网易科技讯6月16日消息,据国外媒体报道,一款“国家级”黑客软件主导了针对俄罗斯安全公司卡巴斯基实验室以及与伊朗核谈相关酒店的袭击,而该软件采用的数字证书来自全球顶级消费类产品代工厂商:富士康。
这家位于台湾的公司为众多业界巨头代工产品,包括苹果、戴尔、谷歌以及微软。该公司制造的产品包括了大名鼎鼎的iPhones、iPads以及PlayStation 4。策划和实施袭击事件背后的组织据信来自以色列,而他们已经至少4次利用台湾公司的数字证书使自己的恶意软件成功潜入目标系统。
卡巴斯基全球研究与分析团队主管考斯廷·拉伊乌(Costin Raiu)表示,现在还不清楚为何袭击者偏好来自台湾公司的数字证书,但这也许是一种障眼法,使得外界认为中国是幕后主使。
能够暗中破坏所有软件的黑客手段
通过窃取的数字证书实施的袭击行为让安全领域的公司感到很头疼,因为认证软件自身无法对隐藏其后的真实意图进行识别。
数字证书就像现实世界中的护照,供软件开发商用来对自己的代码进行签名和认证。浏览器和计算机操作系统根据随代码提供的数字证书采取相应的安全措施,例如,放行那些被受信证书签名的程序。然而,由于袭击者使用了受信证书对恶意软件进行签名,这使得安全软件形同虚设。
为了做到这一点,袭击者必须先取得合法的签名证书文件,这需要他们首先闯入目标公司的计算机实施窃取。
袭击卡巴的事件被称为Duqu 2.0,据信与2011年的Duqu袭击一样,出自同一组织之手。他们由“震网”而被人们熟知,后者是用来袭击伊朗核设施的一种数字武器。虽然人们普遍认为震网背后有美国参与,但许多研究人员相信,以色列独自创建和实施了Duqu 1.0以及Duqu 2.0。
全部三起袭击——震网、Duqu 1.0以及Duqu 2.0——都采用了窃取自台湾公司的数字证书。
震网中用到的2个数字证书来自瑞昱半导体以及镁光,两家公司同样来自位于台湾新竹的新竹科技园。Duqu 1.0采用的证书来自骅讯电子,这是一家位于台北的数字音频电路制造商。而富士康成为了第四家受害公司,其总部位于新北市土城,距瑞昱和镁光大约40英里,但其同样在新竹科技园设有分部。
拉伊乌表示,该组织在每次袭击中都采用了不同的数字证书,使人相信他们已经掌握了足够数量的被窃证书,这不得不让人警惕。
为何袭击者需要证书?
Duqu 2.0针对的目标不仅限于卡巴斯基,还有部分被联合国安理会用来与伊朗进行核谈的酒店与会议设施系统。
起初,富士康的证书仅仅在卡巴的系统中被发现。数天前,某人上载了一个驱动程序到VirusTotal。VirusTotal是一个聚合多个反病毒软件的网站,安全研究人员和其他用户可以向网站提交可疑文件,让该网站代为检测。上述驱动文件采用了同样的富士康证书签名,这证明了还有其他Duqu 2.0受害者的存在。由于采取了匿名提交,目前还不知道受害者的具体身份。
在卡巴的袭击中,黑客通过富士康证书对驱动程序进行了签名,随后安装在了卡巴的服务器上。在该服务器上运行的是64位Windows系统,该系统会拒绝任何没有被有效数字证书签名的程序。
上述驱动程序的签名日期显示为今年的2月19日,属于鸿海科技集团,也就是人们所熟悉的富士康。
该驱动程序在卡巴的袭击事件中扮演了关键角色。因为袭击者在卡巴的系统中安装的大多数Duqu 2.0套件都存在于系统内存中,一旦系统重启,这些恶意软件将会自行消失。由于没有在硬盘上保存,袭击者会失去对这些被感染机器的控制。然而,一旦以驱动程序的形式存在,即便系统重启,恶意软件仍然可以重新被载入内存中。
驱动程序还有另一重目的,那就是帮助袭击者通过秘密方式远程与被感染网络进行通讯。通常,采用此类手法的黑客会通过外部服务器与目标网络进行通讯,但异常的数据流量容易使人起疑。因此,Duqu 2.0的袭击者通过驱动程序的形式接管了进出目标机器的部分通信以及窃取数据所产生的流量。他们将该驱动程序安装在了卡巴的防火墙、网关以及服务器中,与自己的外部服务器之间建立起了连接。
签名也具备了某种程度的风险性
拉伊乌表示,袭击者的行为让人感到不解,他们既然已经利用了“零日漏洞”,为何还要对伪装成驱动程序的恶意软件签名呢?借助这种类型的漏洞足以使袭击者绕开Windows要求所有驱动程序必须签名的安全措施。袭击者已经取得了系统管理员的权限,借助“零日漏洞”即可实现将代码载入内核模式的目的。
因此,拉伊乌认为,袭击者的目的是为了获得多重保证,即便目标系统的漏洞被打上补丁,他们仍可以重新感染整个系统。
至于为何要动用富士康这样高价值的证书,而不是来自一家更加普通的公司的证书,拉伊乌推测,这意味着此次袭击行动相当重要,必须确保成功。
但是,就是这个数字证书,让卡巴发现了隐秘的驱动程序。
一位卡巴的工程师在一台公司服务器上测试新产品时,发现公司网络遭到入侵,其随即发现了可疑的流量,并进一步进行了调查。最终,公司发现二十余台系统受到感染。拉伊乌表示,在调查期间,他们不仅针对系统的可疑行为,而且对不寻常的数字证书同样关注。由于此类证书曾被用于以往的袭击当中,他们有理由怀疑此次的袭击者使用了同样的手法。
实际上,富士康数字证书的使用场合极其有限,公司仅仅在2013年对极个别驱动程序进行过签名。因此,这些数字证书立刻引起了调查人员的怀疑,让他们最终发现了伪装成驱动程序的Duqu 2.0恶意程序。(汪天盈)
本文来源:网易科技报道
责任编辑:
王晓易_NE0011
