最近，谷歌安全團(tuán)隊(duì)披露了一項(xiàng)黑客攻擊行動(dòng)，但該黑客組織疑似是為美國政府及其盟友工作，進(jìn)行網(wǎng)絡(luò)反恐行動(dòng)……

3月29日消息，谷歌安全團(tuán)隊(duì)發(fā)現(xiàn)某個(gè)黑客組織在短短9個(gè)月內(nèi)利用了11個(gè)零日漏洞，許多谷歌產(chǎn)品受影響，iPhone的Safari瀏覽器也被波及。

[[390833]]

Keynotes

• 谷歌的安全團(tuán)隊(duì)公開揭露了一場(chǎng)歷時(shí)9個(gè)月的黑客行動(dòng)
• 這一舉動(dòng)終止了某西方政府正在進(jìn)行的反恐行動(dòng)
• 該舉動(dòng)在谷歌內(nèi)部和和外界引起爭議

谷歌Project Zero團(tuán)隊(duì)和威脅分析小組(Threat Analysis Group)在業(yè)內(nèi)享譽(yù)盛名。近期，這兩個(gè)團(tuán)隊(duì)意外地發(fā)現(xiàn)了一條大魚：一個(gè)專家級(jí)黑客組織利用11個(gè)強(qiáng)大的漏洞來攻擊運(yùn)行iOS、Android和Windows的設(shè)備。

攻擊路徑

阻止這次“專家級(jí)”網(wǎng)絡(luò)攻擊的決定在谷歌內(nèi)部引發(fā)了爭議，此前有消息稱這些黑客是為美國及其盟友工作?！堵槭±砉た萍荚u(píng)論》(MIT Technology Review)表示，這些受質(zhì)疑的黑客實(shí)際上是西方政府特工，正在開展反恐行動(dòng)。

谷歌選擇停止該攻擊并將它公之于眾的決定在公司內(nèi)部引起爭議，也引發(fā)了美國及其盟友的情報(bào)部門質(zhì)疑。

谷歌在最近的兩篇博客文章中，詳細(xì)描述了它在最近9個(gè)月內(nèi)發(fā)現(xiàn)的被黑客利用的零日漏洞。

這種攻擊始于2020年初，使用了一種被稱為“水坑”攻擊的新技術(shù)，利用受感染的網(wǎng)站向訪問者發(fā)送惡意軟件。攻擊的規(guī)模、復(fù)雜性和速度引起了網(wǎng)絡(luò)安全專家的注意。

不過，谷歌的聲明明顯忽略了一些關(guān)鍵細(xì)節(jié)，包括誰應(yīng)該為這次黑客攻擊負(fù)責(zé)，誰是攻擊目標(biāo)，以及相關(guān)惡意軟件或行動(dòng)中使用的域名等重要技術(shù)信息。

一位安全專家批評(píng)該報(bào)告是一個(gè)“黑洞”，因?yàn)樯鲜鲂畔⒅辽贂?huì)以某種形式披露一條。

要不要公布政府的網(wǎng)絡(luò)行動(dòng)?

安全團(tuán)隊(duì)通常會(huì)關(guān)閉被政府利用的漏洞，但很少公開這類行動(dòng)。針對(duì)這一事件，一些谷歌員工表示，反恐任務(wù)不應(yīng)被公開披露;另一些人則認(rèn)為，公司有義務(wù)公開攻擊行為，目的是保護(hù)用戶，使互聯(lián)網(wǎng)更加安全。

谷歌發(fā)言人在一份聲明中說：“Project Zero致力于發(fā)現(xiàn)和修補(bǔ)零日漏洞，并發(fā)布技術(shù)研究，旨在促進(jìn)研究社區(qū)氛圍，加強(qiáng)對(duì)新型安全漏洞的理解和利用。”“我們相信，分享技術(shù)研究可以帶來更好的防御策略，增加每個(gè)人的安全。但我們的研究并不包括歸因。”

