2010 年 10 月美国 FBI 监控网络是系统突然响起警报,美国 NASDAQ 股票交易所的中央服务器遭骇客入侵,此次入侵不仅仅是为盗取数据,而是植入恶意程式破坏 NASDAQ 的日常交易,美国网络安全专家认为这是一起来自其他国家情报机构的骇客攻击。该事件在当年引发了长达 5 个月的调查,至今仍有许多谜团没有解开。
骇客攻击几乎成为了网络时代的家常便饭,大到 Google、Facebook,小至无名个人小站都面临着不计其数的骇客入侵,各国家的情报系统也跟此类事件有着模糊的关系,透过入侵网络盗取武器设计图、生化研究成果、经济发展数据,网络攻击已经演变成一种军事打击。 2010 年美国和以色列合作开发的 Stuxnet 病毒,导致伊朗境内的铀浓缩装置的安全机制瘫痪,铀浓缩的离心机失控,网络攻击的战斗机可见一斑。 2012 年伊朗使用简单快速的 Wiper 病毒摧毁了 Saudi Aramco 石油公司七成的网络系统宕机。
被广为报导的涉及政府和军事网络的骇客入侵事件少之又少,2010 年的骇客入侵 NASDAQ 服务器则是美国境内重要的网络系统被植入数位武器。 2011 年美国国家安全署 NSA 认为此次攻击存在巨大风险,必须深入调查,长达 5 个月的调查正式开始。多部门的联合调查甚至将白宫也牵扯其中,从不同层面的分析得出了完全不同的结果,对于谁是幕后主导仍然是一筹莫展。美国众议院情报委员会主席Mike Rogers 表示,到目前我们能够确认的就是 NASDAQ 的服务器被攻击,骇客获得了进入一家美国证券交易所的权限,其他的一无所知。
在 NASDAQ 服务器遭攻击的调查初期,美国国防部、NSA、财政部、FBI 等部门组成的调查小组在简略分析了骇客资料后,就认定事关重大并上报美国总统府。美国特工部门为主导该次调查,多次前往 NASDAQ 交易所,使用曾经入侵该交易所的俄罗斯骇客 Aleskandr Kalinin 资料进行比对,调查结果未能说服其他部门,特工局退出此次调查。
调查显示 NASDAQ 比 FBI 更早检测了骇客入侵,但没有及时公开这个消息,NASDAQ 对于政府调查小组查阅系统数据的行为表现得非常消极,多次争辩后政府部门才使用了 NASDAQ 的电脑系统,发现了多个国家情报机构的入侵迹象。骇客使用了程式代码中的未知漏洞(ZERO-DAY)甚至可以在黑市上交易,标价高达上万美元,使用两个 ZERO-DAY 漏洞表示骇客经验丰富且财力雄厚,很可能是政府支援。当年 Stuxnet 使用了四个 ZERO-DAY 漏洞,骇客熟知不同系统的协调,并参与过高水准的系统测试工作,而攻击 NASDAQ 的骇客拥有和 Stuxnet 同样的幕后资源。
NSA 的报告称俄罗斯骇客入侵了 NASDAQ 交易所,在服务器中植入了数位炸弹,可以预计的最好状况是数位炸弹正在进行系统破坏的时候被发现了,最糟的状况是制造破坏就是此次攻击的目的。调查人员再现了骇客的入侵路线,NASDAQ 如此重要的交易系统,脆弱程度让调查人员震惊了,金融机构的系统一向是安全系数非常高,在顶级骇客面前还是如此不堪一击。
调查人员还发现了多年来不同国家的骇客入侵 NASDAQ 系统的痕迹,有些已经事发几年了,有些活动记录在服务器上留了下来,调查人员可以透过这些记录追踪骇客的入侵行为,有些记录则是因为年月太久无从查找。调查人员认为俄罗斯骇客的调查进展非常缓慢,甚至有可能在事发三个月骇客就已经实施了攻击,由于无法找到确凿的证据,骇客带走了什么也无从知晓。
参与了案件调查的 FBI 纽约总长助理 George Venizelos 表示,网络犯罪安全情况复杂,案情时时刻刻在变化中,骇客的入侵行为失败了,但是美国的金融系统、银行、电子系统等在骇客面前也显得不堪一击。
FBI 的调查人员最后将重点放在了 NASDAQ 的 13 台中央服务器上,这是股票交易所最为重要的技术,NASDAQ 将其分离出来授权给其他地区的交易所使用,骇客入侵的目的可能正是这一系统,数位炸弹被植入后可重复使用,获得权限的骇客可以在全球任何地方连上服务器。
2011 年调查小组最终得出结论,骇客是来自俄罗斯,目的并不是摧毁 NASDAQ 系统或者阻碍交易进行,而是为复制一个 NASDAQ 核心交易系统。此时俄罗斯正在全力将莫斯科打造成全球金融中心,Micex 和 RTS 两大交易所合并成为全球一流的股票交易所,俄罗斯政府派出了顶级的骇客入侵 NASDAQ 以取得相关技术。
不意外的是,俄罗斯官方回应称,他们与此事无关。
题图来自How Russian Hackers Stole the Nasdaq
