近日,美国《华尔街日报》等媒体曝出北电网络公司“在长达十年的事件中被黑客自由光顾”的消息。据称,曾在北电网络工作19年的电脑系统高级顾问希尔兹向该报透露,黑客早在2000年便已经渗透北电的计算机网络,他们窃取了北电高管的七位数密码,并将间谍软件埋藏在部分员工的计算机内,黑客们几乎能够获得自由获得北电的任何信息。
收购北电将传承间谍软件和黑客入侵?
北电网络(Nortel Networks)是加拿大著名的电讯设备供应商,2001年遭遇互联网泡沫股价暴跌,加之愈演愈烈的财务丑闻,公司元气大伤,从顶尖的电信设备商的行列中退出。2009年,北电网络申请破产保护并先后进行分拆出售。爱立信以11.3亿美元竞得北电CDMA和LTE的业务资产,Avaya以4.75亿美元收购了北电网络的企业解决方案业务,城域以太网业务被Ciena 5.21亿美元收购,GenBand以1.82亿美元收购网络电话设备部门。而在2011年7月,苹果、微软、爱立信、索尼、RIM和EMC等组成的财团,以45亿美元收购了北电的6000项专利。
北电网络在出售资产之前并未解决黑客入侵的问题,也没有向潜在买家告知这一问题。对此,前美国政府网络安全情报中心的麦克格克(Sean McGurk)警告称,收购方很可能将被收购方遭遇的间谍软件或黑客入侵等危险一并传承。购买文件或知识产权时,很可能也买下了隐藏在其中的木马及间谍软件。
对此,Ciena发言人表示,并未在北电网络破产出售过程中获知相关的北电网络可能遭到入侵的事实。Avaya表示收购后才获知入侵之事,但Avaya已经对相应问题进行审查并进行了合理的处置。Genband拒绝讨论此事。爱立信称只是收购了北电网络的特定资产,而非整个公司或者其内部网络,而且自己的网络有完备的安全标准,并且一直受到监控,所以并没有要求北电网络披露黑客问题。
然而,如此严重的安全事故,作为上市公司的北电网络并没有向美国证卷交易委员会予以报告,也没有彻查此次相关问题,并在出售公司前告知收购方相关情况,这的确做得不太光彩。
北电遭到入侵时在职的3位首席执行官在回应置评请求时,2位不予回应,另一位扎菲罗夫斯基(Mike Zafirovski)说,审视了黑客事件的人都觉得这不是什么严重的问题,我们从来没想过,这是个真正的问题,需要向潜在买家披露。他认为黑客入侵不会波及到收购北电业务的买家。
然而,前北电信息技术的员工却告诉记者,相当多的员工在迁至Avaya和Genband后,仍继续使用北电的笔记本电脑和台式电脑,并将电脑连到这些公司的网络上。其中一人说,他可以肯定地说,在他的机器连到Avaya的网络上之前,并没有经过对可能黑客入侵的检测;他估计,存在类似问题的机器总数有几百台。而这两家公司对于北电机器与其网络相连的问题拒绝置评。
拼凑北电被入侵十年的蛛丝马迹
曾在北电网络工作19年的电脑系统高级顾问希尔兹曾在北电网络牵头进行过一次针对黑客行为的内部调查。
希尔兹和北电电脑安全部门的几名管理人员很快发现,黑客显然已经获取了七位高管的密码,包括一名前首席执行长的密码。希尔兹及其同事确定,从至少2000年开始,黑客一直入侵北电的网络。
希尔兹说,黑客几乎可以访问公司的全部系统,因为北电网络的内部结构几乎没有设置任何障碍。他说,一旦你进入北电的网络,就畅通无阻了。
据包括希尔兹在内的几名北电网络前员工说,在内部调查过程中,北电没有采取行动判断其产品是否也受到黑客入侵的影响。希尔兹曾是北电网络的系统安全高级顾问。他说,调查持续了大约六个月,一度曾涉及三名员工,后来由于缺乏线索,就不了了之了。
希尔兹说,大约六个月后,他发现有迹象显示黑客仍在系统中。每隔一个月左右,网络中的几台电脑就会向与密码盗取事件中相同的网址中的一个发送少量数据。安全专家说,像这样的意外数据传送(即一台电脑向另一台电脑发送检测网络连接状态的Ping指令)常常意味着系统中存在间谍软件。
一位了解北电调查的人士说,这是隐藏得非常深的间谍软件,那些电脑上有些东西让电脑这样做,找到这些东西非常困难。
希尔兹说,2008年,他知道了一个新型检测程序“内存转储”,他可以在被怀疑受到黑客攻击的电脑上运行这个检测程序。不过,那时北电已深陷财务困境。为降低成本而进行的裁员开始了,公司股价暴跌,高管们想尽一切办法试图指引公司在迅速变化的电信行业中存续下来。2009年1月,北电申请了破产保护。
当年3月,希尔兹获得了批准,可以对大约50台他注意到偶尔与上海网址通讯的电脑中的两台进行检查。不过,几周内,希尔兹本人也被裁员了,成为当时北电新一轮降低成本措施的牺牲品。
希尔兹说,他离开北电的次日,就接到了这两台电脑的检测结果,此前北电反病毒专家并未检测出这两台电脑有问题。黑客在电脑上安装了间谍软件,可以远程对电脑进行控制。希尔兹说,黑客还对员工的电子邮件进行监测。
2009年发现的这个间谍软件是个复杂的混合体。据了解这起调查的两名人士透露,研究人员在这两台计算机上都发现了一个极其有害且难以被检测到的间谍软件,也就是“木马”,黑客可利用该软件完全控制计算机,并掩盖其间谍行动。
黑客在其中一台计算机上设置了一个连接北京附近某互联网地址的加密通信通道。调查人员在另一台计算机上发现了一个程序,黑客当时可能是利用这个程序在北电网络的公司内网中寻找其它安全漏洞。据了解调查情况的一名知情人士透露,这些黑客创建了一个“可靠的后门”,使其能自由出入北电网络的公司内网。
对调查知情的五位前北电网络员工说,该公司对于希尔兹收集到的这条新信息没有采取任何行动。其中一个员工说,这件事情就这么过去了。
不久后,希尔兹重新受雇于北电网络另一个部门担任顾问。2009年6月,希尔兹向时任北电网络首席执行长的扎菲罗夫斯基递交了一份15页的报告,其中详述了近10年来公司受到黑客入侵的情况。
希尔兹在报告中写道:中国黑客仍潜藏在公司内网中,我们从来就没有彻底摆脱他们,我个人不会信任你在计算机上所做的任何事情,因为你的计算机极有可能正被监视。
然而此时的北电正处于分割出售的时期,根本无暇顾及这桩扑朔迷离的安全问题。
编辑后话
安全威胁真的非常坑爹,其破坏性大而且隐蔽,尤其是像这样长期盯着你的APT(高端持续性攻击)。它完全能在你业务最高潮时,给你泼下一桶结实的冷水,并且如幽灵般突然出现在你背后,吓你到半死。与这个被害者相关的其他关联人,也都会因此受累,传承危害。看到这里,各位是不是觉得有点像恐怖片?
言归正传,企业需要加强安全敏感度,对于异常状况不可听之任之,及时修复可能存在的安全问题,避免病入膏肓的窘境。