網路安全研究人員發現,一些中共政府GOV.CN網站上攜帶有病毒感染軟體,這個軟體和攻擊Google並導致 Google聲明要退出中國的網路攻擊軟體很相像。
麥克·蓋德(Mike Geide)是總部位於加州森尼韋爾(Sunnyvale, Calif.)的網路安全公司Zscaler的高級安全研究員。蓋德說,任何人單擊 www.latax.gov.cn,一個有關納稅信息的中共政府網站時,就將使他們的計算機受到感染。 其它網站上也有,例如
* .wscz.gov.cn
* .zhepb.gov.cn
* .jssalt.gov.cn
* .xfgh.gov.cn
* .laspzx.linan.gov.cn
* .zsjs.nmfc.gov.cn
問題是:這些攻擊軟體是否是被中共用來刺探其公民,或中共政府網站GOV.CN被黑客滲透?
惡意程序通過剛發現的微軟網路瀏覽器的安全漏洞進入訪問者的硬碟。一個後門就會打開,攻擊者通過這個後門安裝一個程序來打開 PC 的「網路攝像機」(PC's webcam),開始偷敏感數據並隱藏痕跡。
據網路安全公司 McAfee說,大約30 家公司,包括 Google、 Adobe 和Jupiter,都報告說他們企業的信息都是通過類似的步驟被盜取。
Zscaler 的發現進一步證實,被 McAfee 稱作「運行極光」(Operation Aurora)的攻擊者以中文來編碼和交流。通過對隱藏在中共政府稅務網站上的攻擊軟體進行翻譯和解碼(reverse engineering),蓋德發現了以下幾點:
感染引子位於網站上的的索引頁。每個網站都有一個索引頁,把訪問者帶到他或她想得到的內容上。要想把感染引子放到網站網頁上,攻擊者必須有該網頁伺服器的特定許可權。只有幾種方法可以獲取此許可權。
蓋德說:「為了能夠修改索引頁,就需要有網頁伺服器的特定許可權。或者你本來就有這個許可權,或者有內部人員告訴你,或者你可以偷到它。」
攻擊者使用一個共同的名為 Hupigon 的自己動手犯罪軟體工具包(do-it-yourself crimeware kit),來激活「網路攝像機」並開始偷取數據。Hupigon 的菜單驅動控製版是中文,工具包主要在中文犯罪論壇上銷售。蓋德說:「該證據顯示,某些中國人把這個攻擊軟體放在中共政府的網站上,我不能直接斷言,他們有政府的合作。」
蓋德說,其它中共政府網站上也有類似的感染軟體。在這種情況下,可以說,潛在的受害人是訪問中共政府網站的中國人。但他補充,也可能包括在中國做生意的西方公司的說中文的僱員。
蓋德說,分析惡意軟體在GOV.CN 網頁上的的普及程度,還需要進行進一步調查。
此外,微軟上星期發布一個緊急修補程序,來封閉使這種類型的攻擊得以實現的安全漏洞。此修補程序正通過微軟的 Windows 自動更新服務,自動發給到數以百萬計的個人電腦擁有者。家庭用戶應確保他們的個人電腦是最近更新的,因為這些感染可潛伏在其它網頁上。