凯特机械和焊接允许网络安全公司“一区”监测这台老旧蒙尘的服务器,以警告那些潜在的攻击受害者。这台服务器已被中国黑客侵入。
威斯康星州贝尔维尔——从这里的奶牛养殖场、玉米地和牧马 场开车过去,你最终会到达凯特机械及焊接厂,这是吉恩和洛瑞·凯特(Gene and Lori Cate)以及他们的儿子经营的一个小镇家庭企业。46年来,凯茨一家焊接过许多东西:化肥罐、喷气式战斗机的零部件、奶酪模具,甚至还有一位农民的摔坏 了的眼镜框。
像许多小企业一样,他们有一台尘旧的计算机,在企业办公室里嗡嗡作响地运转着。但是,在这台机器上,一场不同寻常的间谍与反间谍战正在进行着:这台机器已经被中国黑客接管了。
威斯康辛州小镇的这家家族企业,正处于一场网络间谍战的中心。
威斯康辛州贝尔维尔,凯特家的焊接店里的工具。
黑客用它来计划和发动攻击。但是,黑客不知道的是,一家硅谷初创公司正在这台机器上跟踪他们,实时观察着他们的一举一动,在某些时候,还实时阻止他们的攻击。
一天下午,吉恩·凯特边吃着匹萨和奶酪凝乳,边说起这件 事。“他们第一次告诉我们时,我们说,‘不可能。’”他回忆起第一次听到他家用来管理焊接业务的计算机服务器被秘密地挪为它用时说。“我们都惊呆了,”洛 瑞·凯特说。“我们一点也不知道,我们会被当作中国黑客攻击的一个渗入点。”
在最近的一个周四,黑客攻击的目标似乎指向了硅谷的一家食品外送初创公司、曼哈顿一家重要的律师事务所、世界上最大的航空公司之一、美国南部一所著名大学,以及泰国和马来西亚的一些零散目标。《纽约时报》得以看到凯特家服务器上的攻击操作,条件是不报道受攻击目标的名字。
这种操作具有中国黑客团伙C0d0s0小组的特点,该团伙聚集了一批雇来的黑客,计算机安全行业的人跟踪他们已经多年了。几年来,该团伙攻击过银行、律师事务所,以及技术公司,并一度劫持了《福布斯》网站,试图让网站访问者的计算机感染上恶意软件。
有一个既隐晦、但又被大肆炒作的新兴行业,会销售像 C0d0s0这样的攻击团伙的情报。直到最近,公司通常采取的一种防御战略是,努力让他们的网络尽可能地不可渗透,以期击败进攻。如今,有所谓的威胁情报 提供商,提供攻击黑客的服务。他们跟踪黑客,他们收取可能高达七位数的年费,以试图在攻击发生前,发现和阻止攻击。
这些公司的业绩鱼龙混杂。尽管如此,在多年来发生了经广泛报道的计算机攻击事件后,市场研究公司高德纳(Gartner)预计,威胁情报的市场明年将达到10亿美元的规模,而2013年的市场规模只是2.55亿美元。
值得注意的是,许多攻击依赖于一个错综复杂的受感染的计算机网,其中包括像凯特机械和焊接这样的家庭企业的服务器。黑客对凯特家的数据并不关心。相反,他们把凯特家的、以及其他类似的服务器转换为他们发动攻击的平台。
这些服务器为黑客提供了最佳的掩护。它们往往没有很好的安全保护,服务器的拥有者也很难发现他们的计算机已成为间谍和数字化小偷的中转站。而且,谁会怀疑凯特家的人呢?
两年前,几名男子来到凯特家,告诉他们,他们的服务器已成为中国间谍的中转站。凯特家人问:“你们是从国家安全局(简称NSA)来的吗?”
