nsa-tor,w_640

面對電腦病毒和間諜軟件,一般人靠防毒軟件偵察和清除,但對「美國國家安全局」(National Security Agency, NSA) 黑客來說,防毒軟件已經廢了武功。有網絡保安公司和前情報人員披露,NSA 的監控技術早取得突破,能將間諜軟件深深藏在 Western Digital、Seagate 和 Toshiba 等大廠商生產的硬碟機內,令間諜軟件基本上可永遠潛伏,換言之差不多全球所有有硬碟的電腦,都難逃 NSA 法眼。

卡巴斯基實驗

俄羅斯「卡巴斯基實驗室」(Kaspersky Lab) 前天發表報告,詳述一個他們稱為「方程式集團」(Equation Group) 的頂級黑客集團活動,指他們監察的 60 多個黑客集團,論入侵技術的先進和手法的複雜,「方程式集團」堪稱超班,命名也是因為他們愛用複雜的加密方程式。報告雖沒點名,但指出令「伊朗」(Iran) 鈾離心機癱瘓的「Stuxnet 病毒」使用者,只算是他們徒弟,所指是 NSA 和「美軍網戰司令部」(United States Cyber Command, USCYBERCOM) 已呼之欲出。 

cyber10t

報告指「方程式集團」自 2001 年開始活動,2008 年起所用工具倍增,主要是入侵美國敵對或有戒心的國家,30 個被發現遭其間諜軟件感染電腦的國家,以「伊朗」受感染數字最多,其次是「俄羅斯」(Росси́йская Федера́ция)、「巴基斯坦」(اسلامی جمہوریہ پاکستان‎)、「阿富汗」(Afğānistān) 和「中國」(China) 等,目標包括政府和軍事設施、電訊公司、銀行、能源公司、核研究員、傳媒和「伊斯蘭」(الإسلام) 活躍分子的電腦。

a1401a

報告指「方程式集團」最神通廣大的一點,是可將間諜程式藏在「韌體」(Firmware) 中。「韌體」是嵌入硬體本身記憶體的程式,通常一開機最先執行,由於防毒軟件不會檢查韌體,所以不會被發現和清除,就算機主察覺電腦有異,完全刪除硬碟內容、重新安裝作業系統,由於間諜程式仍在韌體中,隨時可以復活。

「卡巴斯基」(Kaspersky) 研究員 Costin Raiu 表示:『惡意程式一旦入了韌體,就可無限復活。這意味我們可說是盲了,硬碟機受感染也無法偵察。』

hd

專家指黑客最想入侵的「韌體」,是底板中每次開機時負責啟用電腦硬件的 BIOS 程式,其次是硬碟機的韌體。Raiu 指他們發現部份中招電腦,間諜程式是藏在硬碟機韌體中,令黑客可為所欲為,偷檔案和偷窺一舉一動都可以,有時更取得中毒電腦的加密鑰匙,可還原任何內容。「卡巴斯基」指他們重組有關間諜程式後,證實是可在十多間主要生產商的硬碟機運行,包括 Western DigitalSeagate 、Toshiba、IBM、Micron 和 Samsung,差不多覆蓋整個市場,但這招只對極少數有高價值的外國電腦目標使用。有 NSA 前僱員向「路透社」指「卡巴斯基」分析正確,另一前情報員亦確認 NSA 已發展「韌體」藏間諜軟件技術。不過 NSA 開發將間諜軟件藏入硬碟機「韌體」技術,首先要得到「韌體」的源碼,即「韌體」程式的原始編寫代碼,引起人們揣測硬碟生產商是否與 NSA 合作的疑問。

「卡巴斯基」研究員 Raiu 指出,硬碟機「韌體」相當於其作業系統,負責指揮硬碟機的一舉一動,要知道源碼才知指揮程式有甚麼漏洞可利用入侵,外人「沒可能憑公開資料寫出硬碟機的作業系統」。

N3U_size%20comparison%201_090709

「路透社」查詢的硬碟生產商中,Toshiba、Samsung 和 IBM 都拒絕回應,Western DigitalSeagateMicron 都表示對 NSA 的監控計劃不知情,但只有 Western Digital 明確表示沒將源碼交給政府部門,Seagate 只稱有措施防範「韌體」被造手腳和破解源碼,Micron 稱不知「韌體」被加入外來編碼。

但多名前情報人員披露,NSA 有多種方法取得源碼,可單刀直入問生產商拿,或者假份軟件開發商騙到手,此外「國防部」(United States Department of Defense, DOD) 和其他敏感部門採購有關公司產品時,可托詞要作安全審查而索取源碼。

曾任 NSA 分析師的 Vincent Liu 就表示:『他們不會直認的,但會說『我們要做評估,所以需要源碼』。評估通常由 NSA 做,所以他們很輕易就可得到源碼,全無難度。』

Edward Snowden

NSA 秘密監聽民眾早被「中情局」(Central Intelligence Agency, CIA) 前僱員 Edward Snowden 踢爆,今次「卡巴斯基實驗室揭露 NSA 透過在硬碟機裝間諜軟件,相信令不少美國盟友不安,也使一些跟美國敵對的國家膽顫心驚,為免遭秘密收集情報,可能棄用美國科技產品,打擊美國電腦科技產品的銷量。

今次事件反映 NSA 監控工具無孔不入,勢必令不少國家對美國科技產品產生戒心,以「中國」為例,當局不但規定公職人員禁用 iPhone 和 Window 8,改用國產手機和作業系統,並草擬法例要求大部份銀行的科技供應商,提供軟件原始碼作檢查。 

隸屬美國總統「奧巴馬」(Barack Hussein Obama) 的情報及通訊技術審查小組成員 Peter Swire 指出,美國要清楚考慮,利用軟件漏洞收集情報會對美國貿易和外交關係造成負面影響。

NSA在馬里蘭州的總部

「卡巴斯基實驗室」由「俄羅斯」保安專家 Eugene Kaspersky 創立,所出產的防毒軟件,在「俄羅斯」和「伊朗」等常被美國監視的國家很受歡迎,故此它對「美國」使用的數碼間諜伎倆十分熟悉,令許多科技專家都相信報告的真確性。

除了有能力將間諜軟件藏在硬碟機「韌體」,疑似屬於 NSA 的「方程式集團」,無論入侵技術、所花心思和資源,都明顯比其他黑客超班。「卡巴斯基」報告指「方程式集團」心思非常縝密,入侵 Window 電腦後將惡意程式加密和分開儲存在「註冊表」(registry) 不同部份,令防毒軟件無法偵測。

lainfo_es-9963-hi

報告又指「方程式集團」可誤導 iPhone 進入有毒網頁,令中毒 iPhone 向扮成 Mac 機的指揮伺服器報到,顯示他們已攻破 iOS 和 OS X 裝置。

此外,報告又指「方程式集團」擁逾百伺服器和 300 個互聯網域名,指揮控制基建規模過人,「方程式集團」有多種方法向目標電腦植入間諜軟件,如透過被入侵聖戰網站播毒,又或者向目標研究員寄出曾出席會議照片等內容的含毒光碟,對於不連線上網的電腦,甚至攔截目標訂購的電腦用品郵包,換上有毒軟件安裝光碟或在硬件插 USB 手指播毒,後面兩招可令不連線上網的電腦也中毒。NSA 發言人 Vanee Vines 表示不會公開回應該報告。

美國《紐約時報》

創作者介紹

談奇述異坊

kason2047 發表在 痞客邦 PIXNET 留言(0) 人氣()