当西敏市 (Westminster, 英国的行政中心所在地)的国会议员们整理公事包、在年终准备欢度圣诞节的同时,他们还不知道自己已经被史上最大胆的黑客企图锁定。
英国《卫报》已经知道这项攻击几乎可以确定-中国-境内的网络罪犯所发动。
高科技的工业间谍活动牵扯一系列锁定秘书、研究人员、国会议员幕僚、甚至国会议员本身、看似无害的电子邮件。每一封信都为收件者特别量身定做。
这些电子邮件一但被开启之后便会尝试下载精密的间谍软件,这些软件会在收件者的电脑与所在网络内四处狩猎,寻找可能的有利文件,在所有人不知情的情况下将这些文件自动回寄给黑客。
所幸的是,2005年初发生的攻击事件被英国国会精密的网络安全系统拦截,没有任何敏感的资料遗失。
英国议会的电脑安全人员马上就动员了英国的国家公共建设安全协调中心(National Infrastructure Security Co-ordination Centre, NISCC),这是一个与负责保护英国关键信息的MI5系统连线的强大组织。安全专家设立一个动作来监控这次攻击,并且马上了解到这群黑客非同小可。
一个接近于NISCC的消息来源表示:“他们不是一般的黑客,精细程度非常之高,他们是非常聪明的程式设计师。”
英国内政部发言人只会说:“我们对安全事件没有评论,但是我们已经与世界各地的许多政府、电脑危机处理小组讨论过此事。”
据美国调查员的研究,认为黑客的基地位在中国南部的广东省,英国与美国的安全专家相信这群黑客是在中共当局默许(甚至可能是直接支援)下行动,并且企图在重创中获取西方科技,偷袭世界的智慧财产用以援助中国的经济成长。
中共官方的发言人说:“假如真有这样的言论,那就需要更进一步的调查。”
当头棒喝
英国战争情报的首席主管泰利尔(Patrick Tyrrell)早在将近十年前就对此类攻击提出警告。他相信这次的攻击对政府是个当头棒喝。
目前担任一家电脑公司Vale Atlantic营运主管的泰利尔说:“这当然可以视为挑衅动作,截至目前为止,政府方面尚未依据情报做准备。政府必须严肃对待(这类攻击)正在发展的方式。”
这起对英国下议院的攻击事件可能是以中国为基地的黑客所为中最引人注目的,但绝对不是唯一的。
据“电子邮件实验室” (Message Labs)的发言人所述,该公司负责过滤政府网络中的恶意电子邮件,大约十八个月之前他们注意到被称为“遭锁定的特洛伊”的类似间谍邮件,“电子邮件实验室”的资深防毒研究人员史其帕卡( Schipka)表示,“这类邮件以前不多,可能两个月才,一封但现在他们以每周一至二封的速度发送进来。”
去年六月英国政府发出一份警告,其中NISCC的首长考明斯(Roger Cummings)谈到了远东地区帮派针对英国国家关键基础机构的攻击,包括运输、能源、财政、电子通讯与政府机构的网络。去年十一月底,考明斯警告从国外强权而来“遭锁定的特洛伊”是个重大威胁。
十二月中旬,在格拉摩根大学(Glamorgan University)的一场研讨会中,内阁办公室(Cabinet Office)中央信息确认中心(Central Sponsor of Information Assurance)主席马提森(Harvey Mattison)对来自远东的威胁发表了一篇重要的演说,一位代表说:“我们得到的消息是这些攻击来自广东省的一家网路供应商”。
马提森除表示他的演说是基于NISCC警报的细节之外,拒绝再做任何评论。
英国并非唯一遭锁定的国家。美国的关键机构早已被远东黑客锁定长达五年之久,循线追踪代号“泰坦之雨”(Titan Rain)的攻击,已经追查到广东的二十个工作站与三个路由器。
山斯研究院(Sans Institute)是美国顶尖的电脑犯罪打击组织,研究院的首长帕勒(Alan Paller)坚决的表示攻击发自于中国,他明确点出2004年十一月的攻击事件,其间黑客攫取了数千笔敏感文件。
