安全研究機構稱近年網絡攻擊活動來自印度[圖]

北京時間6月25日消息，在過去三年時間里，全球各國的各種組織一直都在受到網絡攻擊的侵擾，而這些攻擊看起來是來自于一個極少與目標攻擊活動有關的國家——印度。

過去幾個月時間里，遍及三個大洲的民間計算機安全調查機構一直都在對這種情況展開調查，它們所發(fā)現的證據表明，遭受網絡攻擊的目標覆蓋從巴基斯坦的國家利益到芝加哥商業(yè)交易所（CME）。

在網絡安全領域中，一種普遍的觀點是“一切都來自中國”，計算機安全公司Norman Shark的斯諾爾·法格蘭（Snorre Fagerland）說道，這家公司從今年春天開始研究與網絡攻擊有關的問題。但當Norman Shark對可用數據進行研究以后，他“并未看到任何慣常跡象表明”攻擊活動來自于中國，而是開始在為竊取數據而設計的軟件中發(fā)現其他跡象，例如“很像是典型的印度人的姓名”等。

雖然安全公司和受害者已日益接近于鑒別網絡攻擊活動的來源，但有很多未解之謎仍舊徘徊不去，這凸顯出在網絡時代中對這種攻擊活動進行監(jiān)控有多么困難的現實情況。最基本的問題——找出誰應為計算機間諜活動負責——仍舊是一件很困難的事情，而與此同時，大規(guī)模黑客工具的制作和開發(fā)則正在迅速蔓延至印度等國家。

研究人員指出，黑客會使用電子郵件和文件為“誘餌”，也就是使用所謂的“魚叉式網路釣魚”技術，欺騙某些政府和公司職員運行惡意軟件。這種軟件被稱為“惡意軟件”，會從用戶的計算機里竊取數據，甚至會監(jiān)聽并記錄用戶每一次按鍵，然后將這些數據發(fā)回給全球范圍內的許多電腦中。目前還不清楚黑客在被它們攻破的系統(tǒng)中做了些什么，但從黑客們所竊取的文件來看，看起來它們對來自于研究機構和公司的文件很感興趣。

反病毒軟件廠商Norman AS旗下子公司Norman Shark已經找到了一些證據，證明黑客會利用600多個網站來傳播其惡意軟件以及收取被盜信息，而這些網站中有很多都是在印度注冊的。Norman Shark發(fā)現，這些網絡攻擊活動的犧牲者可能包括挪威電信公司Telenor、芝加哥商業(yè)交易所、巴基斯坦國家災害管理局（National Disaster Management Authority）和中國清華大學等。

Telenor稱，挪威警方仍在對3月份發(fā)生的一次網絡攻擊活動展開調查；據去年的投訴記錄顯示，芝加哥商業(yè)交易所報稱曾有黑客試圖利用該交易所的電子郵件地址向聯合國下屬的一個仲裁機構行騙。芝加哥商業(yè)交易所拒絕就此置評，巴基斯坦國家災害管理局和中國清華大學的發(fā)言人也尚未置評。

業(yè)界人士指出，雖然許多網絡攻擊活動的目標都指向巴基斯坦，但沒有證據表明這些活動是在印度政府（或其他任何國家的政府）的支持下而發(fā)起的。印度計算機緊急應對小組（CERT-In）的負責人Gulshan Rai表示：“印度政府并未參與網絡領域中任何性質的任何惡意攻擊活動，并未鼓勵任何人從印度的網絡空間發(fā)起攻擊活動。”他還補充道，印度政府不會聘用“任何行動者來攻擊其他任何國家的基礎設施”。

“今時不同往日，以前核彈爆炸以后你會知道是哪個國家涉身其中。”約翰霍普金斯應用物理學實驗室（Johns Hopkins Applied Physics Lab）的網絡安全高級顧問迪基·喬治（Dickie George）說道，他曾供職于美國國家安全局（NSA），但已在2011年退休。喬治查看了Norman Shark的研究報告，將其稱為自己所看到的第一份將國際電腦數據竊案與印度聯系到一起的“全面分析”。

Norman Shark的主要業(yè)務是出售安全分析服務，這家公司在去年年底公布了一份有關中東地區(qū)一個網絡間諜網站的報告，指稱這個網站使用惡意軟件來監(jiān)控以色列和巴勒斯坦的目標。

