攻击Google的极光行动最新报告曝光

Dealolin

据DarkReading网站报道，HBGary公司的创始人和CEO，也是著名安全专家（《Rootkits》一书作者）Greg Hoglund正在与其他安全专家调查攻击Google、Adobe等公司的极光行动。近日，他发布了一个报告，透露了一些目前调查的进展。
报告中称，攻击中使用的CRC算法来自中国，而且许多攻击都来自中国常州一个叫3322.org的网站，这个网站的主人是中国人Peng Yong，他可能具有编写这种算法的背景。他的动态DNS服务托管了超过100万个域名。过去一年，HBGary已经分析到与3322.org通信的数以千计额的不同恶意程序样本。虽然Peng Yong显然容忍了通过其网络服务实施的网络犯罪，但并不能说明他直接与极光攻击有关。
此外，他还对媒体透露，已经发现极光代码中开发者留下的蛛丝马迹，可以找到编译这个恶意程序的人。HBGary公司使用自己最新的分析工具，已经找到了有关极光代码及其来源的注册表键码、IP地址、可疑的运行时行为和其他数据。但是这些信息没有在报告中公开，因为不想打草惊蛇。对攻击者的追踪刚刚开始。
计算机取证企业Mandiant的CEO Kevin Mandia也说他们公司的调查人员已经非常接近发现恶意代码的创造者，可以具体到人。Mandia透露，他们发现极光行动实际上攻击的公司有数百个之多，其中一次就攻击了200家。偷取的知识产权通常都被送到一个在中国的IP地址。攻击的目标有一个有意思的共同特点，就是往往在中国有并购行为。
HBGary公司还提供了工具给用户检查是否受到极光代码的攻击，可以在这里免费下载。
经查，3322.org就是域名服务提供商希网网络，成立于1999年11月，由常州市亚科技术有限公司独立运作。