灰帽子解密:美国制造病毒 栽赃中国黑客
近日,美国国会“美中经济与安全评估委员会”发表报告,称有中国军方黑客曾干扰美国卫星系统。
灰帽子安全实验室核心成员elliptic 在其网站上透露,他注意到该委员会并没有提供任何证据。而elliptic本人在2009年就曾与微软一起追踪过能让互联网瘫痪互的Conficker病毒,这一病毒也与这次所谓干扰美国卫星一样一度被认为是“中国黑客”所控制,通过技术分析,elliptic证明病毒控制者与美国一家密码研究机构关系密切。微软法务部后来因为未知原因却未能继续,调查草草中止,让人不得不怀疑:Conficker病毒的后台背景可能非比寻常!
谜一样的Conficker病毒肆虐全球
据了解, Conficker病毒堪称里程碑式病毒,在全球曾经感染千万台电脑,多家安全公司称之为“史上最强网络攻击”并发布联合预警。这一病毒从2008年底开始就在全球肆虐,至2009年4月共产生A B C D E5个变种,一度迫使法国海军战机停飞、攻入英国议会,引起公众轰动。微软进行评估后,认定其有能力发动史上“最强的安全攻击”并瘫痪互联网,紧迫形式下 ,2009年2月,微软组成多家安全公司联合对付,但收效甚微。
于大部分病毒的作恶表现不同,Conficker蠕虫在早期极为“温和”,这与其他各种蠕虫病毒极为不同,以至被微软安全研究人员戏称为“不图名、不图利”的“模范”蠕虫。但在3月底,事情出现戏剧性变化,Conficker.C代码经分析后,被爆出含有将于4月1日发动全球攻击的指令,从而引发了网络安全行业的巨大震动。安全厂商纷纷发布安全警报。
出人意料的是,4月1号的愚人节攻击并未到来,真正过愚人节的是各国安全机构。随后,Conficker经过几次自动更新,一如既往地“温和”并最终停止自动传播,谜一样的消失了…
漏洞暴露病毒作者行踪
灰帽子安全实验室核心成员elliptic在2009年初就开始研究Conficker蠕虫,并在3月份注意到Conficker 病毒的一个重要线索。他发现该病毒使用了美国最新的加密算法,其更新加密算法漏洞的速度比官方公开的还早,修复方法也一样。这样看来,美国该密码机构与病毒作者有紧密关联。
事情是这样的,2008年 6月,美国著名密码学家Ronald L. Rivest 公布了最新的 MD6 散列算法,该算法很快被Conficker病毒加入到代码中。但是早期公开的 MD6代码中存在4个缓冲区漏洞,这些还有漏洞的代码被添加到Conficker病毒B变种。
2009年2月21号,MD6的漏洞被修复并被公开。但是Elliptic注意到早在一天之前的2月20号Conficker C变种就已经修复了这个漏洞,修复代码竟与官方修复代码一样。病毒的变种样本时间微软有公开数据可以查到。
Elliptic向微软报告了这个情况,据他分析有两个可能性:一种可能是Conficker病毒的作者就是MIT MD6 研究小组的人,而且接触MD6缓冲区漏洞的人应该只有1-2人,很容易调查。另一种可能是攻击者攻击了MIT MD6项目中的涉及漏洞信息和修复后代码的电脑,并且赶在未发布前使用,当然这种可能性很低。即便如此要从MD6 研究小组电脑上追踪攻击者也并非难事。而Conficker病毒却也莫名奇妙的停止了传播和更新…
麻省理工学院(MIT)MD6的研究小组是美国计算机图灵奖获得者Ronald L. Rivest领导的。与美国政府关系非常密切。在Elliptic向微软安全中心报告相关证据后,微软法务部门介入。但调查最终不了了之。
和很多黑客事件一样,Conficker病毒爆发时国际上也有人指责是“中国黑客”所为。Elliptic说这不仅毫无证据,中国反而是Conficker病毒最大的受害国家,而相关证据表明:美国倒是疑点重重。