【大纪元2012年03月03日讯】(大纪元记者辛彦渥太华编译报导)自从《华尔街日报》报导了现已破产的加拿大北电公司被黑客入侵至少10年的消息后,北电前系统安全顾问布赖恩‧希尔兹(Brian Shields)就面临着越来越大的压力:他被要求给出中国黑客全面入侵北电全球计算机网络系统的证据。希尔兹和一位不愿透露姓名的第三方数字鉴证专家日前接受了《金融邮报》的访问,披露了更多有关他们正在查找的网络犯罪、他们的意图以及北电高层在此事上令人费解的迟钝反应的内幕。
2008年首次找到入侵确凿证据
希尔兹曾在北电工作近二十年。2008年圣诞节前夕,希尔兹花了一天仔细察看了当时北电CEO麦克‧扎菲罗夫斯基(Mike Zafirovski)的网络浏览记录。他相信,一些为中国大陆电信巨头华为公司工作的罪犯入侵了麦克的文件。但他的直觉并没有引起顶头上司的足够关注,因而没能得到直接访问麦克电脑的授权。
“我只好靠自己。那时候我能够访问各种电脑日志文件,于是我查看了麦克的网络日志。”这位现年53岁的前北电员工回忆说。在那里,他终于找到了他曾花了数年时间搜寻的确切证据。
他说:“我花了大约两个月的时间。我在一个雅虎会话(session)中发现,他的一些操作被定向到了北京,而这和其他任何URL的信息显示都不符。它不该发生,这糟透了。”
求助专家 证实黑客来自中国大陆
《华尔街日报》本月早些时候报导,2009年北电破产前,黑客已入侵北电至少10年。此次《金融邮报》的长篇采访,希尔兹和第三方数字鉴证专家又披露了更多细节。
这位不愿透露姓名、就职于美国一家业内领先的计算机安全工具供应商的第三方专家说,攻击者“很明显是中国某理工院校的近期毕业生”,“他们严重欠债”,但2009年似乎获得了“他们意想不到的大笔金钱”。
虽然北电从未正式要求这位专家协助调查,希尔兹早在2008年夏天就已征求他的意见,并请他帮助分析一些他确信被感染的机器。北电自己的反恶意软件专家一直无法找到任何不正当行为的证据,但希尔兹不愿就此了结。
“我认为(帮助布赖恩)让我开始完全参与其中,”这位专家说,“毕竟北电当时还是个非常强大的公司。”
这位数字鉴证专家的分析不仅证实了希尔兹交给他的机器上装有rootkit(一种在基本检查工具无法发现的设备上运行某些进程的恶意软件),并且证实了黑客是专业人士。
“布赖恩将其中一台机器的硬盘擦去并重新映像,”他说,“结果干净了很多,但我还是发现了一些痕迹,说明rootkit仍然存在。这个东西非常复杂,能够在系统重新格式化后仍然存活。”
发现这些隐藏的进程后,鉴证专家跟踪到了入侵者的IP地址——来自中国的IP地址,其中一些还拥有北京郊外一家中文公告板(BBS)的帐户。在BBS那里,他们收集到了黑客的个人资料以及他们在北电系统里所做的事情。
“他们进行监视并搜集情报,”鉴证专家说,“他们监视人们使用什么程序,做什么,读什么邮件,这正是我们公认的间谍活动。”
时至今日,这位专家和希尔兹仍然未能找到黑客与其神秘赞助者之间的直接联系。希尔兹确信中共政府以华为公司的名义参与其中,但无法拿出直接证据。早在2000年,总部位于深圳的华为,其国际市场的年销售额已超过100万美元,而这一年正是许多观察人士认为北电由辉煌走向衰败的开始,也是华为在全球迅速崛起的一年。
如今,许多前北电的客户——包括加拿大最大的电信公司BCE公司,已经转用华为的产品。根据华为今春发布的年度数据,分析师预计,华为将超过爱立信,成为世界上最大的电信设备供应商,那是北电曾经雄踞的宝座。
《华尔街日报》的报导发表后,中共驻华盛顿大使馆发表声明,否认参与任何与北电有关的黑客事件,称不应该在“缺乏彻底调查和确凿证据”的情况下,假设“匿名的跨国网络攻击”来自中国。
