2017年XNUMX月,信用报告巨头Equifax 干净:该文件已被黑客入侵,143亿美国公民的敏感个人信息遭到破坏,该公司后来将该数字修改为147.9亿。 姓名,出生日期,社会保险号都以空前的抢劫声传开。 周一,司法部确定了被指控的罪魁祸首:中国。
美国司法部在一项涉及九项罪名的起诉书中声称,中国人民解放军的四名成员是Equifax黑客攻击的幕后黑手,这是长达数年的调查的结果。 就受影响的美国公民人数而言,这是有史以来最大的由国家赞助的盗窃个人身份信息的事件之一。 这也进一步加剧了与中国在多个方面的紧张关系。
美国总检察长威廉·巴尔(William Barr)在宣布指控的新闻发布会上说:“对美国工业的这种攻击与其他中国非法获取敏感个人数据有关。” “多年来,我们目睹了中国对美国人个人资料的强烈需求。”
那种侵略可以追溯到 人事管理办公室的黑客于2015年披露,据称中国黑客窃取了大量与政府工作人员有关的高度敏感数据,直到最近才披露 违反万豪酒店连锁和国歌健康保险的规定.
即使在那组有影响力的攻击中,Equifax在受感染者的数量之多和黑客获得的信息类型方面也脱颖而出。 虽然有些以前 怀疑中国的介入-没有任何信息进入黑暗网络,表明国家行为者而不是普通小偷-星期一,美国司法部的起诉书提出了一个彻底的案子。
7年2017月XNUMX日,Apache软件基金会宣布其Apache Struts软件的某些版本存在一个漏洞,该漏洞可能允许攻击者在目标Web应用程序上远程执行代码。 这是一种严重的错误,因为它使黑客有机会与来自世界任何地方的系统进行融合。 作为公开内容的一部分,Apache还提供了补丁和有关如何解决此问题的说明。
Equifax在其争议解决系统中使用了Apache Struts框架, 都忽略了。 美国司法部说,几周之内,中国黑客就进入了Equifax的系统。
Apache Struts漏洞提供了立足之地。 从那里开始,四个据称的黑客-吴志勇,王谦,徐可和刘雷-进行了为期数周的侦察,运行查询以使自己对Equifax的数据库结构及其包含的记录有更好的了解。 例如,在13月XNUMX日的起诉书中,一名黑客运行了结构化查询语言命令,以识别有关Equifax数据表的一般详细信息,然后从数据库中选择了一些记录。
最终,他们继续上传所谓的Web Shell,以访问Equifax的Web服务器。 他们利用自己的位置来收集凭据,从而使他们不受限制地访问后端数据库。 考虑一下闯入建筑物:如果居民将一楼的窗户解锁而您却设法窃取了员工ID,这样做会容易得多。
他们从那里大饱口福。 起诉书称,黑客首先运行了一系列SQL命令以查找特别有价值的数据。 最终,他们找到了姓名,地址,社会保险号和出生日期的资料库。 美国司法部说,闯入者总共进行了9,000个查询,直到XNUMX月底才停止。
大量收集数据是一回事。 使其未被发现是另一回事。 据称,中国的黑客使用了几种技术来维持对母体的访问。
根据司法部,他们将被盗的数据存储在临时文件中。 特别是压缩的大文件,然后分解为更易于管理的大小。 (起诉书说,他们曾一度将包含49个目录的档案分割成600兆字节的块。)这使得它们的传输足够小,可以避免怀疑。 提取数据后,他们删除了压缩文件以最大程度地减少跟踪。 这也有助于他们在Equifax的网络内部足够深入,可以使用公司现有的加密通信渠道发送查询和命令。 一切看起来像正常的网络活动。
起诉书还详细说明了PLA团队据称如何在34个国家/地区建立20台服务器以渗透到Equifax,从而很难将其确定为潜在问题。 他们使用加密的登录协议掩盖了他们对这些服务器的参与,并且至少每天有一次擦除服务器的日志文件。 他们实际上是鬼。
以美国司法部详细描述的一件事为例:6年2017月XNUMX日,一名黑客从瑞士IP地址访问了Equifax网络。 然后,他们使用被盗的用户名和密码来获取服务帐户,以进入Equifax数据库。 他们从那里向数据库查询社会安全号码,全名和地址,并将它们存储在输出文件中。 他们创建了结果的压缩文件档案,将其复制到另一个目录,然后下载。 安全地保存数据,然后他们删除了存档。
