神刀安全网

美国农场里的旧电脑被黑,它怎么就成了一个战场?

本文 只能在《好奇心日报》发布,即使我们允许了也不许转载*

威斯康星州贝尔维尔电 – 当你一路开车,经过一片片奶牛养殖场、玉米地和牧马场后,会最终到达 Cate Machine & Welding,这是一家由吉恩·凯特和洛丽·凯特(Gene and Lori Cate)以及他们的儿子们共同经营的小镇企业。46 年来,凯特一家焊接过很多东西:肥料罐、喷气式战斗机部件、干酪模具、甚至还有农民碎掉的眼镜。

和其它许多小型企业一样,他们的电脑又破又旧,放在后院办公室里嗡嗡作响。而在这台机器上,一场不同寻常的间谍与反间谍大战正在打响:这台电脑被中国黑客入侵并控制了。

黑客利用这台电脑策划并实施攻击。但是他们不知道,一家硅谷的初创公司正在这里实时监控他们,监控他们的一举一动,而且在某些情况下还会阻止他们的行动。

一天下午,凯特先生吃着比萨饼和奶酪干,回忆起他第一次听到他家用来经营焊接业务的电脑已经被偷偷挪作它用时的情形,他说:“最初当他们告诉我们这件事时,我们说:“‘不可能!’我们真的被吓坏了,我们从未想到过中国黑客会利用我们的电脑作为渗透工具。”

在最近的一个星期四,黑客的目标瞄准了一家硅谷食品配送初创公司、一家大型曼哈顿律师事务所、一家全球大型航空公司、一所美国南部著名大学以及泰国和马来西亚的几个未确定的目标。《纽约时报》在承诺不披露目标的名称后查看了凯特电脑上的行动。

所有行动都标有名为 C0d0s0 团队的中国黑客组织的标志,这个组织雇佣的黑客已经被安保行业追踪了好多年。多年来,这一组织入侵过多家银行、律师事务所和技术公司,而且曾经劫持过福布斯网站,并企图通过恶意软件来感染访客的电脑。

美国农场里的旧电脑被黑,它怎么就成了一个战场?
Cate Machine & Welding 已经批准让数字安保公司 Area 1 监控其被中国黑客入侵的一台又老又旧的服务器上的活动,以便向那些可能受到黑客攻击的受害者发出预警。图片版权: Lauren Justice/《纽约时报》

如今出现了一种隐秘而又大肆宣传的新兴产业,主要销售关于像 C0d0s0 团队这样的黑客组织的情报。一直以来,公司通常会采用一种防御性策略,尽量让它们的网络坚不可破,以期抵御黑客入侵。而现在,所谓的威胁情报公司则提供服务,承诺开展反攻。他们收取的年费可达七位数,他们会追踪黑客,并尝试在攻击发生前发现并挫败黑客攻击。

这些公司成败参半。但市场调研公司高德纳咨询公司(Gartner)预测,经过多年的大力宣传,威胁情报市场总规模明年可达 10 亿美元,而在 2013 年,这一数字为 2.55 亿美元。

值得注意的是,许多黑客攻击依靠的是被攻陷的电脑(包括那些像 Cate Machine & Welding 一样的家庭企业的电脑)组成杂乱的迷阵。黑客的目标并不是凯特家庭企业的数据,而是将它们及其它类似的服务器转换成黑客攻击的发射平台。

这些服务器提供了完美的伪装。它们没有受到极其严密的保护,而且它们的所有者也很少(如果曾经有的话)会发现他们的电脑已经沦为间谍和数字大盗们的工具。而且,谁会怀疑凯特一家呢?

