对于Google可能退出中国声明中提到的此前所受到的攻击,安全技术界给出了各种解释。
VeriSign公司的iDefens实验室的安全分析师发布了一份媒体公告,称黑客攻击了主要的源代码库。
VeriSign说超过30家技术公司遭到了一系列攻击,这有可能始于七月份的一种类型相近的攻击,这一攻击通过包含恶意PDF文件的电子邮件信息攻击了100个IT公司。金融和防御机构也有可能遭到了攻击。
VeriSign iDefense在其公告中称:据熟悉这种攻击的人员透漏,攻击者采取了传播针对Google的恶意代码的方式和使用PDF作为电邮附件的攻击方式;这些文件的特征和去年7月份一次攻击的特征很相似。这两起攻击中,恶意文件都在Windows DLL中安插了一个后门木马。
VeriSign说这两起攻击使用了相似的IP地址,并使用了相同的命令和控制结构。这些IP地址都属于Linode(一家美国的虚拟私有服务器主机供应商)所有。
VeriSign说:考虑到它们是如此接近,有可能这两种攻击就是同一种攻击。那些遭到硅谷攻击的组织自七月以来就一直处于威胁之中。
类似的分析在《MIT 技术评论》的这篇文章中有比较全面的介绍。
而McAfee CTO George Kurtz(也是《黑客大曝光》一书的作者之一)则明确不同意这种观点,他在博客中称,Google所受攻击应该源于一种新的此前不大为人所知的IE漏洞。McAfee已经向微软通报了此漏洞,预计不久微软将提供相关建议。他表示,攻击主要针对某些能够访问重要知识产权的特定人员,攻击者向他们发送像是来自一个信任来源的链接或者附件,诱使目标点击,不知不觉中下载和安装恶意软件,为攻击者打开后门,进入所属公司的网络。
Kurtz将这种攻击命名为Aurora(极光)。他在文中还说到,安全威胁已经进入了一个新时代,类似的攻击只是冰山之一角。与之前常见的影响广泛的病毒如红色代码不同,这种攻击需要复杂而精巧的社交工程配合,一般目标极为明确,往往指向有利可图或者机密的知识产权。
【更新】
微软已经在自己的网站发布了一个关于 Kurtz所述IE漏洞的安全建议,其中指出,漏洞是IE中的一个无效指针引用。在一些情况下,这个指针可能在对象删除之后仍然能够访问。在精心设计的攻击中,通过试图访问已被释放的对象,IE可以被用来允许远程代码的执行。
微软表示,该漏洞将影响Windows各版本上的IE 6到IE 8浏览器。只有较老的IE 5.01 SP4不受影响。如果怀疑自己的电脑已经受到这一漏洞的影响,可以访问https://consumersecuritysupport.microsoft.com/default.aspx?mkt=en-usscrx=1。
微软公司已经承诺尽快推出补丁。
McAfee的威胁研究副总裁Dmitri Alperovitch表示,这种攻击非常复杂,此前往往针对的是政府和国防部门,应该不是业余者所为。McAfee之所以将这种攻击称为Aurora(极光),是因为该恶意代码的二进制文件路径名是这个单词。相信这是攻击者自己为这种攻击所起的名字。
另据IOActive公司渗透测试总监Dan Kaminsky说,Windows XP及以上版本的DEP(数据执行保护)功能有助于防范此类攻击。另外,虽然Google所受攻击用到的恶意代码只影响IE 6,但这个漏洞仍然可以用来攻击更高版本。不过,Windows Vista和Windows 7采用了ASLR(地址空间布局随机化,address space layout randomization)的保护技术,大大增加了攻击的难度。