Company那一年末遭遇的勒索性攻击并非意外,而是源自一个严重的漏洞。Opsec建议Compnay秘密采取行动。攻击者应该已经知道自己未能窃取Company的数据。这个勒索软件只是采用了现成的模块,并不算复杂,大概是在被发现前的两三天刚刚实施的。
问题在于,这个勒索软件是如何渗透进来的。令Opsec惊讶的是,他很快发现这其实是一次大型攻击中附带的一场小型攻击——虽然这次大型的攻击活动直到当时才刚刚被发现,但距离攻击发生的时间已经过去整整一年。这次大型攻击才是真正的主角,但规模依然未知,但Company的网络其实早已被秘密控制。
Opsec发现,攻击者先是入侵了一家分包商,这是一家全球性的离岸支付处理商,专门处理各种信用卡交易。之后,他们便获得了这个网络的控制权,并通过一个合法后门进入了Company的网络。这次攻击堪称一件艺术品。攻击者专门为这项任务编写了软件,然后借助木马加载了很多恶意模块。而此次攻击之所以能够成功,很大程度上是因为Company为了提升运营效率而不顾Opsec的建议,忽视了网络安全问题。
攻击者的目的十分明确。首先,他们使用网络内的“反转点”来进一步隐藏自己的踪迹,然后潜入中央域名控制器,在那里获得了自己的管理员帐号,相当于破解了1亿个用户名和密码,然后便可在整个网络内推送软件包。
然后,攻击者进入了网络的“建设”系统,在这里,软件变动会被汇总起来,然后上传到内容分发网络,以供用户下载更新之用。通过这种方式,他们便可捆绑自己的软件包,并将其插入到常规流程中,有可能借此入侵7000万台PC。但他们当时并没有采取这一措施,而是在3台独立的网络电脑中安装了3个空的回调木马,使之原地待命,等待进一步的指令。Opsec和他的团队认定,攻击者是在为快速构建巨型僵尸网络打基础。
僵尸网络指的是大量受感染的电脑组成的非法网络,这些电脑表面看起来很正常,但实际上已经被黑客秘密控制,可以整合起来获得强大的计算能力。世界上最大的僵尸网络包含了数百万台电脑。
僵尸网络很久之前就已经诞生,虽然没有人知道具体活跃的僵尸网络有多少,但数字肯定很大。有的僵尸网络可以实现自我传播,但多数都需要主动(可能是无意的)下载。但无论如何,这都大大加强了暗网的力量。有些僵尸网络具有商业目的,在黑市上提供各种服务。还有的则归私人所有。
僵尸网络最简单的用途就是帮助黑客发动DoS攻击,迫使网站瘫痪。除此之外,它们还可用于执行各种各样的目的——身份盗窃、信用卡欺诈、银行欺诈、情报搜集、高速解码、企业间谍、商业破坏、基础设施攻击(包括工业控制网络、电话系统和互联网本身)。
通过网络攻击造成物理破坏的情况很罕见——伊朗离心机在2010年被震网病毒破坏;德国的一家炼钢厂也在2014年遭到破坏:乌克兰电网于2015年因为黑客攻击而停电——但只要是单一电脑能够造成的破坏,僵尸网络都可以实现更高的效率。
僵尸网络价值极大,但也可能非常短命,所以它们的创造者通常会在建设完成后尽快使用。正因如此,Company遭到的攻击才变得十分古怪。攻击者不遗余力地插入了木马,但却并没有采取进一步的行动。原因何在?
攻击者完全可以创造规模巨大的僵尸网络,如果他们借助同样的支付路径——他们很有可能已经这么做了——那就有可能创造迄今为止规模最大的僵尸网络,控制约2亿台电脑。
Opsec认为,攻击者唯一可能的目的就是提前埋伏,等到万不得已时再使用。这就像是一个为全面网络战争而准备的核武器。而整个世界似乎的确在向着这个方向发展。有人甚至认为,全球化的网络战争已经爆发,因为所有人都遭到了黑客入侵。
倘若不是因为这个勒索软件失败了,这一潜伏行动很有可能永远不会被人发现。Opsec认为,攻击者显然想要为自己赚点外快,所以才通过其主管团队之前开辟的路径发出了勒索要求,但却无意间暴露了整个行动。倘若此人身份泄露,他的未来恐怕不容乐观。
在谈到此次潜伏行动的未来时,Opsec很难进行推测。但他透露,美国国家安全局已经介入此事,只是没有直接毁掉这个僵尸网络,而是对其展开秘密监视,以便在必要时采取行动。
Opsec本人的应对方式则是另外一个问题。他表示,自己完全有能力入侵对手的网络,然后找到负责控制恶意软件的大脑,入侵他们的C2服务器,并了解其获取了哪些信息,再在基础设施中插入一条命令,让所有恶意软件自我删除。于是,这个僵尸网络就会毁灭。或者,作为礼物,他也可以把那个偷偷安装勒索软件的人的身份告知对方。
那么,Opsec是否这样做了呢?
“当然没有。”他说,因为这有违Company的政策。