译文:美国石油工业遭遇网络袭击:中国是否参与其中?
撰文:Mark Clayton
发表时间:2010年1月25日
翻译:Carlos Gong(twitter:@carlos_gong)
《基督教科学箴言报》独家报导:袭击行动表明工业谍报活动正变得日益猖獗,问题是:这些活动的幕后策划者是谁?
至少有三家美国石油公司遭到过一系列身份不明的网络攻击。这些网络攻击可能源自中国。专家认为这表明全球性的互联网间谍战变得更加白热化。
这些石油与天然气行业内的入侵行为一直是石油公司和联邦政府所极力保守的秘密。但从消息人士所透露的信息和监察人员所获取的资料来看,这些攻击都集中于行业内部最有价值的要害信息——世界范围内所发现的油田的储量,价值和位置细节。
这 三家石油公司是马拉松石油(Marathon Oil),埃克森美孚(ExxonMobil)和康菲石油公司(ConocoPhilips)。消息人士的介绍和相关资料都表明,他们在2008年就遭到 了攻击,但是直到2009年初 FBI 对它们进行警告时,它们才意识到这些攻击的严重程度。联邦官员告诉这些公司,它们的机密资料已经外泄,有些甚至泄露到了海外的计算机上。
消息人士透露说,有权接触到机密的油田探测和发现信息的高管们的电子邮箱密码,邮件内容和其他资料都在泄密范围之内。
尽管还没有非常确凿的证据证明此次泄密事件与中国有关,但是一份资料表明,至少有一家石油公司的数据泄露到了一台位于中国的电脑上。而另一家石油公司的安保人员则将一份资料中的泄密漏洞称为“中国病毒”。
一名消息人士说:“有件事我们没有告诉这些公司的官员——其实他们的内部网络大部分已经被一家大型的国外情报机构控制了,要摆脱这些攻击者很难。这件事看上去不像是普通的病毒攻击,我们从没见过如此严密的攻击行动。”
这三家公司都没有对攻击发表评论,也没有确认攻击事件是否属实。但是监察部门长达五个月的调查已经证实,使这些公司的计算机处于危险境地并引发数据泄密的漏洞确实存在。这场调查中传唤了大量石油公司内部人士,网络安全专家和前政府官员。
一名熟悉攻击细节的石油公司官员匿名透露道:“这些攻击确实存在,它们的目标直指最高管理层。09年早些时候我曾经会见了 FBI 人员,那次会议所透露的内容令我瞠目结舌。”
这种新形式的攻击使用了几乎无法被杀毒软件识别的特制间谍软件以及多种传统的防御软件。专家表示,这些新型的网络窃密工具对美国公司乃至整个国家的长远竞争力都是十分严重的威胁。
“我 们在石油界的朋友们对此表示强烈关注,因为他们为了寻找新的大型油田已经花费了几亿美元。” InGuardian 公司的联合创始人 Ed Skoudis 这样说道。一家石油和天然气巨头在遭到网络攻击后曾经请他的公司来帮助维持机密数据的安全。他不愿透露公司的名称,但表示“攻击者通过窃取这些数据可以为 自己省下巨额花费。”
就在不久以前,电脑黑客行为还只是一些富有想象力的资深程序员们的娱乐活动,他们入侵公司电脑只是为了闹着玩。但是近来,这些黑客行为却有了更邪恶的动机,黑客们——有时甚至是有组织的犯罪团伙——通过盗窃信用卡资料和个人信息在短时间内攫取了大量钱财。
网络潜伏行为比普通黑客行为更加阴险和复杂,直到前段时间搜索引擎巨头 Google 将事情曝光之前,这样的行为还极少被公开,甚至通常很少被发现。这样的攻击通常由成群精锐的网络间谍发起,目标锁定在大公司内部被严格保密的商业机密,专利数据以及尖端技术。
据信其中一些攻击是由某些外国政府或其代理人所发起的。布什政府时期国土安全部负责网络安全的部长助理格雷格·加西亚(Greg Garcia)谈到,“任何想要支持本国工业发展的国家都可能会动用网络间谍来达到这一目的。”
包括美国在内的大多数国家都使用过网络间谍。专家称美国的两大传统对手——中国和俄罗斯——是发动网络攻击最猛烈和最熟练的国家。两国都以数量巨大的黑客群体和深厚的计算机安全技术著称。
美 国国防部前网络安全专家、网络防御机构(Cyber Defense Agency)首席执行官萨米·塞佳里(Sami Saydjari)这样说道:“中国在这方面比俄罗斯更甚一筹,中国政府与很多黑客组织关系十分紧密。这些组织成员都可能是中国专业电子战部队的后备力 量,我们强烈怀疑中国政府在鼓励和操纵这些黑客组织发动对国外机构的攻击。”