除了Norman Shark以外，還有其他四家獨立運營的安全研究公司已經發(fā)現了類似的證據。美國安全公司CrowdStrike稱，在過去18個月時間里，這家公司一直都在追蹤印度黑客團體。其他發(fā)現了與印度黑客團體有關的惡意軟件的三家安全公司則分別是：斯洛伐克安全軟件公司ESET、印度安全公司Network Intelligence India和芬蘭安全公司F-Secure Corp等。

在印度，有些業(yè)界人士對上述研究結果提出了質疑。推廣數據保護實務和標準的印度行業(yè)組織數據安全委員會（Data Security Council）首席執(zhí)行官 Kamlesh Bajaj指出，安全研究公司的報告并未提供“決定性的證據”證明網絡攻擊活動是從印度發(fā)起的。

對印度來說，網絡戰(zhàn)爭的概念并不陌生，該國和巴基斯坦已經多次指稱對方對彼此的多個網站進行了攻擊。

在最近的一些攻擊活動中，黑客用假名（其中包括寶萊塢明星的姓名）注冊域名以避免被追蹤，隱身于隱私權保護的大旗之下。這些黑客可能還使用了其他人的電腦，或是會不停改變的互聯網地址。

在Norman Shark、CrowdStrike和Network Intelligence India研究的軟件代碼中，有一個詞曾多次出現，那就是“Appin”，每家公司都發(fā)現了“Appin”的不同變體。在用于程序調試的惡意軟件中，經常都會出現“AppinSecurityGroup”、“Appin”、“appinbot”和“appinclient”等字樣。

“Appin”同時還是一家新德里安全公司的名稱，這家公司的全稱是Appin Security Group。Appin Security Group擁有650名員工，提供電腦服務和培訓服務，該公司否認曾從事任何網絡攻擊活動，稱有人冒用其名稱，可能是一名前員工。Appin Security Group還表示，該公司并非世界上唯一在公司名稱中使用“Appin”這個詞的企業(yè)。

Appin Security Group的一名公司代表稱，帶有“Appin”一詞的惡意軟件“并不是由Appin或任何獲得Appin許可的人所創(chuàng)造的”。這家公司提供了一份來自于洛桑大學（University of Lausanne）瑞士網絡安全咨詢和研究小組教授Solange Ghernaouti的信函，信中指出Norman Shark的報告并不“可靠，無法構成可證明任何事的‘證據’”。Ghernaouti教授拒絕就此置評。

據Norman Shark稱，在2010年中，一個以Appin為名的網站曾被用來接收被竊數據，該網站的注冊名為“"Appin Technologies”，聯系人信息是一個名叫Rakesh Gupta的Appin員工，并將Appin位于新德里的公司總部列為郵政地址。Gupta并未就此置評。[!--empirenews.page--]

Appin的律師并表示，該公司以往和現在都并未“擁有、注冊或控制過這個域名”。律師還稱，一名“前員工”正試圖將其個人作品變成Appin服務的一部分。“一旦我們發(fā)現以后，就與他進行了面談，現在我們相信那種活動已經停止了。”Appin說道。

Appin Security Group成立于2004年，該公司稱其在過去四年時間里已經為10多萬人提供了培訓服務，培訓范圍覆蓋從安全到編程乃至英語等多個領域。

雖然網絡攻擊活動的覆蓋范圍很廣泛，但黑客并未對其竊取的數據進行嚴格管理。Norman Shark發(fā)現，多臺接收來自惡意軟件的數據的電腦都沒有采取防護措施；也就是說，互聯網上的任何用戶都可輕松獲取被竊數據。“我只能說，他們根本不看重自己竊取的數據。”法格蘭在談及這些黑客時說道。

前美國國家安全局官員喬治指出，黑客發(fā)起網絡攻擊的能力凸顯了一件事情，那就是即便是新手也能輕松參與到這場游戲中來。他表示，黑客所使用的攻擊類型不需要消耗太多時間，價格也并不高。“大概也就5000美元吧。”他在說起網絡攻擊活動中看到的惡意軟件類型時說道。“在這個世界上，沒有哪個國家承擔不起這樣的費用。”