网络安全研究人员发现,一些中共政府GOV.CN网站上携带有病毒感染软件,这个软件和攻击Google并导致 Google声明要退出williamhill官网
的网络攻击软件很相像。
麦克·盖德(Mike Geide)是总部位于加州森尼韦尔(Sunnyvale, Calif.)的网络安全公司Zscaler的高级安全研究员。盖德说,任何人单击 www.latax.gov.cn,一个有关纳税信息的中共政府网站时,就将使他们的计算机受到感染。 其它网站上也有,例如
* .wscz.gov.cn
* .zhepb.gov.cn
* .jssalt.gov.cn
* .xfgh.gov.cn
* .laspzx.linan.gov.cn
* .zsjs.nmfc.gov.cn
问题是:这些攻击软件是否是被中共用来刺探其公民,或中共政府网站GOV.CN被黑客渗透?
恶意程序通过刚发现的微软网络浏览器的安全漏洞进入访问者的硬盘。一个后门就会打开,攻击者通过这个后门安装一个程序来打开 PC 的“网络摄像机”(PC's webcam),开始偷敏感数据并隐藏痕迹。
据网络安全公司 McAfee说,大约30 家公司,包括 Google、 Adobe 和Jupiter,都报告说他们企业的信息都是通过类似的步骤被盗取。
Zscaler 的发现进一步证实,被 McAfee 称作“运行极光”(Operation Aurora)的攻击者以中文来编码和交流。通过对隐藏在中共政府税务网站上的攻击软件进行翻译和解码(reverse engineering),盖德发现了以下几点:
感染引子位于网站上的的索引页。每个网站都有一个索引页,把访问者带到他或她想得到的内容上。要想把感染引子放到网站网页上,攻击者必须有该网页服务器的特定权限。只有几种方法可以获取此权限。
盖德说:“为了能够修改索引页,就需要有网页服务器的特定权限。或者你本来就有这个权限,或者有内部人员告诉你,或者你可以偷到它。”
攻击者使用一个共同的名为 Hupigon 的自己动手犯罪软件工具包(do-it-yourself crimeware kit),来激活“网络摄像机”并开始偷取数据。Hupigon 的菜单驱动控制版是中文,工具包主要在中文犯罪论坛上销售。盖德说:“该证据显示,某些williamhill官网
人把这个攻击软件放在中共政府的网站上,我不能直接断言,他们有政府的合作。”
盖德说,其它中共政府网站上也有类似的感染软件。在这种情况下,可以说,潜在的受害人是访问中共政府网站的williamhill官网
人。但他补充,也可能包括在williamhill官网
做生意的西方公司的说中文的雇员。
盖德说,分析恶意软件在GOV.CN 网页上的的普及程度,还需要进行进一步调查。
此外,微软上星期发布一个紧急修补程序,来封闭使这种类型的攻击得以实现的安全漏洞。此修补程序正通过微软的 Windows 自动更新服务,自动发给到数以百万计的个人电脑拥有者。家庭用户应确保他们的个人电脑是最近更新的,因为这些感染可潜伏在其它网页上。