与了调查和国家安全审核;所有人都没有获得接受采访的授权。“纳斯达克入侵事件的调查仍旧在进行中,”FBI 纽约助理行动首长(Assistant Director in Charge)乔治・维尼泽罗斯(George Venizelos)表示,“和所有的数字犯罪案情一样,情况是复杂的,证据和事实会随着时间发生变化。”

虽然黑客入侵被成功中断了,但却揭示出金融交易所——还有银行、化学精炼厂、水处理厂以及电力系统——在数字攻击面前的不堪一击。亲身体验了这次事件的某官员认为,这次攻击将会改变一切,迫使美国认真对待,准备好迎接计算机冲突的新时代。不过这一点他说错了。

危险升级:白宫介入

NCCIC 电话会议的成员都是来自国防部、财政部、国土安全部、NSA 还有 FBI 的专家。最初的评估结果给紧急行动小队提供的只是一些关于黑客身份的粗略资料,但是几分钟之后他们就一致同意,入侵情况非常严重,必须通知白宫。

第二天,电话会议成员又在白宫集结,参加会议的还有来自司法部和中央情报局的官员。小组罗列了几个方案,要汇报给来自白宫、司法部、五角大楼以及其他部门的高级国家安全人员。这些官员来判断哪些问题是调查人员不得不回答的:黑客们是否能操纵或者破坏交易平台?这次入侵是否只是大规模攻击美国金融基础设施计划的一部分?

美国特勤局(The U.S. Secret Service)被推选来领导此次调查。特勤局代表指出,他们已经在几个月之前去过纳斯达克,并携带了几个俄罗斯数字犯罪嫌疑人的证据,为首的是圣彼得堡人加里宁(Aleksandr Kalinin),犯罪嫌疑人曾经入侵了纳斯达克,这两起事件或许有关联。但是,特勤局未能在辩论中占上风,退出了调查行动。

调查起疑团:两个“零日漏洞”

当 FBI 通知纳斯达克入侵事件的存在时,却发现纳斯达克自己已经检测到异常情况,但是并没有公布受攻击的消息。在就保密方面的问题讨教还价一番之后,纳斯达克公司允许政府工作人员使用他们的计算机网络。调查小队分别抵达了纳斯达克位于纽约城自由广场(One Liberty Plaza)的总部和位于新泽西卡特雷特(Carteret)的数据中心,在那里他们发现了某国情报机构或军方的多处行动迹象。

黑客使用了两个“零日漏洞”(zero-day),这是一种计算机代码中的未知漏洞——程序员称其为“零日”——允许黑客轻松地远程控制一台计算机。该漏洞已经成为一种很有价值的通货,有时候在地下黑市能够卖到上万美元。使用一个零日漏洞意味着某个经验丰富的黑客在操纵;一个以上则是政府在支撑。Stuxnet 曾经安置了四个——这意味着代码编写者曾经做过高水平的侦测,并且熟悉不同的系统如何协调工作。

攻击纳斯达克的人也曾经做过类似的功课,拥有同等级的资源支持。关键的一点是从纳斯达克电脑集群中取出的黑客恶意软件。NSA 之前曾经见到过一个版本,是由俄罗斯联邦安全局(Federal Security Service of the Russian Federation)设计开发的,也就是该国的主要间谍机构。这款恶意软件不仅仅是窃听:虽然也能够用于窃取数据,同样可以在电脑网络里实施大规模的颠覆操作。NSA 认为这款软件有能力清除整个交易所的数据。

一月初,NSA 向国家安全部门的高层报告:俄罗斯精英黑客已经入侵了纳斯达克股票交易所,并且植入了数字炸弹。最好的情况是黑客将其设置为破坏模式,被侦测到的时候在纳斯达克的电脑网络中制造破坏,以便甩掉追踪者。最糟糕的情况是,制造破坏就是这些黑客的目的。这一发现结果汇报给了美国总统奥巴马。

在之后的调查中,一些美国官员质疑 NSA 是否对证据做了过度解读。恶意软件通常会被买卖交易——被出售、被窃取或者被分享。攻击代码和不那么具有毁灭效果的代码,两者之间在技术上的分别是非常小的。当时 NSA 首长肯斯・亚历山大(Keith Alexander)与其他政府部门争执不休,分歧就在与 NSA 在保护个人电脑不受这种形式攻击的过程中究竟应该有多少权力。发生这样一次攻击事件,显然支持了 NSA 的主张。

随着调查继续在纳斯达克总部及其数据中心深入开展,调查人员重现了这些全球顶级黑客的入侵路线。调查人员对于像纳斯达克这样复杂的业务系统如此脆弱感到非常惊讶。“我们以为,一般来说,金融机构的操作水平是非常好的,”前奥巴马政府数字安全专家克里斯托佛・费南(Christopher Finan)说道,“并不是说他们做得完美,但就整体水平来说他们名列前茅。”

入侵来自中国?

