Neosploit是一款专门用于网络犯罪的黑客工具包,它可以被用来对网络浏览器以及苹果QuickTime和Adobe的Adobe Reader等流行的网络软件进行攻击。而一个月之前,安全公司Aladdin Knowledge Systems的安全研究主管伊恩-阿米特(Ian Amit)在该公司的一位长期客户的服务器中发现了Neosploit.通过那台服务器的日志文件,阿米特发现了两三个黑客组织的犯罪记录。记录表明,这些组织已经获得了大量的网站用户名和密码。“我们已经从这台服务器上找到了超过20.8万个网站的服务器登录信息,”阿米特说,“其中已经有8万多个网站被修改并添加了恶意内容。”
窃取网站的登录信息只是一个开始:这8万个被修改的网站会成为黑客组织的大本营。如果访客是通过补丁程序不全的Windows系统访问上述网站,黑客就可以利用Neosploit工具包在访客的个人电脑中植入恶意代码。
通过对服务器日志的检查,阿米特已经能够确定究竟是哪些网站的登录信息被盗取。他目前正在试图通过与美国境内外的执法机构以及CERT(Computer Emergency ResponseTeam,计算机应急小分队。译注:是由美国联邦政府资助专门研究计算机及网络安全的组织,它们随时提供最新发现的计算机及网络安全问题,并提供一些解决方法。)等机构合作来通知这些网站的运营者修改管理密码,并清除恶意代码以确保网站的安全。目前,大部分泄密网站的名称均处于保密状态,但是阿米特唯一肯透露的是美国邮政局的官方网站(www.usps.gov)。目前,该网站以及一些其他网站的恶意代码已经被清除。除此之外,登录信息被窃取的网站名单中还包括一些其他的政府机构、大学、财富500强等公司,其中甚至包括几家军火制造商的网站。其中超过半数的网站均属于欧洲公司和组织。
阿米特还搜集了一些其他的证据,包括犯罪分子如何获取网站的登录信息以及他们所采用的一些IP地址。阿米特说:“黑客们通过基于服务器的应用程序实现这种攻击,从验证登录信息到修改网站,整个过程是完全自动的。黑客们通过六七个IP地址来获取这些应用程序,因此这一行为很明显是出于犯罪目的。”根据IP地址的数量和分布情况,阿米特估计大约有两三个犯罪组织参与其中。
超过半数的网站登录信息(约10.7万个)已经被犯罪份子验证并且成功地获得了管理员权限。由于登录信息是通过多个用户渠道获得的,因此这些组织之前很明显已经做了相当充分的准备,并累积了大量的资源。但是阿米特表示,他无法确定黑客们最初是如何展开这些犯罪行为的。他认为,很有可能是从其他人那里购买或者通过专门的“僵尸网络”搜集而来的。
但是,即使已经拥有了这些线索,阿米特却不敢肯定有关部门可以借此确定黑客的身份。他说:“我当然希望能够抓住这些黑客,但是我不能自欺欺人。黑客们采用的是软件即服务(SaaS)的模式,因此很难追踪到他们。”不过,他也表示,有关部门已经找到了服务器负责人的一些线索,这有可能对确定黑客的身份起到帮助。例如,这些服务器是上周才从阿根廷迁到美国的。
阿米特表示,“我们现在已经找到了这些组织的后台服务器。此前的几十年里,我们一直都在通过修补漏洞的方法来提高安全,而现在,既然我们已经知道了黑客们的运作方式和商业模式,就应当采取一些其他的防范措施了。”他说,“我希望此次事件能够对执法机构和安全研究人员起到一定的帮助。”
文章整理:站长天空 网址:http://www.z6688.com/
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