重复数周的过程,据称您掌握了147.9亿人的信息,据称这是在外国政府手中。
尽管操作具有一定程度的复杂性,但Equifax本身使他们的工作比原本应该的容易得多。 对于初学者来说,它应该已经修补了最初的Apache Struts漏洞。 和 FTC投诉 去年夏天以来,该公司还发现该公司将管理凭据以明文形式存储在一个不安全的文件中。 它还以纯文本形式保留了145亿个社会安全号码和其他消费者数据,而不是对其进行加密。 它未能对数据库进行分段,这将限制后果。 它缺少适当的文件完整性监控,并且使用了过期的安全证书。 清单继续。 Equifax不仅让涉嫌的中国黑客进入了保险库,还让他们进入了保险库。 它把万能钥匙留给了每个保险箱。
Equifax首席执行官马克·贝戈尔(Mark Begor)在一份声明中说:“我们感谢司法部和联邦调查局的不懈努力,他们确定中国军方应负责2017年对Equifax的网络攻击。” “令人放心的是,我们的联邦执法机构应以应有的严肃态度对待网络犯罪,尤其是国家资助的犯罪。”
“我们在这里的共同目标是,除了确保不会再次发生这种情况外,我们的目标还在于最大程度地帮助降低其他组织可能发生的可能性,”首席信息安全总监Jamil Farshchi Equifax的官员告诉WIRED。
Equifax黑客的某些元素(尤其是Apache Struts漏洞的作用)已经公开了一段时间。 但是,无论是在Equifax事件本身还是在国际关系方面,遏制对中国的攻击都增加了一个重要的新维度。
美国和中国在网络安全领域经历了动荡的几年。 2014年, 司法部指控解放军五名成员 对美国公司实施骇客犯罪。 第二年,两国签署了一份数字停战协议,在整个奥巴马政府剩余时期中,这一数字停滞不前。
不过,近年来已经看到了缓和的迹象。 万豪和国歌的黑客活动都始于2014年,即奥巴马休战之前。 但是最近中国越来越关注网络攻击,以服务于企业间谍活动。 包括了 破坏CCleaner安全工具 为企业网络创建后门,并利用其后门 APT10黑客渗透到所谓的托管服务提供商 作为数十家脆弱公司的跳板。
那种侵略,加上对 知识产权盗窃猖 以及持续的贸易战,进一步强调了美中关系。 将Equifax添加到堆中是唯一令人烦恼的事情。
巴尔说:“这些数据具有经济价值,这些盗窃案可以为中国的人工智能工具的发展以及情报瞄准工具包的建立提供支持。” “我们的案件揭示了中国针对商业秘密和机密商业信息的国家赞助的计算机入侵和盗窃模式。”
周一的公告只是美国第二次起诉中国军事黑客。 (与中国国家安全部链接,APT10被视为非军事。) 第一次是在2014年。 到那时,随着美国司法部指控俄罗斯骇客的情况越来越多,这一步骤可能会带来不利影响。
国家安全局前分析师戴夫·艾特尔(Dave Aitel)说:“我担心中国人会采取针锋相对的行为。” “最好在学说上有一个明确的信号。”
考虑到被告是为该政府服务的中国公民,将被告绳之以法也有实际意义。 FBI副局长戴维·鲍迪奇(David Bowdich)在周一的新闻发布会上说:“有些人可能想知道,当这些黑客似乎超出我们的能力时,会有什么好处。” “我们将利用我们独特的权威,我们的经验和能力,在国内外合作伙伴的帮助下,每天与这种威胁作斗争,并将继续如此。”
对于Equifax骇客的受害者(几乎是美国公民的一半)而言,除非您是该国的人,否则中国背后的明显启示不会有太大变化。 可能以情报收集为目标。 毕竟,个人身份信息就是杠杆。 但对于大多数人来说,剧本却保持不变:密切关注您的帐户, 得到你的定金.
真正的关注点是存在性。 目前尚不清楚这将在多大程度上加剧两个全球大国之间已经陷入困境的关系。 无论如何,要实现如此空前的数据抢劫似乎多么容易。
“这里有很多有趣的,令人费解的东西,”艾特尔说。 “就像只用四个人就能收集美国一半人口的私人信息一样。”
Lily Hay Newman的其他报道