但是调查人员在纳斯达克的发现让他们感到震惊,工作人员发现几个不同的用户组自由操作的痕迹,其中一些已经在该交易所的网络里面存在几年时间了,这里面就包括中国的黑客间谍。每日机器活动的基本纪录都是在服务器上生成的,这一点可以帮助调查人员追踪黑客行动,但是这些纪录几乎完全不存在了。调查人员同样发现自由广场管理公司负责的网站被植入了名为黑洞(Blackhole)的代码包,这是一个俄罗斯人的发明,能够感染那些访问该页面支付账单或者做其他物业维护的承租人的电脑。

一位调查人员称纳斯达克的电脑集群仿佛是“泥泞的沼泽地”(the dirty swamp)一般,这让追查俄罗斯黑客软件的进度出奇缓慢。调查人员认为黑客至少在警报发出前三个月已经入侵了纳斯达克的电脑系统,但这只是个猜测。有迹象显示一大块缓存数据被窃取了,但是证据过于欠缺,很难发现究竟丢失的是什么。“如果有人闯入你家,想弄清楚他们去了那里、拿了什么东西是很困难的,因为和银行不同,你家里没有摄像头,你也没有运动探测器,”安全公司 Siege Technologies 的首席执行官杰森・西沃森(Jason Syversen)说道,“就数字安全来说,大部分公司更像居民房屋,而不是一家银行。”

调查人员把这次攻击定性的问题交给了纳斯达克自己去处理,该公司在二月五日发布了一份公司声明,之后又提交了一份监管报告。对于纳斯达克来说,没有更糟糕的时机了。当时正值其试图以 110 亿美元收购纽约股票交易所之际。

但纳斯达克在声明里并没有说明这次攻击有多么严重。该公司只是说在一次“例行检查”(a routine scan)中发现了恶意软件,入侵只限于名为“总监工作台”(Director's Desk)的电脑系统,有 230 家公司使用这个系统与董事会成员分享金融信息。“尚未有信息显示任何资料被窃取的迹象,”声明说道。

在撰写本文的采访中,纳斯达克发言人约瑟夫・克里斯汀拿特(Joseph Christinat)表示:“在与美国政府紧密合作进行的调查取证中,没有任何证据表明 Director's Desk 系统有任何资料被泄漏。2010 年是我们公司在数字安全领域加大投入的重要一年,今天我们有更强的能力保护我们的系统、技术和市场交易者。”

俄罗斯黑客的真实目的——并非钱财

与此同时,对幕后黑手的调查出现了戏剧性的转折。与炸弹和导弹不同的是,恶意软件可以重复使用。只要存在于网络内,就能够被其他黑客获得,反向工程并重新部署在受害者的电脑集群里,掩盖踪迹,就好像一个杀手使用了其他人的手枪一样。调查人员开始审查他国政府或军方电脑的黑客入侵数据,有证据表明俄罗斯的恶意软件正在被一名中国的黑客间谍所使用,该黑客同样也有类似的犯罪纪录。这名黑客可能被给予了该恶意软件的权限,也可能是从内部的另一台电脑得到了权限,并利用其伪装自己的身份。来自纳斯达克内部的一些证据也支持这种论断。随着怀疑对象转向亚洲,报告再次被递交给奥巴马总统。

随着新线索的出现,更多调查小队开始在美国全境展开行动。美国财政部给出了可能成为大规模攻击目标的一份清单,包括十家主要银行和美国股票交易所。不过并非所有的公司都表示愿意合作。在接受调查的公司当中,调查人员在该公司安全负责人的配合下,开始处理电脑纪录、检查服务器。

调查人员发现了很少大规模攻击的证据,但却发现大部分美国主要金融机构存在系统性的安全隐患。清单上的许多公司对于纳斯达克所遭受的攻击都不具有抵抗力。这些公司之所以幸免只是因为黑客没有去尝试而已。

指向亚洲的调查方向没有进展。调查人员把关注点转回到俄罗斯嫌疑人身上,但是后者的动机有不少疑问。几个月来黑客能够轻松地自由操纵纳斯达克的网络。交易所本身的网络与公司其他网络是隔离的,调用数据有些难,但是没有证据显示黑客曾经有过尝试。

为了找到答案,白宫将任务交给了 CIA。与 NSA 不同,CIA 是一家“各种资源”(all source)的情报机构,尤其有丰富的人脉资源。CIA 开始将重点放在俄罗斯的情报机构和有组织犯罪人员的联系上面。俄罗斯情报机构内部的人可能私下在运作这样一个网络,或者将恶意软件出售、给予某黑客犯罪集团。

如果黑客的目的是钱财,纳斯达克的 Director's Desk 系统是很好的选择。该系统有上千名公司董事会主席在使用,用来交换关于各自公司的机密信息。任何获得这些信息的人都能够立刻积累起一笔财富。不过 FBI 在分析了交易纪录之后没有发现任何上述情况发生的证据。

惊天阴谋:克隆纳斯达克交易所

FBI 的调查人员注意到黑客将注意力放在纳斯达克的十三台服务器上面,这十三台服务器含有该公司最核心的技术。该技术十分复杂,以至于纳斯达克将这部分业务分离出来,用软件授权的方式给全球其他的股票交易所使用。

俄罗斯对纳斯达克感兴趣是有理由的。2011 年,俄罗斯总统梅德韦杰夫(Medvedev)在达沃斯的世界经济论坛上向众人展示了将莫斯科打造成全球金融中心的计划。之后的一个月,莫斯科的两个交易所 Micex 和 RTS 宣布合并,成为世界一流的交易平台,全球新金融资本中心皇冠上的明珠。

2011 年中,调查人员得出结论,俄罗斯并没有打算摧毁纳斯达克,他们想要克隆一个,既不是在本国的交易所置入其技术,也不是学习仿照其模式,而是要复制一个。俄国人派出精英黑客去实施这项计划。

当记者就纳斯达克入侵一事采访俄罗斯大使馆发言人科里斯科(Yevgeniy Khorishko)时,对方表示“纯属子虚乌有,甚至不值得发表评论。”
如对本稿件有异议或投诉,请联系tougao@huxiu.com
正在改变与想要改变世界的人,都在虎嗅APP
赞赏
关闭赞赏 开启赞赏

支持一下   修改

确定