保资产出售 北电高层反应冷淡
毫无疑问地,希尔兹相信自己有确凿的证据能证明黑客侵入了北电的系统,即使他不能证明是谁是幕后的推手。
早在2008年底他发现北电CEO麦克的个人电脑被入侵后,就向当时北电的IT安全经理帕特‧科特雷尔(Pat Cottrell)说明了自己的发现。他本以为可以得到彻底检查麦克计算机的批准,但科特雷尔却对他说:“麦克非常忙,他正打算出售业务部门,我们不能因为电脑内存转储的事打扰他。”
但实际情况却是,“麦克甚至不会知道他的电脑发生了‘内存转储’。这最多会使他的机器减速10分钟。”现在科特雷尔女士以和雇主签有保密协议为由,拒绝评论此事。
希尔兹称,自从2004年北电员工在英国发现破坏迹象后,他一直在争取支持。他甚至在2007年11月的内部会议上花了几个小时解释他的担忧。出席当天会议的有北电数名高管,包括企业安全副总裁杰克‧雷耶斯(Jack Reyes)以及企业和系统安全主任兰迪‧卡尔霍恩(Randy Calhoun)。他们要求他准备一份审计报告,但2008年初报告提交后,它从未被传递给高层管理人员。
《金融邮报》无法联系到雷耶斯,目前是达拉斯独立安全顾问的卡尔霍恩则不予置评。当事人麦克还告诉《华尔街日报》,希尔兹是那种喜欢说“狼来了”的人。
对此,希尔兹的回应是:“我也许说过‘狼来了’,(所以)我的老板这么认为,但问题是狼确实来了。”
协助调查的鉴证专家表示“可以理解”,“一旦北电开始抛售公司资产,他们不希望这样的事情被曝光。”
“我敢肯定,购买北电资产的一些人如果知道他们得到的是一堆被恶意软件重度感染的电脑,他们决不会支付那么多钱。”他说:“特别是2009年初,在布赖恩即将大功告成的前夕将他解雇。我和一些朋友真的觉得很可疑。面对这些证据,北电没有采取任何实际行动也很奇怪。”
北电破产后,原来旗下的多个资产目前已由多个不同的公司购买。据希尔兹透露,《华尔街日报》的报导出来后,北电某个买家的IT雇员已经和他联系过。对方问:“你能帮我吗?”
在得知对方是该公司负责电脑安全的唯一员工,同时还身兼其它IT责任后,希尔兹不得不拒绝了。他告诉对方:“你已经告诉了我一切。他们不让大家关注这个问题,而这正是问题的一部份。”
对全球企业的警示作用
此次北电受黑客入侵事件的曝光,不仅为购买北电受感染硬件的公司敲响了警钟,也对全球的企业有警示作用。
希尔兹不认为北电会是加拿大的特例,科技业的领军者都是商业间谍战的目标,且绝大多数黑客攻击来自中国大陆。在必和必拓公司(BHP Billiton)恶意收购萨斯喀彻温省PotashCorp公司一案中,加拿大金融街上的相关公司都遭到源自中国大陆的黑客攻击,目的是窃取关于这项380亿元商业收购案的内部消息。同样是这群骇客,2010年秋天又袭击了加拿大政府、财政部、国库、国防部下属的国防研究发展部门等政府机构,使他们的电脑中招被黑。
2001-2008年间出任TELUS公司副总裁和首席安全官的基因‧麦克莱恩(Gene McLean)认为,尽管近年来对全球主要企业网络的高调攻击在迅速增长,许多高层管理者仍不能认识到这种网络攻击潜在的巨大破坏性。
实际上,这种安全意识的缺乏有日益增加之势。去年十月,安全软件公司赛门铁克公布的一项研究表明,尽管相较前面一年,网络攻击变得更加频繁和复杂化,电信网络运营商、电网、供水系统和其他重要服务却反而“更少关注威胁,也更少防备”。
“如果它是一种广泛传播的事件,且当时北电还是一个全球著名的、受人尊敬的公司,他可以轻易地雇佣半打人找出问题的原因并解决它。如果这样做,就必然要让高层领导者了解它的重要性。”麦克莱恩先生说。