和風網標誌

據稱四位中國黑客如何擊敗Equifax

日期:

2017年XNUMX月,信用報告巨頭Equifax 乾淨:該文件已被黑客入侵,143億美國公民的敏感個人信息遭到破壞,該公司後來將該數字修改為147.9億。 姓名,出生日期,社會保險號都以空前的搶劫聲傳開。 週一,司法部確定了被指控的罪魁禍首:中國。

司法部在一項涉及九項罪名的起訴書中聲稱,中國人民解放軍的四名成員是Equifax黑客攻擊的幕後黑手,這是長達數年的調查的結果。 就受影響的美國公民人數而言,這是有史以​​來最大規模的由州贊助的盜竊個人身份信息的事件之一。 這也進一步加劇了與中國在多個方面的緊張關係。

美國總檢察長威廉·巴爾(William Barr)在宣布指控的新聞發布會上說:“對美國工業的這種攻擊與其他中國非法獲取敏感個人數據有關。” “多年來,我們目睹了中國對美國人個人資料的強烈需求。”

那種侵略可以追溯到 人事管理辦公室的黑客於2015年披露,據稱中國黑客竊取了大量與政府工作人員有關的高度敏感數據,直到最近才披露 違反萬豪酒店連鎖和國歌健康保險的規定.

即使在那組有影響力的攻擊中,Equifax在受感染者的數量之多和黑客獲得的信息類型方面也脫穎而出。 雖然有些以前 懷疑中國的介入-沒有任何信息進入黑暗網絡,表明國家行為者而不是普通小偷-星期一,美國司法部的起訴書提出了一個徹底的案子。

大黑客

7年2017月XNUMX日,Apache軟件基金會宣布其Apache Struts軟件的某些版本存在一個漏洞,該漏洞可能允許攻擊者在目標Web應用程序上遠程執行代碼。 這是一種嚴重的錯誤,因為它使黑客有機會與世界各地的系統進行混為一談。 作為公開內容的一部分,Apache還提供了補丁和有關如何解決此問題的說明。

Equifax在其爭議解決系統中使用了Apache Struts框架, 都忽略了。 美國司法部說,幾週之內,中國黑客就進入了Equifax的系統。

Apache Struts漏洞提供了立足之地。 從那裡開始,四個據稱的黑客-吳志勇,王謙,徐可和劉雷-進行了為期數週的偵察,運行查詢以使自己對Equifax的數據庫結構以及包含的記錄有更好的了解。 例如,在13月XNUMX日的起訴書中,其中一名黑客運行了結構化查詢語言命令,以識別有關Equifax數據表的一般詳細信息,然後從數據庫中選擇了一些記錄。

最終,他們繼續上傳所謂的Web Shell,以訪問Equifax的Web服務器。 他們利用自己的位置來收集憑據,從而使他們不受限制地訪問後端數據庫。 考慮一下闖入建築物:如果居民將一樓的窗戶解鎖而您卻設法竊取了員工ID,這樣做會容易得多。

他們從那里大飽口福。 起訴書稱,黑客首先運行了一系列SQL命令以查找特別有價值的數據。 最終,他們找到了姓名,地址,社會保險號和出生日期的資料庫。 美國司法部說,闖入者總共進行了9,000個查詢,直到XNUMX月底才停止。

大量收集數據是一回事。 使其未被發現是另一回事。 據稱,中國的黑客使用了幾種技術來維持對母體的訪問。

廣告

根據司法部,他們將竊取的數據存儲在臨時文件中。 特別是壓縮的大文件,然後分解為更易於管理的大小。 (起訴書說,在某一時刻,他們將包含49個目錄的存檔分割成600兆字節的塊。)這使得它們的傳輸足夠小,可以避免懷疑。 提取數據後,他們刪除了壓縮文件以最大程度地減少跟踪。 這也有助於他們在Equifax的網絡內部足夠深入,可以使用公司現有的加密通信渠道發送查詢和命令。 一切看起來像正常的網絡活動。

起訴書還詳細說明了PLA團隊據稱如何在34個國家/地區建立20台服務器以滲透到Equifax,從而很難將其確定為潛在問題。 他們使用加密的登錄協議掩蓋了他們對這些服務器的參與,並且至少每天有一次擦除服務器的日誌文件。 他們實際上是鬼。

以美國司法部詳細描述的一件事為例:6年2017月XNUMX日,一名黑客從瑞士IP地址訪問了Equifax網絡。 然後,他們使用被盜的用戶名和密碼來獲取服務帳戶,以進入Equifax數據庫。 他們從那裡向數據庫查詢社會安全號碼,全名和地址,並將它們存儲在輸出文件中。 他們創建了結果的壓縮文件檔案,將其複製到另一個目錄,然後下載。 安全地保存數據,然後他們刪除了存檔。

