自由开放的交流平台bx.tl

[推荐此文给朋友]   [加评论] 去除广告，请点击打印板－》打印版

[博讯主页]->[大陆新闻] 　 　 针对外国驻华记者的恶意软件攻击（报告摘录） 请看博讯热点：网络封锁和压制 (博讯北京时间2009年10月07日 转载)      By Nart Villeneuve and Greg Walton           英文原文：http://tinyurl.com/ycn4z6x (博讯 boxun.com)     中文译文：http://tinyurl.com/y8b7g9s          概述          近期，陆续发生多起针对驻华记者的恶意软件攻击事件。攻击的对象均为在跨国传媒公司工作的驻华员工。这些机构包括：路透社、海峡时报、道琼斯、法新社和安莎通讯社。这些员工都曾收到过一封署名为“Pam”的电子邮件，并且发件人自称是海峡时报的编辑。邮件包含一个含有恶意代码的PDF文档。当PDF文档被打开时，文档中的恶意代码便试图通过Adobe Reader软件的漏洞入侵操作者的计算机。          这一系列攻击事件发生时，恰逢中华人民共和国为庆祝建国六十周年全面提升安保级别。而这些安保措施也已向互联网扩展，因为近期许多反网络审查软件的开发者纷纷反应，国庆期间中国境内网络封锁的力度有很大程度的加强，以阻止网络用户登录国外媒体和新闻机构的网站。          这则简报，乃是恶意软件研究所（Malware Lab）和信息战监控（Information Warfare Monitor）接受某驻华新闻机构（北京外国驻华记者协会会员）的委托，对其公司遭到的一系列恶意攻击所做的抽样分析。          主要发现：           * 电子邮件的正文，以及附带的恶意文档，均使用地道英语写成并包含准确信息。邮件的具体内容讲的是通知收件人，某位记者计划前往中国写一篇有关中国在全球经济中的地位的报道。附件中提及的所有个人均为真实姓名，且都是对于中国经济现状有所了解的业内人士。      * 邮件附件里携带的恶意代码指向的主控服务器域名，在2007年曾经被用于同样目的。和先前的记录一样，此域名解析后的真实IP地址只存在很短时间。      * 此恶意软件试图通过Adobe PDF Reader软件的漏洞实施攻击，类似特征的恶意代码曾于2008年在西藏流亡政府驻伦敦的办公室的电脑中被发现，并被包含在政治主题的附件里。      * 此次攻击，恶意代码中指向的IP地址均位于台湾境内。其中之一是台湾国立中央大学（National Central University）师生用于下载杀毒软件的服务器地址。另一个IP地址则属于台湾学术网络（Taiwan Academic Network）。由于攻击者很可能已经将恶意代码植入师生使用的杀毒软件中，因此这无疑是巨大的网络安全隐患。          责任归属相关问题          通常来说，确定谁应该为这类攻击事件负责的问题是困难的。然而，通过分析域名注册等相关信息，有时也可以为我们提供一些线索。          域名“pc-officer.com”和“amberice.com”于2007年由“wei zheng”（音译：郑伟）注册。注册时提供的电子邮件地址为：“sunny@hetu.cn”，电话号码：86-010-4564654。这些信息和注册另一些域名时所使用的信息吻合。比如，“wei zheng”还注册过域名“fclinux.com”，提供的电子邮件地址为：“asdfi@hotmail.com”，电话号码：86 10 13810358162。“wei zheng”还注册了域名“winxpupdata.com”，提供的电子邮件地址为：“afsaf@hotmail.com”，电话号码：86 10 13810358162。另外，北京和图时代网络技术有限公司（Hetu Time Networking Technology）还注册过许多五花八门的域名，如“ag365.com”，注册者为“lin long”（音译：林龙），电子邮件地址为“harry@hetu.cn”，同时，技术相关联系人为“lin hai”（音译：林海），电子邮件地址为“sunny@hetu.cn”。          这里，和图公司和攻击者的关系不明，因为前者是一家域名注册和网络空间提供商。注册者提供的信息可能和攻击者本人无关，但和攻击者指使的第三方有关。          考查责任归属问题还有另一条途径。我们无法判断受雇于外国媒体公司记者的电子邮件地址是如何被攻击者获得的。但路透社关于此事的新闻报道中提到的一点值得注意：          “星期一发生的“Pam Bourdon”邮件攻击事件针对驻华外国记者的新闻助理，这些助理的姓名通常不在新闻报道中出现，并且按规定是通过向外交部负责的外交人员服务局雇用的。”          考虑到这些新闻助理的联系信息不出现在公开场合，而只在中国外交部登记，这不能不引起人们对于后者在此次事件中扮演的角色产生质疑。然而，另一种解释是，攻击者从2007年便开始积极入侵和收集相关信息，手中的联系方式很有可能是从先前攻占的计算机中窃取到的。事实上，电子邮件正文和附件中的准确联系信息正是通过这种方式窃取到的。          没有证据显示，中国政府直接涉及这一系列攻击事件。          然而，此次事件发生的时间和针对的对象确实容易引起人们的猜忌。随着中华人民共和国六十周年大庆的日益临近，人们很难把针对路透社、海峡时报、道琼斯、法新社和安莎通讯社的攻击看成孤立事件。这些机构收到量身定制的攻击，但却动机不明。除此之外，利用捕获的台湾国立中央大学和台湾学术网络的计算机实施攻击，无疑将使已经紧张的台海关系雪上加霜。          英文原文：http://tinyurl.com/ycn4z6x     中文译文：http://tinyurl.com/y8b7g9s _(博讯记者：黄健) (博讯 boxun.com) 点击这里对此新闻发表看法

自由开放的交流平台bx.tl 在此做广告，联系博讯

联系我们 All rights reserved 博讯是畅所欲言的场所、所有文章均不一定代表博讯立场 声明：博讯由编辑、义务留学生、学者维护，如有版权问题，请联系我们。另外，欢迎其他媒体 转载博讯文章，为尊重作者的辛勤劳动以及所承担风险，尊重博讯广大义务人士的奉献，请转载时注明来源和作者。