美国安全公司HBGary——国家授命的黑客

本篇文章2853字，读完约7分钟

侵入电脑，窃听用户，用假身份上网——hbgary，一家美国安全公司，是电脑防护和间谍软件的供应商。其客户包括美国国家安全机构。现在，该公司被盗的电子邮件可以让我们初步了解其在数字战争中的业务。

去年6月，美国安全公司hbgary的一名经理在美国联邦政府的投标平台fbo.gov上发现了一个激动人心的项目:美国空军队正在寻找所谓“人事管理软件”的供应商。这个软件应该能让每个用户使用十个假身份上网。招标方对伪装身份的要求是:“必须有可能使这些身份在世界的任何地方成为人。”甚至“有经验的对手”也看不出他们在网上的详细信息是假的。

简而言之，军队需要一套管理工具来创建、管理和使用军队的数字信息。不清楚是为了什么目的。然而，我们可以想象几个要点:宣传、侦察和保护那些通过使用假身份上网而暴露的人。

hbgary的经理看到这一消息后，立即跳起来，通过电子邮件将这一招标信息的链接发送到几个同事的邮箱中，并补充评论道:“这是一个在公共网络上发布的招标，可能不是真的？”然而，hbgary仍然为它出价。

与美国情报机构保持良好联系

几个月后，互联网上的任何用户都可以看到新闻和成千上万封来自hbgary的电子邮件——黑客窃取了公司的数据。这起盗窃事件导致网民向hbgary扔砖头。黑客组织Anonymous声称对数据失窃负责。维基解密的捐赠账户被冻结后，该组织曾因黑客攻击信用卡公司而闻名。hbgary的一位经理之前说，他知道匿名组织最重要成员的身份。声明发布后，匿名黑客获得了hbgary几名经理的密码，窃取了他们的电子邮件，并侵入了该公司的网站和几个twitter账户。

不要看hbgary自己的企业网络安全漏洞，但永远不要低估它。根据该公司的电子邮件，hbgary的客户包括美国国土安全部和美国特种作战司令部。几年前成立的子公司联邦hbgary的几位经理由国防承包商诺斯罗普·格鲁曼公司任命，并与美国中央情报局、国家安全局和国防情报局的代表一起工作。

间谍软件开发合同出乎专家意料

实际上，到目前为止，hbgary不擅长间谍软件。据德国明镜在线的一名记者称，许多接受他采访的数据安全专家都认识hbgary，认为他的技术是可靠的。Hbgary以其反间谍软件产品而闻名，尤其是应答软件。该工具广泛用于检测计算机是否受到恶意软件或嗅探器软件的攻击。根据该公司发布的电子邮件，德国刑事调查局也在使用他们的应答软件。

然而，hbgary不仅提供防御性软件产品，还提供攻击性软件。

鲁尔波鸿大学的thorsten holz教授是研究嵌入式恶意软件的专家。他用“受欢迎”这个词来形容这家公司。在他看来，该公司的首席执行官格雷格霍格隆德是一个“rootkit恶意软件专家”。几年前，休·伦德(Hugh Lund)和杰米·巴特勒(jamie butler)一起写了一本关于rootkit研发的权威书籍。

Rootkit指的是其主要功能是隐藏其他程序进程的软件，这些进程可能是一个或多个软件的组合。这使得rootkit具有广泛的可操作性，以至于病毒扫描库等防御软件无法识别它。

霍尔茨说，当然，防御软件的开发者也需要从攻击者的角度证明潜在的攻击，以便发现漏洞。然而，该公司电子邮件的细节仍然让他感到惊讶:“对我来说，这样的信息从来没有听说过，hbgary实际上设计和销售rootkit这样的攻击性软件。”

委托任务:撬开防护软件并锁定文件

在关于hbgary的新闻中，有很多关于攻击性软件的计划。其中一些是由公司直接提供给客户的，比如HB Gary的“rootkit键盘录音平台”；其中一些是该公司自2009年以来在军火商客户的委托下开发的。其项目代码名称不同，如“任务Z”、“项目C”、“12只猴子”或“小红”，各种恶意软件无一例外地满足以下要求:

其中一个方案是:监听监控软件应该能够记录键盘输入，根据特定的关键字搜索计算机中的文件内容，并在通过网络浏览器传输普通数据时搭载搜索到的数据。

确保常用的反rootkit保护软件无法识别该软件。

恶意软件在与相关监管机构就互联网流量进行通信时不受防火墙的影响，并且可以隐藏其向外部网络的数据传输。

嗅探监控软件以不同的方式存在于计算机中，例如网页、要打开的文件、电子邮件和传输的数据包。

远程访问闪存组件

根据当前的新闻描述，已经开发了一些间谍软件组件。因此，hbgary的经理们正在讨论如何与国防承包商签订合同，以确定hbgary交付给对方的程序代码的适用范围。他们正在讨论“adobe macromedia flash player远程访问工具”和“hbgary rootkit键盘记录器平台”。

从公司发布的电子邮件中看不出这些应用程序是否被使用过，以及在使用过程中取得了什么成就。专家对其技术设计的可行性做出了“合理”的评价。霍兹评论道:“我所看到的联邦哈佛的软件提案在技术上是正确的。”软件设计人员讨论和测量的不同方法都是有意义的。”

监控和渗透社交网站

2010年夏天，hbgary的一位联邦经理在国家安全局的“社交媒体弱点”会议上告诉他的同事们一份报告。据报道，出于自身目的，一些组织对网络保护和社交媒体作为启蒙宣传工具很感兴趣。例如，美国陆军情报和安全司令部对这些手段非常感兴趣。

在内部邮件沟通中，hbgary的经理主要讨论了安全软件的以下两种用途:

通过软件自动分析不同社交网络的网络关系。

l软件工具应该能够将匹配的信息简档添加到社交网络上的虚拟身份中，并对其进行维护，从而给人一种印象，即“这个活跃在互联网上的虚拟角色确实存在。”

那么如何使用这个虚拟身份呢？hbgary的一位经理用一个概念描述了这一点:黑客团体可以分两个阶段渗透。首先，我们应该操纵黑客使用的软件，然后用另一个身份暴露这种恶意操纵，从而暴露以前的控制器，从而获得真正黑客成员的信任。

如何管理和维护这支虚拟的数字身份大军确实是这些hbgary经理们头疼的问题。一位经理写道:“其中大部分必须通过软件工具自动维护。”另一位经理回答说，他认识一个人，这个人在软件开发方面有多年的经验，熟悉商业，掌握了很多魔兽世界的故事和技术。他指的是在线角色扮演游戏——魔兽世界，它通过点击工具来积累游戏币(目的是把游戏币卖给玩家)。

数字防控产业的实践

当然，归根结底，这一切都是关于安全的。正如hbgary的经理在邮件中所显示的，他们是非常活跃的卖家。hbgary的经理们一直在讨论什么样的解释能引起潜在客户的兴趣。人们认为或者真正存在什么样的危险？我们如何利用这些危险来销售他们的产品？什么样的报道会吸引观众？如何在各种会议和展示场所给人留下正确的印象？rootkit恶意软件可以用来打开或关闭计算机的光驱吗？

一瞥数字防控行业的实践表明，当你开始认为某件事是可能的时候，有人可能已经在研究和开发它，并寻找潜在的客户。(资料来源:中国国际贸易促进委员会电子信息产业分会汇编:姜传秀)

德国明镜在线