专门侦测及分析僵尸网络的Damballa周二(3/2)发表了攻击Google的Aurora行动调查报告,藉由侦测该攻击行动的命令及控制活动,指出虽然Aurora是极具杀伤力的攻击,破坏一些全球最精密的网络,但它是一个很平常的僵尸网络,且执行Aurora攻击行动的黑客应是业余的。
根据Damballa的说明,命令及控制(Command and Control,CnC)是僵尸网络攻击的基本元素,允许黑客能远端控制企业内部被黑的电脑,并下达指令。Damballa追踪Aurora所使用的僵尸网络,发现它在去年7月就开始进行测试。
Damballa研究副总裁Gunter Ollmann指出,Google在今年1月揭露了Aurora攻击行动,指出2010年经常遭受到经国家认同的不同攻击,而且有许多业者表示该行动使用了军事术语。基于对相关攻击行动的深入资料分析,以及检视攻击行动所使用的恶意程序与CnC技术,Aurora应该只是另一个日渐平常的僵尸网络攻击,而且比平均水准还外行。
Damballa揭露了许多Aurora攻击行动不为人知的面向,例如指出Google在今年1月坦承遭受攻击时,逾22个国家的 Google系统都受到影响;黑客总计利用了三种不同的Trojan.Hydraq蠕虫来感染个人电脑;黑客早在去年7月就锁定Google并进行攻击测试;证据显示有不同的黑客参与,而且属于业余等级的黑客,因为该僵尸网络使用简单的命令技术且广泛使用动态DNS CnC手法,这是现在专业的僵尸网络黑客鲜少使用的老派结构。
美国商业周刊引述Damballa负责人Val Rahmani的看法指出,外界认定Aurora为精密攻击行动是因为没人认为Google会被不怎麽厉害的攻击影响,但要是企业不检视命令及控制功能,即使业余黑客集团都可执行攻击。
另一方面,Google则重申相关攻击是非常先进的,且表示Damballa并没有取得Google调查的第一手资讯。
