俄罗斯黑客如何入侵纳斯达克

2010年10月,美国联邦调查局监控美国互联网流量的一部系统收到报警,信号来自纳斯达克。看起来恶意软件已经渗透了纳斯达克的中央服务器。迹象显示入侵者并非是个脚本小子,而是某国的情报机构。更糟糕的在后面:当美国计算机专家仔细查看了入侵的软件之后,他们意识到这是一个攻击程序,目的就是要造成破坏。

虽然黑客行动已经成为每天都有的烦心事,但是大部分都是在公众不知情的情况下发生的。中国、法国、以色列——还有许多其他不知名的对手——都会以这样或那样的方式黑客入侵。他们窃取导弹计划、化学方程式、电力管道结构图还有经济数据。这是一种间谍行为;攻击程序是一种军事打击。有报道的行动部署很少,最著名的要数Stuxnet蠕虫,被广泛认为是美国和以色列的合作项目。2010年,Stuxnet曾经导致伊朗位于纳坦兹镇铀浓缩设施的临时瘫痪。Stuxnet关闭了该设施的安全机制,导致位于精炼厂核心的分离机失去了控制。两年后,伊朗摧毁了沙特阿美石油公司(Saudi Aramco)三分之二的计算机网络,使用的是一种相对简单但是传播极快的“擦拭者”(wiper)病毒。美方某资深官员表示,在美国关键电脑系统内植入的数字武器,他只见过一例——在纳斯达克的系统里。

十月份的这次警报让国家安全局(NSA)也牵扯了进来,2011年初,NSA调查结论认为存在巨大的危险。华盛顿郊外一栋11层高的办公楼里,紧急行动小队通过安全线路进行了视频会议。这栋楼正是美国国家数字按群和通讯整合中心(NCCIC, National Cybersecurity and Communications Integration Center)的总部,该机构的任务是聚焦并协调美国政府针对数字攻击的应对措施。他们评估了FBI的数据以及来自NSA的补充资料,迅速决定需要扩大行动规模。

于是,一场长达五个月的调查开始了,严苛程度让美国的数字反应能力都经受了挑战,直接将美国总统牵入其中。情报和执法机构承受着解码复杂黑客入侵的压力,即便是向立法机构提供一份稍显清晰的报告都有些力不从心。在几个月的努力之后,政府不同部门对于谁是幕后主使这一问题仍旧存在基本分歧。“我们观察到某个国家获取了进入至少一家美国股票交易所的权限,这么说吧,目前仍不清楚他们的最终目的到底是什么,”众议院情报委员会(House Intelligence Committee)主席、密歇根州民主党议员麦克罗杰斯(Mike Rogers)这样说道,他在采访时仅同意发表一般观点,因为细节部分仍旧处于保密状态。“这种情况糟糕的地方在于,直到最后一刻来临否则我无法确认真的弄清楚了。而你又永远不希望这一刻的来临。”

虽然黑客入侵被成功中断了,但却揭示出金融交易所——还有银行、化学精炼厂、水处理厂以及电力系统——在数字攻击面前的不堪一击。亲身体验了这次事件的某官员认为,这次攻击将会改变一切,迫使美国认真对待,准备好迎接计算机冲突的新时代。不过这一点他说错了。

当FBI通知纳斯达克入侵事件的存在时,却发现纳斯达克自己已经检测到异常情况,但是并没有公布受攻击的消息。在就保密方面的问题讨教还价一番之后,纳斯达克公司允许政府工作人员使用他们的计算机网络。调查小队分别抵达了纳斯达克位于纽约城自由广场(One Liberty Plaza)的总部和位于新泽西卡特雷特(Carteret)的数据中心,在那里他们发现了某国情报机构或军方的多处行动迹象。

黑客使用了两个“零日漏洞”(zero-day),这是一种计算机代码中的未知漏洞——程序员称其为“零日”——允许黑客轻松地远程控制一台计算机。该漏洞已经成为一种很有价值的通货,有时候在地下黑市能够卖到上万美元。使用一个零日漏洞意味着某个经验丰富的黑客在操纵;一个以上则是政府在支撑。Stuxnet曾经安置了四个——这意味着代码编写者曾经做过高水平的侦测,并且熟悉不同的系统如何协调工作。

攻击纳斯达克的人也曾经做过类似的功课,拥有同等级的资源支持。关键的一点是从纳斯达克电脑集群中取出的黑客恶意软件。NSA之前曾经见到过一个版本,是由俄罗斯联邦安全局(Federal Security Service of the Russian Federation)设计开发的,也就是该国的主要间谍机构。这款恶意软件不仅仅是窃听:虽然也能够用于窃取数据,同样可以在电脑网络里实施大规模的颠覆操作。NSA认为这款软件有能力清除整个交易所的数据。

一月初,NSA向国家安全部门的高层报告:俄罗斯精英黑客已经入侵了纳斯达克股票交易所,并且植入了数字炸弹。最好的情况是黑客将其设置为破坏模式,被侦测到的时候在纳斯达克的电脑网络中制造破坏,以便甩掉追踪者。最糟糕的情况是,制造破坏就是这些黑客的目的。这一发现结果汇报给了美国总统奥巴马。

