陳 俊
在這1000多萬個被Conficker感染的IP地址所屬國家和地區(qū)排名中,排在前四位的居然是中國、巴西、俄羅斯以及印度——恰好是未來最有發(fā)展?jié)摿Φ摹敖鸫u四國”。
特殊的日子總會有特別的故事,互聯(lián)網(wǎng)世界最富懸念的驚爆大戲,也許會在2009年4月1日這一天拉開大幕。
故事的主角是一個名為“Conficker”、大小只有數(shù)百K字節(jié)的電腦蠕蟲病毒??蓜e小看了它——通過感染全球1500萬臺以上的電腦“僵尸網(wǎng)絡(luò)”,它所能駕馭的能量已經(jīng)堪稱網(wǎng)絡(luò)世界的“核武”。問題的關(guān)鍵在于,它的主人、正被微軟以25萬美元懸賞的幕后黑客,究竟會否在4月1日這一天將其引爆,掀起災(zāi)難性的網(wǎng)絡(luò)攻擊?還是僅僅只是為了跟全球互聯(lián)網(wǎng)開上一個超級愚人節(jié)玩笑?謎底正在揭開。
初露猙獰
很多人聽說Conficker蠕蟲病毒,是在法國海軍戰(zhàn)機停飛的事故之后——今年1月,一名法國士兵在家中使用U盤感染了Conficker,蠕蟲被帶回海軍內(nèi)網(wǎng)后大面積擴(kuò)散,軍方電腦數(shù)據(jù)庫也未能幸免,以至于“颶風(fēng)”戰(zhàn)斗機飛行員無法下載飛行計劃。除法國海軍內(nèi)網(wǎng)外,英國、德國等國部分軍事系統(tǒng)相繼爆出Conficker入侵的消息,英國議會電腦網(wǎng)絡(luò)近日也宣告淪陷。
“這是一種利用局域網(wǎng)和可插入USB端口的任何設(shè)備快速傳播的電腦蠕蟲,黑客可以使用Conficker蠕蟲攻擊竊取個人和財務(wù)數(shù)據(jù)?!盋NN在今年1月的新聞報道同時指出:“現(xiàn)階段來說,該蠕蟲病毒帶來的傷害還不算非常嚴(yán)重,因為到目前為止,它并沒有試圖竊取個人或信用卡資料?!?/p>
這些正是最令研究人員困惑的問題,Conficker到底想要什么?長期以來,蠕蟲、木馬、后門程序、流氓插件等等惡意程序一直被人們視為“洪水猛獸”,因為他們要么是偷竊用戶電腦隱私和數(shù)據(jù)的“賊”,要么是拖垮受害者電腦系統(tǒng)的“無賴”,或者就是瘋狂騷擾用戶的“流氓”。然而,Conficker出世半年來,一直都只是通過電腦系統(tǒng)漏洞默默地傳播自己——一方面屏蔽微軟的安全更新和安全廠商網(wǎng)站,讓中招用戶無法清除;另一方面還幫助電腦系統(tǒng)阻止其他木馬病毒入侵,仿佛在扮演一種“俠盜”的角色,從不傷害“手無寸鐵”的無辜網(wǎng)民,甚至被微軟中國安全研究人員“大牛蛙”稱為“模范蠕蟲”。
是“梁山好漢”還是“王莽謙恭未篡時”?直到Conficker的第三個變種Conficker.C,它才突然露出了猙獰的獠牙。
3月19日,國際知名安全廠商冠群金辰公司率先宣布,從4月1日,也就是西方愚人節(jié)這一天起,Conficker.C蠕蟲病毒將向全球網(wǎng)絡(luò)發(fā)起大規(guī)模攻擊。趨勢科技(Trend Micro)則向用戶緊急發(fā)布預(yù)警郵件,宣稱WORM_DOWNAD.KK(趨勢科技對Conficker.C變種的命名)將在愚人節(jié)當(dāng)天自我修改程序,以進(jìn)行下一波的網(wǎng)絡(luò)攻擊。幾乎同一時間,國內(nèi)最大的網(wǎng)絡(luò)安全廠商360安全中心也發(fā)布預(yù)警稱,通過分析,安全專家發(fā)現(xiàn)Conficker.C正在它所感染的電腦中進(jìn)行休眠的死循環(huán),一旦系統(tǒng)時間到2009年4月1日之后,它就會清醒過來,在一系列浮點運算后向上百家預(yù)先指定的網(wǎng)站發(fā)送數(shù)據(jù)包,雅虎美國、迪斯尼、Facebook、Youtube等國際知名網(wǎng)站都成為其攻擊目標(biāo),百度、騰訊搜搜、開心網(wǎng)、天涯等國內(nèi)網(wǎng)站也赫然在列。
“這將是一場被精密計劃和組織的大型網(wǎng)絡(luò)攻擊,它所設(shè)計的協(xié)同作戰(zhàn)模式無異于一場正規(guī)的軍事行動?!睆膰H安全研究組織MTC(Malware Threat Center)對于Conficker的研究報告中可以看到,“Conficker.C具備了HTTP時間查詢功能,就像警匪片中的戰(zhàn)前‘對表一樣,一切攻擊行為都在被其作者精確控制?!?/p>