雖然 Project Zero并沒有將此次黑客行為歸咎于特定的組織。但同樣參與該項(xiàng)目的威脅分析小組會(huì)進(jìn)行歸因。

除了未指明行為主體，谷歌還省略了更多細(xì)節(jié)。目前還不清楚谷歌是否事先通知了政府官員，他們將公布并關(guān)閉這種攻擊方法。

一位美國前高級(jí)情報(bào)官員表示，政府的網(wǎng)絡(luò)行為是可以辨認(rèn)的。

這名不愿具名的前官員表示:“政府的網(wǎng)絡(luò)行動(dòng)中，代碼會(huì)暗含一些特點(diǎn)。”他認(rèn)為關(guān)鍵是，民眾如何看待這種情報(bào)活動(dòng)或執(zhí)法活動(dòng)。

谷歌發(fā)現(xiàn)該黑客組織在短短9個(gè)月內(nèi)利用了11個(gè)零日漏洞。受到攻擊的軟件包括iPhone的Safari瀏覽器，還有許多谷歌產(chǎn)品，例如Android手機(jī)和Windows電腦上的Chrome瀏覽器。

受影響的產(chǎn)品

但谷歌內(nèi)部得出的結(jié)論是，誰在入侵，為什么要入侵，從來沒有安全漏洞本身重要。今年早些時(shí)候，“零計(jì)劃”(Project Zero)的瑪?shù)?middot;斯通(Maddie Stone)認(rèn)為，黑客很容易就能找到并利用強(qiáng)大的零日漏洞，她的團(tuán)隊(duì)在探測(cè)這些漏洞的使用上面臨著一場(chǎng)艱巨的戰(zhàn)斗。

谷歌這樣做的理由是，同一個(gè)漏洞，今天可能被友邦利用，明天就有可能被其他國家利用，所以正確的選擇是立即修復(fù)漏洞。

早有先例

這不是西方網(wǎng)絡(luò)安全團(tuán)隊(duì)第一次偵察到來自友邦的黑客，例如“五眼聯(lián)盟”(美國、英國、加拿大、澳大利亞和新西蘭)的黑客。對(duì)于他們來說，不公開是行業(yè)慣例。

谷歌安全團(tuán)隊(duì)的幾名成員都是西方情報(bào)機(jī)構(gòu)的資深人員，還有人曾為政府組織過黑客活動(dòng)。在某些情況下，安全公司會(huì)默默清除所謂的“友好”惡意軟件。

前五眼大樓官員薩沙•羅曼諾夫斯基(Sasha Romanosky)表示：“安全公司通常不會(huì)干涉美國政府的網(wǎng)絡(luò)行動(dòng)。”薩莎最近發(fā)表了一份有關(guān)企業(yè)網(wǎng)絡(luò)安全調(diào)查的研究報(bào)告。“他們?cè)鞔_表示要遠(yuǎn)離政府網(wǎng)絡(luò)行動(dòng)。這不是他們的工作范圍。”

雖然谷歌也遵循這種慣例，但在過去也有過例外的情況。2019年，該公司發(fā)布了一項(xiàng)研究，研究的黑客組織很可能來自美國，但谷歌未明確指出具體原因。

但差別是，這項(xiàng)研究公布的是一次歷史行動(dòng)，而谷歌此次公布的是一個(gè)正在進(jìn)行的網(wǎng)絡(luò)行動(dòng)。

2018年，俄羅斯網(wǎng)絡(luò)安全公司卡巴斯基，曝光了美國針對(duì)中東地區(qū)ISIS和基地組織Al Qaeda成員的網(wǎng)絡(luò)反恐行動(dòng)?？ò退够虼耸艿搅伺険簟?/p>

美國官員稱，卡巴斯基和谷歌一樣，沒有明確地將威脅歸因，但將攻擊行為公開，導(dǎo)致攻擊行動(dòng)難以為繼，特工無法接觸到有價(jià)值的監(jiān)控項(xiàng)目，甚至讓士兵的生命處于危險(xiǎn)之中。

當(dāng)時(shí)，卡巴斯基已經(jīng)因與俄羅斯政府的關(guān)系而受到嚴(yán)厲批評(píng)，該公司最終被禁止進(jìn)入美國政府的系統(tǒng)。

參考鏈接：https://googleprojectzero.blogspot.com/2021/03/in-wild-series-october-2020-0-day.html