在之后的调查中,一些美国官员质疑NSA是否对证据做了过度解读。恶意软件通常会被买卖交易——被出售、被窃取或者被分享。攻击代码和不那么具有毁灭效果的代码,两者之间在技术上的分别是非常小的。当时NSA首长肯斯亚历山大(Keith Alexander)与其他政府部门争执不休,分歧就在与NSA在保护个人电脑不受这种形式攻击的过程中究竟应该有多少权力。发生这样一次攻击事件,显然支持了NSA的主张。

但是调查人员在纳斯达克的发现让他们感到震惊,工作人员发现几个不同的用户组自由操作的痕迹,其中一些已经在该交易所的网络里面存在几年时间了,这里面就包括中国的黑客间谍。每日机器活动的基本纪录都是在服务器上生成的,这一点可以帮助调查人员追踪黑客行动,但是这些纪录几乎完全不存在了。调查人员同样发现自由广场管理公司负责的网站被植入了名为黑洞(Blackhole)的代码包,这是一个俄罗斯人的发明,能够感染那些访问该页面支付账单或者做其他物业维护的承租人的电脑。

一位调查人员称纳斯达克的电脑集群仿佛是“泥泞的沼泽地”(the dirty swamp)一般,这让追查俄罗斯黑客软件的进度出奇缓慢。调查人员认为黑客至少在警报发出前三个月已经入侵了纳斯达克的电脑系统,但这只是个猜测。有迹象显示一大块缓存数据被窃取了,但是证据过于欠缺,很难发现究竟丢失的是什么。“如果有人闯入你家,想弄清楚他们去了那里、拿了什么东西是很困难的,因为和银行不同,你家里没有摄像头,你也没有运动探测器,”安全公司Siege Technologies 的首席执行官杰森西沃森(Jason Syversen)说道,“就数字安全来说,大部分公司更像居民房屋,而不是一家银行。”

但纳斯达克在声明里并没有说明这次攻击有多么严重。该公司只是说在一次“例行检查”(a routine scan)中发现了恶意软件,入侵只限于名为“总监工作台”(Director’s Desk)的电脑系统,有230家公司使用这个系统与董事会成员分享金融信息。“尚未有信息显示任何资料被窃取的迹象,”声明说道。

与此同时,对幕后黑手的调查出现了戏剧性的转折。与炸弹和导弹不同的是,恶意软件可以重复使用。只要存在于网络内,就能够被其他黑客获得,反向工程并重新部署在受害者的电脑集群里,掩盖踪迹,就好像一个杀手使用了其他人的手枪一样。调查人员开始审查他国政府或军方电脑的黑客入侵数据,有证据表明俄罗斯的恶意软件正在被一名中国的黑客间谍所使用,该黑客同样也有类似的犯罪纪录。这名黑客可能被给予了该恶意软件的权限,也可能是从内部的另一台电脑得到了权限,并利用其伪装自己的身份。来自纳斯达克内部的一些证据也支持这种论断。随着怀疑对象转向亚洲,报告再次被递交给奥巴马总统。(中国黑客又亮了)

随着新线索的出现,更多调查小队开始在美国全境展开行动。美国财政部给出了可能成为大规模攻击目标的一份清单,包括十家主要银行和美国股票交易所。不过并非所有的公司都表示愿意合作。在接受调查的公司当中,调查人员在该公司安全负责人的配合下,开始处理电脑纪录、检查服务器。

为了找到答案,白宫将任务交给了CIA。与NSA不同,CIA是一家“各种资源”(all source)的情报机构,尤其有丰富的人脉资源。CIA 开始将重点放在俄罗斯的情报机构和有组织犯罪人员的联系上面。俄罗斯情报机构内部的人可能私下在运作这样一个网络,或者将恶意软件出售、给予某黑客犯罪集团。

如果黑客的目的是钱财,纳斯达克的Director’s Desk 系统是很好的选择。该系统有上千名公司董事会主席在使用,用来交换关于各自公司的机密信息。任何获得这些信息的人都能够立刻积累起一笔财富。不过FBI 在分析了交易纪录之后没有发现任何上述情况发生的证据。

FBI 的调查人员注意到黑客将注意力放在纳斯达克的十三台服务器上面,这十三台服务器含有该公司最核心的技术。该技术十分复杂,以至于纳斯达克将这部分业务分离出来,用软件授权的方式给全球其他的股票交易所使用。

俄罗斯对纳斯达克感兴趣是有理由的。2011年,俄罗斯总统梅德韦杰夫(Medvedev)在达沃斯的世界经济论坛上向众人展示了将莫斯科打造成全球金融中心的计划。之后的一个月,莫斯科的两个交易所Micex 和RTS 宣布合并,成为世界一流的交易平台,全球新金融资本中心皇冠上的明珠。

2011年中,调查人员得出结论,俄罗斯并没有打算摧毁纳斯达克,他们想要克隆一个,既不是在本国的交易所置入其技术,也不是学习仿照其模式,而是要复制一个。俄国人派出精英黑客去实施这项计划。

【via@solidot