网络间谍战的一大焦点内容是针对外国国防机构和外交使团的间谍活动。但是网络间谍们也在越来越多的关注具有战略意义的重要商业机构,这既是因为这些机构拥有急需获取的重要信息,也是因为这些机构的防御措施通常比较薄弱。
Google已经宣称其有证据表明有至少20家美国公司遭到了来自中国的攻击和渗透。那么中国政府到底有没有参与这些攻击呢?中国官方强硬地表态说“没有”。不管这一表态是真是假,对 Google 的攻击显示出网络间谍战正在变得越来越普遍,所使用的工具也越来越复杂。
在 Google 事件之前,马拉松石油公司也遭到了攻击。
2008年11月13日,马拉松石油休斯敦分部的一名高管收到了一封奇怪的邮件。这封邮件看起来像是一名海外员工给她的回信,但问题是她根本没有给那名员工发送过邮件。
这封邮件被伪装成对她上一封关于《美国联邦紧急经济稳定法案》邮件的回复,邮件中被植入了一个链接。这名高管在意识到危险后警觉地向公司内部发送了一封警告邮件,告知公司职员这封邮件是伪造的并可能包含有电脑病毒。
但是她的反应已经太迟了,这封伪造的邮件已经被转发给了其他人,有人点击了其中植入的链接,于是一种从未见过的间谍程序开始暗暗地在马拉松石油的全球电脑网络中传播开来。
消息人士透露,几乎完全相同的伪造邮件也出现在了埃克森美孚和康菲石油公司关键岗位员工的邮箱里,它们被伪装成来自于公司的高层管理人员,内容也是关于《紧急经济稳定法案》的。
这些身份尚未不明的网络间谍的攻击行为到底取得了怎样的结果,目前尚不得而知。
“鉴于这类问题的机密程度,本公司不会对此发表评论,”马拉松石油公司这样向检察机关陈述道。“本公司对于保障各方面运营安全的重要性有着足够的重视。因此我们在不断的检查和评估我们的安全系统和处理过程,以保护我们的硬件设施,员工和运营团体。”
多个消息来源和资料都表明,渗入马拉松石油,埃克森美孚和康菲石油公司的攻击行动通过使用伪造的邮件和特制的间谍程序来突破这些公司的电子防御,以获取公司内部的特定数据。
2004年,像这样通过精心策划渗透进公司内部计算机网络的攻击案例还只有寥寥数起,到去年已经变得更加普遍。根据杀毒软件公司麦卡菲(McAfee)去年发表的研究报告,2008年世界范围内有大约价值一万亿美元的知识产权内容被盗。
“过去几个月,我们在多个行业中都监测到了一种目标明确的攻击,”弗吉尼亚州亚历山大市的一家网络安全公司 Mandiant 的主管,计算机法学专家 Rob Lee 说道。“这些攻击是有组织的专业袭击,而不是个人一时兴起的行为。”
很多安全人员说,盗取这样的信息——例如化工厂处理流程的气温和阀门设置资料或软件公司的源代码——会给竞争对手以有利机会,长此以往美国的全球经济竞争力将会下降。
一 家为政府和私营部门提供咨询服务的非营利咨询,美国网际网络影响部门(US Cyber Consequences Unit)主任斯科特·伯格(Scott Borg)谈到:“和过去18个月监测到的这种新型攻击行为相比,身份盗窃行为的影响简直微不足道。这种新型攻击会严重破坏经济,造成巨大损失。”
但是,要确定是否有外人渗入了内部网络或窃取了信息是很困难的。很多公司都不愿意告诉股东或执法部门自己遭到了袭击。
很多公司的执行官们甚至尚未意识到新型间谍软件的精密程度,仍然固守着过时的电子防御信息。
最近在休斯敦召开的一次石油和天然气工业会议上,网络安全专家保罗·威廉姆斯(Paul Williams)表示:“根据我的测试,有超过20%的木马病毒无法被杀毒软件识别。”
新 的入侵方式包括以下几种:特制的”零日“间谍软件——之所以叫“零日”是因为这些软件的数字签名非常新,尚未被杀毒软件公司索引入黑名单中;“钓鱼攻击”,即试图通过欺骗性的电子邮件和即时通信来获取敏感信息的常规犯罪行为;其更加具有杀伤力的变种叫做”鱼叉式网络钓鱼“,即针对特定的攻击对象特别制作 欺骗性电子邮件,通过欺骗特定的关键性人物来将间谍软件散播到计算机网络之中。
欺骗性链接被点击之后,先进的间谍软件就会释放一个单独的入侵模块,这个模块可以更改自身的数字签名以躲避检测,并潜伏下来伺机获取目标信息。它将偷偷地把计算机网络的控制权移交给外部的攻击者。当它发现所需的信息后,就会把信息加密后传回攻击者手中。