新“恐怖主義”
正如一場好戲中會不斷上演矛盾沖突一般,另一些安全機構(gòu)則對于Conficker的爆發(fā)持懷疑態(tài)度。安全公司Sophos的研究人員表示,大規(guī)模的網(wǎng)絡(luò)攻擊并不會如期出現(xiàn),Conficker蠕蟲的作者要造成重大的網(wǎng)絡(luò)故障是沒有意義的,因為一旦互聯(lián)網(wǎng)通訊被破壞,他們也就賺不到任何錢。
賽門鐵克安全響應(yīng)中心研究人員的態(tài)度則搖擺不定,他們證實了Conficker.C中威脅代碼的存在,但并不確信4月1日會發(fā)生什么?!斑@或許又是千年蟲未能實踐可怕預(yù)言的重演?!毖芯咳藛T猜測道。
另一項傳聞則更令人欣慰,一個由安全研究人員、技術(shù)公司、加入ICANN的域名注冊公司組成的國際聯(lián)盟披露,他們已經(jīng)采取了前所未有的措施切斷了Conficker與操控它的服務(wù)器之間的聯(lián)系,中國互聯(lián)網(wǎng)絡(luò)信息中心便是該聯(lián)盟成員,有消息稱“中國和美國合作挫敗了一次全球范圍的嚴(yán)重的惡意攻擊”。然而,無論是中國互聯(lián)網(wǎng)信息中心,還是ICANN抑或是微軟,都并未對傳言發(fā)表評論。
“唯一可以確定的是,Conficker蠕蟲黑客具有非常高深的互聯(lián)網(wǎng)編程技術(shù)、先進(jìn)的密碼技能、定制雙層編碼封裝和編碼模糊技術(shù),以及Windows與安全產(chǎn)品的深度知識?!?60安全專家石曉虹博士分析說:“Conficker緊跟時代潮流幾乎應(yīng)用了當(dāng)前最前沿的黑客技術(shù)。比如,當(dāng)前最先進(jìn)的加密算法是MD6算法,而就在該算法公布不久,Conficker的B變種中就使用了該算法。一開始MD6算法本身還存在缺陷,導(dǎo)致黑客無法藉此控制整個Conficker僵尸網(wǎng)絡(luò),但這個聰明的作者顯然也很清楚這個缺陷,在其C變種版里很快就更新到了最新的算法?!?/p>
另據(jù)MTC發(fā)布的最新數(shù)據(jù),Conficker感染電腦所占據(jù)的IP地址在全球共計10512451個,其中包括1022062個局域網(wǎng)IP,也就是說,Conficker幕后黑手控制的“僵尸”電腦保守估計也在1500萬臺以上。
2002年,黑客僅控制百萬級的僵尸網(wǎng)絡(luò)發(fā)動DDOS攻擊,就把位于美國的DNS根服務(wù)器徹底攻癱,從而導(dǎo)致谷歌、微軟、IBM等全球大網(wǎng)站癱瘓多時。這意味著,如果Conficker背后的黑客樂意,他可以利用這上千萬臺電腦做任何事——無論是攻癱互聯(lián)網(wǎng)上的任何服務(wù)器,還是讓垃圾郵件制造者發(fā)送數(shù)十億個垃圾郵件信息。
這個判斷似乎可以解釋,為何微軟公司今年2月決定懸賞25萬美元來追蹤Conflicker的幕后作者——這個懸賞金額與上次微軟全球懸賞“震蕩波”蠕蟲作者的標(biāo)準(zhǔn)相同。當(dāng)時“震蕩波”導(dǎo)致了全球數(shù)百萬電腦的感染,造成了5億到10億美元的估算損失。
更為巧合的是,在這1000多萬個被Conficker感染的IP地址所屬國家和地區(qū)排名中,排在前四位的居然是中國、巴西、俄羅斯以及印度——恰好是未來最有發(fā)展?jié)摿Φ摹敖鸫u四國”。這個巧合給Conficker蒙上了一層更為神秘的色彩。
Conficker.C變種出現(xiàn)后, MTC的研究人員指出:最好的情況可能是,Conficker蠕蟲被用作大量互聯(lián)網(wǎng)詐騙和偷竊的長期獲利平臺;而最糟糕也最讓人不寒而栗的情況是,Conficker蠕蟲可能成為信息聯(lián)合侵襲的強大武裝工具,不僅能使各個國家限于一片混亂,而且能使整個互聯(lián)網(wǎng)中斷。
網(wǎng)絡(luò)世界中惡勢力林立,有大范圍破壞電腦系統(tǒng)或是攻擊網(wǎng)絡(luò)服務(wù)器的“技術(shù)狂人”,他們圖的是名;有偷網(wǎng)銀偷網(wǎng)游偷個人資料的盜賊,他們圖的是利。Conficker幕后的控制者(更可能是黑客組織)絕對是卓爾不群的,從未有任何一種惡意程序像Conficker一樣,還沒造成多少危害,就已經(jīng)制造了數(shù)字時代的全球性恐慌。■