两年前,几个人造访了凯特一家,告知他们的服务器已经沦为中国间谍的攻击渠道。他们问:“你们是国安局的吗?”事实上,其中有一人在加入初创公司 Area 1 之前确实曾在国安局工作过几年,他的工作主要是追踪针对企业实施的数字攻击。具有国安局工作经验的 Area 1 首席安全官布莱克·达奇(Blake Darché)说:“我们就好像牧师,在别人的眼中,你永远没有完全脱离这一行业。”

美国农场里的旧电脑被黑,它怎么就成了一个战场?
威斯康星州农村一家处于一场间谍与反间谍大战中心的家庭企业:Cate Machine & Welding。图片版权:Lauren Justic/《纽约时报》

达奇想要将凯特的服务器和其它 50 家被黑客入侵的电脑一起加入 Area 1 的网络。Area 1 会监控这些电脑的流入流出活动,深入了解黑客的行动方式、工具及网站,并阻止黑客入侵其客户的网络,或者在黑客攻击的前几天、几周甚至几个月向客户发出预警。

凯特一家召开了一次家庭会议。凯特夫人说:“人们努力工作制造产品,但现在却受到盗窃的威胁。这好像是我们唯一能做的事了。”Area 1 支付了大约 150 美元的安装费用。

在电脑上安装传感器后不久,达奇说他的预感得到了证实:传感器闪亮,显示受到了攻击。 Area 1 开始识别出,这些行动模式属于它的老对手 C0d0s0 组织。

Area 1 由三名前国安局分析师达奇、奥伦·法尔科维茨(Oren Falkowitz)以及菲尔·赛姆(Phil Syme)共同成立。他们三人在米德堡(注:国安局总部所在地)时曾经并肩作战,追踪或在某些情况下渗入敌人的武器系统获取情报。大概两年前,他们决定创立自己的公司,从主要风险投资者、KPCB 及 Cowboy Ventures 等硅谷安保公司业主,以及 RedSeal 总裁罗伊·罗斯洛克(Ray Rothrock)和 Shape Security 总裁德里克·史密斯(Derek Smith)等安保业先行者那里筹集了 2550 万美元资金。

Area 1 在威胁情报业方面还是新手。威胁情报业是安保行业的新兴亚产业,目前从业企业包括 iSight Partners 及 Recorded Future 等,它们通过地下网络论坛及社交媒体追踪攻击者并收集他们的相关情报。

与其说威胁情报是一门科学技术,不如说它更像一门艺术。对于公司是否能够使用这种情报来阻止黑客,目前还没有定论。Area 1 声称,它可以通过其追踪的被黑客劫持的服务器来阻退攻击者。它还可以运用自身的优势来发现攻击者在网上什么地方建立站点,以及他们是怎么策划对他们选择的受害者实施攻击的。

许多 Area 1 的顾客都证实,它的科技确实帮助他们阻止了黑客攻击。其中一位客户——一家大型卫生保健供应商的首席信息安全主任说,近年来,卫生保健部门已经成为数字罪犯和政府的猛烈攻击对象。他要求隐匿其公司的名字,以免成为更明显的攻击目标。

他称赞 Area 1 的传感器成功地阻止了几次针对公司网络的攻击,帮助他们免受与健康保险公司 Anthem 相同的厄运,Anthem 去年曾被几个中国黑客攻破,而且还有越来越多的医院在受到攻击后,不得不支付赎金以换回重要信息。

Shape Security 总裁史密斯说,Area 1 在三起攻击展开前向他们发出了预警,给他们提供了阻止攻击的准备时间。史密斯说他对此感到十分满意,并因此向 Area 1 注入了一小笔投资。

他说:“很多这些家庭小店十分矛盾,因为攻击者并没有直接影响他们的经营和收入,而同时,他们不知不觉地操作了这种攻击设施。”

但是 Area 1 的经营模式也带来了道德难题。在发现非 Area 1 客户的大型企业和政府机构受到攻击时,Area 1 要做些什么呢?

Area 1 的总裁法尔科维茨说:“我们给自己的定位是保镖,我们不是警察部队,不需要四处去巡逻并告诉每个人他们都是受害者。我们做的是先发制人的生意。”

美国农场里的旧电脑被黑,它怎么就成了一个战场?
威斯康星州贝尔维尔,凯特一家用作焊接车间的工具。图片版权:Lauren Justice/《纽约时报》

他说他们确实提醒过一些受害公司。比如说,当他们看到 C0d0s0 的黑客通过凯特一家的服务器窃取公司知识产权时,他们警告过一些企业它们被黑客攻击了,其中包括一家律师事务所、一家制造商、一家金融服务企业和一家电子公司。包括那家律师事务所在内的几个受害公司之后雇佣了 Area 1 为它们提供服务。

并不是所有公司都会重视这些预警。一家受害公司的安保顾问(匿名,因为他签署过保密协议)说,去年这家公司在收到 Area 1 的提醒后,因为怕公司受到网上攻击的新闻公开会影响其最近的并购,因此选择不采取相应行动。它估计收购方并不乐见这家初创公司的专有技术已经被中国黑客知悉。

加利福尼亚州雷德伍德城一栋历史悠久的建筑物是 Area 1 的总部,墙上挂着一张名为“比网络安全更困难的 45 件事物”的清单。上面包括飞行、太阳能发电、流感疫苗、脑外科手术、互联网、心脏移植、摩天大楼、热水瓶和棉签。

目前越来越多的观点认为,阻止网络攻击太困难或者根本不可能,对此法尔科维茨表示反对。随着攻击者越来越熟练,很多安保公司已经不再相信他们可以凭借诸如杀毒软件之类的传统防御手段来阻止黑客攻击。相反,许多公司将注意力集中在“实时”检测外来入侵,以期在黑客盗走太多信息之前抓住他们。

根据数据泄露追踪公司 Verizon 的统计,有八成的受害公司都是在执法部门或其它相关部门带着被窃数据找上门来的时候,才知道自己的系统被入侵了。

在国安局时,法尔科维茨的工作职责是和其他团队成员一起监测朝鲜导弹发射。许多前期工作都是由卫星来搜寻突发性热量激增的地区。

最终法尔科维茨的团队尝试了一种更积极的方法。如果他们可以破解控制导弹发射系统的电脑,他们就可以获取发射计划。针对数字攻击,Area 1 现在也采取了类似的方法,可以说他们是侵入了攻击者的发射平台,而不必等待黑客发动攻击。

黑客们并不是仅仅在某天按下一个大大的红色“攻击”按键。他们也会事先侦察,在 LinkedIn 上伪装招募雇员,发送措辞谨慎的电子邮件以诱骗不知情的雇员打开,并点击尝试发动恶意攻击的链接或邮件附件。

成功骗取目标点击后,他们需要一段时间来扫描受害者的网络,发现值得窃取的信息。根据安保公司趋势科技(Trend Micro)的调查,91% 的攻击是从采取这种形式开始的。然后他们得从网上取得这些数据。整个过程需要花费数周、数月甚至数年的时间,而且会留下痕迹。

Area 1 会监控这类型的活动,然后与 Blue Coat 之类的网络安保公司公司合作,并将其收集的信息整合研发成安保软件,在黑客发动攻击时可以试图去阻止攻击。

Cate Machine & Welding 的老板们说,在办公室里和中国黑客共处一室感觉很奇特。最近 Area 1 高管造访了这家小店,并向他们展示了一些 Area 1 在监控他们电脑时的发现。C0d0s0 组织已经利用他们的服务器入侵了一家律师事务所,窃取了一份即将发生的并购活动的尽职调查,还盗取了一家金融服务公司的机密交易计划,偷走了一家移动支付初创公司的专有源代码,以及一家抵押贷款公司的详细规划和贷款申请书。

听到这些,凯特先生表示很骄傲,或许甚至还夹杂着一丝幸灾乐祸。这么多年来,这家保障他家人生活的焊接企业已经成为向中国黑客输送利益的渠道。现在他们全家正在帮助美国企业开展反击。凯特先生说:“我们希望能为这些企业及我们的国家做点正确的事情。”

翻译 熊猫译社 曾丹

题图来自 blog.dashlane.com

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 美国农场里的旧电脑被黑,它怎么就成了一个战场?

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址