实际上,这些男子中有一人,在加入初创公司“一区” (Area 1)的很多年前,曾在国家安全局工作。一区专门跟踪针对企业的数字攻击,首席安全官布雷克·达尔谢(Blake Darché)提到自己的NSA背景时 说,“就像是当牧师。在其他人的心目中,你永远不会完全离开那个行业。”
达尔谢想把凯特家的服务器,添加到一区的一个由50台已被 黑客利用的其他计算机所组成的网络中来。一区监视着出入于这些计算机上的活动,从而深入了解攻击者的方法、工具和他们的目标网站,以便在黑客攻击公司客户 的网络时进行阻止,或在攻击发生前的数日、数周、甚至数月,让客户得到有关情报。
凯特家为此召开了一次家庭会议。“人家花大力气制造产品,而产品却在被盗取,”洛瑞·凯特说。“这似乎是我们至少可以做的事情。”一区支付了大约150美元的安装费用。
凯特家的计算机上安装了一个探测设备后不久,达尔谢说,他的预感被证实了:探测设备上亮起了攻击的信号。一区开始从中看到了一个熟悉对手的模式,这个对手就是C0d0s0小组。
一区是由三名前NSA分析师达尔谢、奥伦·弗克沃兹 (Oren Falkowitz)和菲尔·赛姆(Phil Syme)创办的。三人曾并肩在米德堡跟踪对手的武器系统,获取情报,有时还会进行渗透。两年多之前,他们决定创办自己的公司,并从硅谷的知名风投和安全 领域创业者那里筹集到2550万美元的资金,投资者包括凯鹏华盈(Kleiner Perkins Caufield& Byers)、RedSeal首席执行官雷·罗思罗克(Ray Rothrock)和Shape Security首席执行官德里克·史密斯(Derek Smith)这样的安全专家。
一区涉足的“威胁情报”领域是安全业务中的一个新分支,iSight Partners和Recorded Future等公司都属于这个领域,它们在地下网络论坛和社交媒体追踪攻击者,收集关于他们的情报。
“威胁情报”仍然更多的是一门艺术而非科学。企业是否有能力利用这些情报来阻挠黑客尚有待商榷。一区声称,它可以通过自己在追踪的那些已经被攻破的服务器来拦截攻击。它还可以利用自己的有利位置来观察攻击者有没有在网上做黑客生意,以及他们打算如何攻击下一批受害者。
一区的几个客户证实,他们的技术确实有助于阻止攻击者。一名客户是大型医疗保健提供商,其首席信息安全官称,医疗保健行业近年来饱受数字罪犯和政府的攻击。为了避免招惹更多攻击,他希望不要披露公司的名字。
他称赞一区的传感器有助于拦阻他的网络遭受的几次攻击,帮助他的公司避免了和去年被中国黑客攻破的医疗保险公司安森(Anthem)同样的厄运。现在遭受攻击的医院越来越多,它们不得不支付赎金,赎回重要信息。
Shape Security首席执行官史密斯说,一区在自己公司三次遭到攻击之前都发出了警告,让他们有了阻止攻击的时间。史密斯说,这给他留下了深刻印象,所以他向一区投资了一小笔钱。
“很多小本经营的商店对这种攻击很矛盾,因为攻击不会直接影响他们的业务和收入,”他说。“同时,他们又在不知情的情况下操作了这种攻击的基础设施。”
但是,一区的业务模式可能会带来道德困境。如果它发现知名公司和政府机构会遭到攻击,但它们又不是一区的客户,它会怎么做?
“我们把自己看成是保镖,而不是到跑来跑去告诉大家他们是受害者的警察,”一区的首席执行官弗克沃兹说。“我们做的是先发制人的买卖。”
他说他们确实向一些受害者发出过警告。例如,他们向一家律师事务所、一家制造商、一家金融服务公司和电子公司通风报信过,这些攻击都是通过凯特家的服务器进行的,他们看到C0d0s0黑客偷走了它们的知识产权。其中部分受害者后来成为了一区的客户,比如那家律师事务所,
并非所有的公司都听从了警告。去年就有一个受害者没有根据 一区的警告采取相应的行动。该公司的一名安全顾问说,由于担心被网络黑客攻破的丑闻会危及其近期的收购,公司没有采取任何行动。根据保密协议,这名顾问不愿具名。他们觉得,公司专有技术落入中国黑客手中的消息,可能会引起收购方的顾虑。