重複數週的過程,據稱您掌握了147.9億人的信息,據稱這是在外國政府手中。

儘管操作具有一定程度的複雜性,但Equifax本身使他們的工作比原本應該的容易得多。 對於初學者來說,它應該已經修補了最初的Apache Struts漏洞。 和 FTC投訴 去年夏天以來,該公司還發現該公司將管理憑據以明文形式存儲在一個不安全的文件中。 它還以純文本形式保留了145億個社會安全號碼和其他消費者數據,而不是對其進行加密。 它未能對數據庫進行分段,這將限制後果。 它缺少適當的文件完整性監控,並且使用了過期的安全證書。 清單繼續。 Equifax不僅讓所謂的中國黑客進入了保險庫。 它把萬能鑰匙留給了每個保險箱。

Equifax首席執行官Mark Begor在一份聲明中表示:“我們感謝司法部和FBI在確定中國軍方對2017年對Equifax的網絡攻擊負責方面所做的不懈努力,” “令人放心的是,我們的聯邦執法機構以應有的嚴肅態度對待網絡犯罪,尤其是國家資助的犯罪。”

“我們在這裡的共同目標是,除了確保不會再次發生這種情況外,我們的目標還在於最大程度地幫助降低其他組織可能發生的可能性,”首席信息安全總監Jamil Farshchi Equifax的官​​員告訴WIRED。

名字遊戲

Equifax黑客的某些元素(尤其是Apache Struts漏洞的作用)已經公開了一段時間。 但是,無論是在Equifax事件本身還是國際關係方面,遏制對中國的攻擊都增加了一個重要的新維度。

美國和中國在網絡安全領域經歷了動蕩的幾年。 2014年, 司法部指控解放軍五名成員 對美國公司實施駭客犯罪。 第二年,兩國簽署了一份數字停戰協議,在整個奧巴馬政府剩餘時期中,這一數字停滯不前。

不過,近年來已經看到了緩和的跡象。 萬豪和國歌的黑客活動都始於2014年,即奧巴馬休戰之前。 但是最近中國越來越關注網絡攻擊,以服務於企業間諜活動。 包括了 破壞CCleaner安全工具 為企業網絡創建後門,並利用其後門 APT10黑客滲透到所謂的託管服務提供商 作為數十家脆弱公司的跳板。

廣告

那種侵略,加上對 知識產權盜竊猖 以及持續的貿易戰,進一步強調了美中關係。 將Equifax添加到堆中是唯一令人煩惱的事情。

巴爾說:“這些數據具有經濟價值,這些盜竊案可以為中國的人工智能工具的發展以及情報瞄準工具包的建立提供支持。” “我們的案件揭示了中國針對商業秘密和機密商業信息的國家贊助的計算機入侵和盜竊模式。”

週一的公告只是美國第二次起訴中國軍事黑客。 (與中國國家安全部鏈接,APT10被視為非軍事。) 第一次是在2014年。 到那時,隨著美國司法部指控俄羅斯黑客越來越多,這一步驟可能會帶來不利影響。

國家安全局前分析師戴夫·艾特爾(Dave Aitel)說:“我擔心中國人會採取針鋒相對的行為。” “最好在學說上有一個明確的信號。”

考慮到被告是為該政府服務的中國公民,將被告繩之以法也具有實用性。 FBI副主任戴維·鮑迪奇(David Bowdich)在周一的新聞發布會上說:“有些人可能想知道,當這些黑客似乎超出我們的能力時,會有什麼好處。” “我們將利用我們獨特的權威,經驗和能力,在國內外合作夥伴的幫助下,每天與這種威脅作鬥爭,並將繼續如此。”

對於Equifax駭客的受害者(幾乎是美國公民的一半)而言,除非您是該國的人,否則中國背後的明顯啟示不會有太大變化。 可能以情報收集為目標。 畢竟,個人身份信息就是槓桿。 但對於大多數人來說,劇本卻保持不變:密切關注您的帳戶, 得到你的定金.

真正的關注點是存在性。 目前尚不清楚這將在多大程度上加劇兩個全球大國之間已經陷入困境的關係。 無論如何,要實現如此空前的數據搶劫似乎多麼容易。

“這裡有很多有趣的,令人費解的東西,”艾特爾說。 “就像只用四個人就能收集美國一半人口的私人信息一樣。”

Lily Hay Newman的其他報導


閱讀更多: https://www.wired.com/story/equifax-hack-china/

現貨圖片

最新情報

現貨圖片