中央情报局资助的非营利风险投资机构 In-Q-Tel 的首席信息安全官丹尼尔·戈尔(Danial Geer)说:“我可以告诉你的是,这种先进的攻击方式在全美的很多公司都有发生。”
这 种新型的网络战已经变得非常复杂,在攻击中会有特定的团队来执行特定的操作。通常情况下一个由专业黑客组成的“入侵团队”会负责侵入系统,一个“善后团队”会负责恢复数据,另一个团队会专门负责在被入侵的网络中常年维持一个“据点”。安全公司 Mandiant 的 Lee 先生说,“在攻击中,不同的团队会有非常明确的责任分工。”
伪造的“钓鱼邮件”在美国公司中非常常见,通常情况下也很容易处理。石油公司都雇佣着一批顶尖的电脑安全专家。但是公司人员们在 FBI 与他们联系后才发现,2008年11月13日的这封寄给马拉松石油公司高管的邮件并不是一封普通的钓鱼邮件。
消息来源和资料都表明,调查人员告诉这些公司,他们的计算机网络已经被外部攻击者所控制,知识产权资料也已经泄漏。(但是华盛顿和休斯敦的 FBI 官员拒绝对此案作出评论,也拒绝承认他们参与了此案的调查。)
在遭到警告以后,马拉松石油公司开始调查遭到“连累”的其他邮件帐户,密码和个人电脑。
资 料表明,2009年2月5日,美国国家网络调查联合行动组(NCIJTF)(这家机构的合作机关包括FBI,军情六处和其他一些情报机构)的联邦官员向一 些石油公司高管和主要技术人员分享了他们的调查结果。联邦官员告诉这些公司,像杀毒软件这样常规的防御措施并不能有效抵御“由外国政府发起的攻击”。
此 外,根据一份书面会议纪要的描述,联邦官员还说,从已经被窃的信息类型来看,攻击者的主要目标是对某些“国营能源机构”来说具有价值的机密信息。马拉松和 其他石油公司花费了数十亿美元在全球范围内寻找新的油田,其中大部分并没有很大价值,但是有一些会带来巨大的收益回报。而对石油产地和产量的估算数据会使 窃得数据的公司在获取油田租用权的拍卖中处于有利地位。
专家表示,显然中国会对这类数据很感兴趣。由于经济发展对能源的消耗量非常大,中国的国营石油企业在油田租取方面非常积极。特别是对尼日利亚和安哥拉的油田资源。而很多美国公司在这些地区竞争油田的租用权。
安 全专家保罗·多尔(Paul Dorey)表示:“获知哪些地区储存有石油,以及哪些地区的储油更有价值显然是非常重要的。如果我是一个外国政府,我肯定会想获得这些数据,我还会想知 道其它公司对这些地区的意向情况。这些信息都非常有价值。”他曾经是英国石油公司的首席安全官,现在是英国政府的一名计算机安全顾问。
不 管怎样,仅仅凭一个国家非常渴望获得石油这个事实是无法证明该国指挥了这场网络攻击的。即使是一份资料里所说的一些数据被泄露到一台位于中国的电脑上这个 事实,也可能是其他国家的网络间谍通过位于中国的服务器来掩盖他们的踪迹。专家们承认要确定攻击的真正发起人是非常困难的。
即使这样,很多专家还是声称,这场针对石油行业的入侵事件和其他一些网络入侵事件都是由中国发起的,Google 事件只是这些攻击中的一个而已。
“我可以告诉你的是,石油和天然气工业并不是惟一一个被攻击的行业:任何中国希望插足的行业都有被攻击的危险”,一名 FBI 的消息人士这样说道。“他们就像从街上走过去,随便拿走任何他们想要的东西一样。”
去 年三月,加拿大研究人员鉴定了发生在103个国家的1295台被间谍软件感染的电脑。这些电脑被攻击者用于构建“僵尸网络”。这些电脑都是由于下载了同一 种木马病毒而被感染的,正是这种木马病毒使攻击者可以控制这些电脑。研究人员的报告说,这些电脑的幕后控制者“是位于海南岛的一个商业网络帐号”。而海南 正是中国军队情报机关的所在地。
去年八月,美中经济与安全评估委员会的一份报告坦率的指出了这一威胁:“中国很可能正在利用它日益完善的计算机网络开发能力来进行一项长期而复杂的行动,以收集不利于美国政府和工业的情报。”
中国官方在报告刚出炉时便立刻加以驳斥,而最近,中国驻美大使馆发言人王宝东也否认中国参与了石油和天然气工业内的网络袭击。并声称中国禁止“任何网络犯罪,包括黑客行为。”
其他人则仍持怀疑态度。网络安全公司 NetWitness 的首席分析员 Shawn Carpenter 说:“来自中国的威胁一直存在,来自中国和其他地方的攻击者一直想要窃取各种有价值的知识产权。这是一个新的战场——低风险,低投入,高回报。”
博文
0 comments:
发表评论