在窃取的文件送回广东之前,黑客将文件先存放在南韩的zombie服务器中。一名研究人员在其中发现了一大宗太空航空文件,含去年八月NASA发射的“火星探测轨道飞行器”的数百笔推进系统、太阳能板与燃料槽的详细图表。
仅仅一夜的时间,黑客就从阿拉巴马州的美国陆军航空与飞弹司令部“红岩兵工厂”(Redstone Arsenal)复制了一大笔档案,黑客撷取了陆军直升机飞行任务计划系统的规范,还有陆军、空军用于战斗规划的软件“鹰眼3.2”。
犯罪集团入侵了红岩兵工厂、亚利桑那州陆军信息系统工程指挥中心、国防信息系统署、圣地牙哥海军海洋系统中心与阿拉巴马州太空与飞弹防御获取中心,时间持续六小时。
帕勒说:“(接收信息的)当然就是(中共)政府,政府单位会付出任何代价来控制另一政府的电脑。”
其他诸如以商业间谍活动为焦点的结论建议这些攻击并非寻常黑客所为。
电脑罪犯经常会寻求快速的资金转换,还有从容的逃脱路径。但是商业机密不会有现金市场。
追踪这些集团的消息来源指出,全世界有许多涉入高科技犯罪浪潮的集团组织,有些为政府、有些为高度组织化的犯罪集团工作,中共的集团只是其中的一个。
“在过去一周内我们发现这个集团一日发动三次攻击,此外还有很多其他的集团,你可以说现在只是冰山一角。”
英国熟悉NISCC调查的公务员私下表示认同对英国及美国的攻击事件是来自中国。这几乎确定指出事件中有国家许可或涉入,甚至可能有一张“需求采购单”。
部份的攻击锁定英国政府处理人权议题的部门,根据英国安全部门消息来源说法,这是个“非常奇怪的目标”。
有另一个更引人注目的理由,位于实富汉(Shrivenham)的皇家军事学院的教授巴雷特(Neil Barrett)表示,“在中国黑客行为会被处以死刑;假如你要上网还必须跟警察留下签名。而且中国有一堵‘大防火墙’,仅容许少量的信息流通,也让中共政府确实了解现况”。连结英国的网络通量与来源在中共政府眼下一览无遗,理论上,找到“罪犯”只是个简单过程。
精密的攻击
当中共大使馆承认黑客行为将处以死刑后,一名发言人否认上网必须向警察注册,他说:“同一个申请让电话连上网络,你就是必须向一家服务供应商提出申请。”
另一个结论是组织这样的攻击非常精密且花钱。“电子邮件实验室”的史其帕卡(Schipka)认为这等规模需要一家超大型公司的资源,“或者是很多小组织协调帮忙,但是这些攻击的运作方式并无瑕疵。”
格拉摩根大学电脑鉴识主任布莱斯(Andrew Blyth)表示:“不管是谁做的他就是有资金,他们不仅能够研发精密软件,他们还能发展出让电子邮件带路的网站。接着这些网站会破坏他们的浏览器──这是件非常精密的东西,而且得花很多钱才能发动这么复杂的行动。”
在攻击中,每个人各自收到电子邮件,组织的资讯技术结构事前也经过极细心的研究。黑客将特洛伊病毒邮件设计的非常吸引受害者。史其帕卡说:“一家航空业界公司的一封邮件被锁定,它是一份含有数学辅助元件的Word文件,假如你的电脑里没有数学辅助元件,病毒不会启动,关键是要搜寻特定程式写成的文件,并将它们寄回。”
同时,山斯研究院提出一个想法,泰坦之雨攻击甚至可能有军方来源。在两年半的调查期间,黑客不曾犯错。帕勒说:“这就像跟一位棋艺高手对垒,差别只是他在不同地点的不同终端机间游走。这些事背后有一定程度的小心与一致性,必然指向一个军事行动。”
有趣的是美国国防部在去年七月廿八日出版的中共军事力量年度报告中,注意到了中共军方电脑攻击系统的发展,补充中写道解放军认为电脑网络的行动在战斗启动时,对建立“电磁优势”要“掌握先机非常关键”。
报告中又补充:“虽然人民解放军初期训练的努力集中在增加防御步骤的熟练程度,近来演习已经结合攻击行动,主要作为对人网络的首波攻击。”
电脑上的工业间谍活动并不新奇,例如在1989年,来自混沌电脑俱乐部(Chaos Computer Club)的德国黑客窃取了西方国防公司的机密,把机密卖给KGB。
但是,最近整个攻击事件的规模让西方世界的警铃安全大作;至少它们应该可以让英国国会议员们每天早上打开电脑的时候,有事可以想一想。