原文：http://vpc8.com/archives/822
中国黑客可能已经成为了网络安全的梦魇，但要记住的是，他们没有垄断数字间谍领域。

事实上，在过去三年里，针对成百上千个目标出现了一系列黑客攻击活动。研究者们已经将这些攻击活动与一个更加不寻常的嫌疑人联系在一起，那就是印度。

在周一发布的一份报告中，挪威安全公司诺曼（Norman）以及非盈利机构影子服务器基金会（Shadowserver Foundation）的安全研究员们披露了一个黑客行动的细节，他们口中的这场“Hangover行动”所开展的似乎是间谍活动，侦查对象包括保时捷控股（Porsche Holdings）、达美航空（Delta Airlines）、芝加哥商品交易所（The Chicago Mercantile Exchange）、挪威电信公司Telenor、数间美国律师事务所、多家矿业公司，一些巴基斯坦目标以及印度国内的分裂组织。

该组织运作了三年多，共计创建了数百个虚假域名，以进行有针对性的钓鱼攻击，并利用这些攻击侵入受害者的网络。通过冒充该组织的命令并控制服务器以进入由被攻破电脑所组成的网络，研究员们发现超过500个被感染的IP地址位于巴基斯坦境内，另有91个位于伊朗，还有34个分布在美国。

“新鲜之处在于，该组织的运作方式之前通常会令人想到中国，发起的攻击既针对民用企业也针对国家安全利益的防范目标。”诺曼公司的高级研究员斯诺尔·法杰兰德（Snorre Fagerland）说道。“只是我们没有料到会是印度。”

两个月前位于挪威奥斯陆的Telenor公司被攻破，之后研究员们开始追踪这个网络间谍组织。在该公司的网络上发现了信息收集软件——包括令该组织因而得名的“Hangover”或“Hanove”恶意软件——以及用来连接世界各地被感染电脑的服务器线索。通过将各种线索汇聚在一起，他们发现攻击活动可追溯至2010年9月，而该组织的活动于2012年达到了高峰。

法杰兰德说，Hangover组织总共制造了800多个恶意软件的变种。该研究员在报告中写道，“我们所发现的恶意软件数量大得惊人，而且事件变得明朗：入侵Telenor不是一次单独的行动，而是一场针对全球政府和企业的持续攻击的一部分。”

当研究员们看到大量的巴基斯坦攻击目标以及针对印度种族组织开展的活动时，他们开始怀疑这些网络间谍是印度人。研究员们后来发现他们正在研究的木马代码中似乎有印地语单词和姓名。

最终，这些黑客们犯了一个低级错误，允许一些私人注册的域名到期，暴露了姓名和地址。例如，有两个域名注册在普拉克什·简恩（Prakesh Jain）和拉克什·古普塔（Rakesh Gupta）名下，注册地就在印度首都新德里的某两间办公室里。

再如，一名所谓的黑客甚至在公共开发者论坛中发帖提问，就如何从被攻破的诺基亚手机中下载数据一事寻求帮助，并且他还泄露了足够多的信息以致于被搜出了其在自由职业者雇佣平台Elance上创建的完整简历。

诺曼公司的法杰兰德表示，总的说来，该组织缺乏老练的高手，也就是如今网络安全界中许多人所说的“具有高级持续威胁”的黑客——他们往往得到了政府培训和支持。这些黑客并没有利用软件中的“零时差（zero-day）”漏洞——之前未发现的安全漏洞，而是着力于社交工程攻击（social engineering attacks，指在入侵过程中入侵方与受害方之间进行了人际交流——译注）以及利用微软（Microsoft）Word软件、网络浏览器和Java软件中那些较老而没有打补丁的漏洞。

但法杰兰德说，这些攻击的规模和组织意味着该黑客组织即便与印度政府没有明显的联系，也具有一个正式的架构。“该组织不怎么精细，但却十分系统，而且行之有效。”他如是说道。

来自印度的黑客并不是什么新鲜事物。如印度网军等草根组织长期以来不断涂毁巴基斯坦和孟加拉的网站。但Hangover袭击似乎暗示着，像其他国家一样，印度可能正加入利用网络组织间谍活动并且可能会窃取知识产权的行列。“我们看到迹象显示，向这一领域发展的并非仅仅是中国。”法杰兰德说道。“如果你能够得手而且不被抓到，这可能非常有利可图。对情报的需求永远存在。”

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)