資安業者宣稱攻擊Google的是業餘駭客

專門偵測及分析殭屍網路的Damballa周二（3/2）發表了攻擊Google的Aurora行動調查報告，藉由偵測該攻擊行動的命令及控制活動，指出雖然Aurora是極具殺傷力的攻擊，破壞一些全球最精密的網路，但它是一個很平常的殭屍網路，且執行Aurora攻擊行動的駭客應是業餘的。

根據Damballa的說明，命令及控制（Command and Control，CnC）是殭屍網路攻擊的基本元素，允許駭客能遠端控制企業內部被駭的電腦，並下達指令。Damballa追蹤Aurora所使用的殭屍網路，發現它在去年7月就開始進行測試。

Damballa研究副總裁Gunter Ollmann指出，Google在今年1月揭露了Aurora攻擊行動，指出2010年經常遭受到經國家認同的不同攻擊，而且有許多業者表示該行動使用了軍事術語。基於對相關攻擊行動的深入資料分析，以及檢視攻擊行動所使用的惡意程式與CnC技術，Aurora應該只是另一個日漸平常的殭屍網路攻擊，而且比平均水準還外行。

Damballa揭露了許多Aurora攻擊行動不為人知的面向，例如指出Google在今年1月坦承遭受攻擊時，逾22個國家的Google系統都受到影響；駭客總計利用了三種不同的Trojan.Hydraq蠕蟲來感染個人電腦；駭客早在去年7月就鎖定Google並進行攻擊測試；證據顯示有不同的駭客參與，而且屬於業餘等級的駭客，因為該殭屍網路使用簡單的命令技術且廣泛使用動態DNS CnC手法，這是現在專業的殭屍網路駭客鮮少使用的老派結構。

美國商業周刊引述Damballa執行長Val Rahmani的看法指出，外界認定Aurora為精密攻擊行動是因為沒人認為Google會被不怎麼厲害的攻擊影響，但要是企業不檢視命令及控制功能，即使業餘駭客集團都可執行攻擊。

另一方面，Google則重申相關攻擊是非常先進的，且表示Damballa並沒有取得Google調查的第一手資訊。（編譯/陳曉莉）