關於我們
香港輕新聞(Lite News Hong Kong)是一個致力於提供中立報導和獨到評論的網絡平台,成立於2015年9月。我們立足香港,關注全球的政治、時事、經濟、文化和趣聞。
讓筆者講一個發生於不太久之前的故事:在之前揭露來自美國中央情報局(CIA)Vault 7系列的駭客工具文件後,WikiLeaks 2017年11月發表了Vault 8系列,進一步提供基於Vault 7 系列的軟體專案的分析與程式碼,打頭陣的 是CIA所使用的惡意程式控制系統 代號 - Hive。
Hive 可同時控制並發起多項攻擊行動,把不同的惡意程式植入目標電腦。WikiLeaks表示,如果CIA 的網路攻擊行動成功入侵但因為行跡不夠隱密,那麼不管所植入的惡意程式多麼精密、有效率最終都是無效的,而Hive 則解決了這個問題。
在Hive架構上,每項攻擊行動都至少會註冊一個用來進行掩護的網域,執行相關網域的DNS伺服器是CIA向虛擬主機業者租來的,伺服器上所使用的軟體皆已按照CIA的指定的規格客製化,它們只是CIA 施行網路攻擊的跳板,且藉由VPN與HTTPS連結到另一個被隱藏的CIA伺服器—Blot。
此外,作為掩護的網站上有著看似正常的內容,一般人根本無從察覺。 因此,Hive所建立的通訊平台允許惡意程式將資訊回傳至CIA的伺服器,也能接受來自CIA 的指令,但就算植入於目標電腦的惡意程式被發現了,也很難回溯追究到CIA身上。
WikiLeaks 同時也公布了Hive系統的原始碼、操作環境、開發者指南、架構配置指南,以及 操作手冊等。
Hive可同時控制多項攻擊行動,把不同的惡意程式植入目標電腦。WikiLeaks表示,如果CIA的網路攻擊行動不夠隱密,那麼不管所植入的惡意程式有多精密都是無效的,而Hive則解決了這個最棘手的問題。
為了方便解釋,我們將 Hive 分成四個主要的功能區塊:
相當於木馬程式的受遙控節點,主要是接收來自伺服器的指令以及按照預置的命令進行資料收集或控制用戶電腦的動作。
受控端透過Apache 網頁伺服器,為裝成正常的http封包進行流量導出,這是第一層跳板。
為避免封包被追蹤而洩漏封包接收伺服器的位置,因此偽裝的http封包與OpenVPN將封包加密後,往下一層負責掩護的伺服器傳送,中間的流量因為經過加密,因此可以避免被直接追溯到二方通信的真實來源(包含用戶端以及封包接收伺服器)。
a.掩護伺服器 Cover Server
偽裝成一部功能完全正常的網頁伺服器,可以自動回應外部的詢答,也可以依據連接的port 請求而偽冒成不同內容的網站。
b.控制伺服器 Honeycom
可以對遠端受控的電腦下達預設的指令,是竊密或破壞行動發起的中心。
c.網域伺服器 DNS Server
提供網域與網路位址轉換
d.情報與紀錄儲存伺服器
將受控端所獲得的情報以及情報網路活動的紀錄寫入資料庫,可供後續分析運用。
要特別注意的是,根據維基解密所洩漏的程式碼顯示,Hive 本身會使用一張偽冒成俄羅斯卡巴斯基實驗室(Kaspersky Lab)的簽章進行 SSL Certificates 封包加密的簽名,這表示一旦事蹟曝光,第一時間也不會指向中情局,而是俄羅斯的情報系統。
不久之後在華爾街日報在其報導中提及防毒軟體卡巴斯基可能被俄羅斯政府用來作為間諜工具後,美國聯邦政府以資安疑慮全面封殺卡巴斯基(就跟封殺中國資訊通訊產品相同的理由),各政府部門不得採購以及使用卡巴斯基相關產品。
一夕之間,一件尷尬的洩密事件卻變成絞殺卡巴斯基的工具,因為Hive 的設計者在裡面用了一張偽冒的卡巴斯基實驗室簽章,這個簽章就成為美國政府的證據(美國政府當然不會承認「Hive是中情局開發」的指控了)。
正當美國全面圍剿卡巴斯基之際,這篇德國之聲的報導,卻持不同的看法,報導引述德國政府的資安官員的話- 沒有任何證據證明卡巴斯基與間諜行為的關係。當然,美國並未有理會,繼續攻擊及封殺卡巴斯基,直至今天。
這個事件是個典型的例子。
我在臉書上一直告訴大家一個觀念-國際關係與大國利益的對抗是上層結構,在這個結構下才衍生出目前我們看到的外交、軍事以及經濟貿易的關係。
我們常常在不自覺中受到這些深藏在背後角力的影響,不論是你的食、衣、住、行、娛樂,甚至你看到的〈復仇者聯盟系列〉,你聽到的新聞主播下意識的用語。
委內瑞拉的局勢、北韓核子問題、台灣與對岸的戰爭與和平……身在局中的人是無奈的,只有當你可以弄清楚上層結構的變化,並且能看到綿密交織中的缺口,你才能夠趨吉避凶,掌握自己的命運。
文章原刊載於邱老師博客,輕新聞獲授權轉載。
手機分享本文: