腾讯科技讯 北京时间10月5日消息,据国外媒体报道,美国的一位研究人员日前表示,一些犯罪组织已经获取了超过20万个网站的登录信息,并且利用这些域名通过臭名昭著的黑客开发工具包来攻击那些没有设防的用户的个人电脑。这20万个网站中甚至包括美国邮政局的官方网站。
Neosploit是一款专门用于网络犯罪的黑客工具包,它可以被用来对网络浏览器以及苹果QuickTime和Adobe的Adobe Reader等流行的网络软件进行攻击。而一个月之前,安全公司Aladdin Knowledge Systems的安全研究主管伊恩-阿米特(Ian Amit)在该公司的一位长期客户的服务器中发现了Neosploit。通过那台服务器的日志文件,阿米特发现了两三个黑客组织的犯罪记录。记录表明,这些组织已经获得了大量的网站用户名和密码。“我们已经从这台服务器上找到了超过20.8万个网站的服务器登录信息,”阿米特说,“其中已经有8万多个网站被修改并添加了恶意内容。”
窃取网站的登录信息只是一个开始:这8万个被修改的网站会成为黑客组织的大本营。如果访客是通过补丁程序不全的Windows系统访问上述网站,黑客就可以利用Neosploit工具包在访客的个人电脑中植入恶意代码。
通过对服务器日志的检查,阿米特已经能够确定究竟是哪些网站的登录信息被盗取。他目前正在试图通过与美国境内外的执法机构以及CERT(Computer Emergency ResponseTeam,计算机应急小分队。译注:是由美国联邦政府资助专门研究计算机及网络安全的组织,它们随时提供最新发现的计算机及网络安全问题,并提供一些解决方法。)等机构合作来通知这些网站的运营者修改管理密码,并清除恶意代码以确保网站的安全。目前,大部分泄密网站的名称均处于保密状态,但是阿米特唯一肯透露的是美国邮政局的官方网站(www.usps.gov)。目前,该网站以及一些其他网站的恶意代码已经被清除。除此之外,登录信息被窃取的网站名单中还包括一些其他的政府机构、大学、财富500强等公司,其中甚至包括几家军火制造商的网站。其中超过半数的网站均属于欧洲公司和组织。
阿米特还搜集了一些其他的证据,包括犯罪分子如何获取网站的登录信息以及他们所采用的一些 IP地址。阿米特说:“黑客们通过基于服务器的应用程序实现这种攻击,从验证登录信息到修改网站,整个过程是完全自动的。黑客们通过六七个IP地址来获取这些应用程序,因此这一行为很明显是出于犯罪目的。”根据IP地址的数量和分布情况,阿米特估计大约有两三个犯罪组织参与其中。
超过半数的网站登录信息(约10.7万个)已经被犯罪份子验证并且成功地获得了管理员权限。由于登录信息是通过多个用户渠道获得的,因此这些组织之前很明显已经做了相当充分的准备,并累积了大量的资源。但是阿米特表示,他无法确定黑客们最初是如何展开这些犯罪行为的。他认为,很有可能是从其他人那里购买或者通过专门的“僵尸网络”搜集而来的。
但是,即使已经拥有了这些线索,阿米特却不敢肯定有关部门可以借此确定黑客的身份。他说: “我当然希望能够抓住这些黑客,但是我不能自欺欺人。黑客们采用的是软件即服务(SaaS)的模式,因此很难追踪到他们。”不过,他也表示,有关部门已经找到了服务器负责人的一些线索,这有可能对确定黑客的身份起到帮助。例如,这些服务器是上周才从阿根廷迁到美国的。
阿米特表示,“我们现在已经找到了这些组织的后台服务器。此前的几十年里,我们一直都在通过修补漏洞的方法来提高安全,而现在,既然我们已经知道了黑客们的运作方式和商业模式,就应当采取一些其他的防范措施了。”他说,“我希望此次事件能够对执法机构和安全研究人员起到一定的帮助。”