【大纪元2019年10月24日讯】(大纪元记者张婷综合报导)2016年,国际民航组织(ICAO)遭史上最严重网络攻击。令人不解的是,ICAO从上至下对此攻击不是立即采取行动以避免更多损失,而是采取拖延、阻止调查和隐藏证据等做法。
更为蹊跷的是,在调查中,一份重要文件从服务器上神秘消失,该文件包含所有可能受此网络攻击影响的潜在组织和公司清单。这些异常现象的背后藏着什么内幕?
当网络安全公司建议ICAO的ICT团队老板詹姆斯·万(James WAN)采用一个长期行动计划,以提高ICAO网路安全时,他从未给予回复。当后来又有一台服务器遭到攻击、众多请求要求批准立即隔离时,万先生也迟迟不给予回复。
当监督办公室建议ICAO秘书长柳芳对万先生及其领导的ICT团队进行调查时,柳芳却将此建议搁置下来,反对调查。柳芳和万先生为何对这个和中共相关的神秘网络攻击反应迟钝?这一点令人生疑。
全球知名的网络安全公司CrowdStrike近日发布了一份详细报告,揭露了中共如何通过多年的黑客攻击协调活动,系统窃取外国公司的技术,以帮助中共国有航空制造商生产C919飞机。报告再次提起ICAO在2016年遭到严重网络攻击以及所涉及的潜在掩盖事件。
CrowdStrike分析认为,相关文件表明,此次入侵很可能是黑客将ICAO作为一个跳板,进而瞄准外国政府及航空航天企业。
这场攻击背后涉及一个与中共政府相关的神秘网络间谍组织。该组织善于从外国公司和政府窃取信息。在ICAO之外的第三方调查指出,黑客组织“特使熊猫”(Emissary Panda)是此次攻击事件的罪魁祸首。CrowdStrike称,“特使熊猫”之前也曾针对航空业进行过类似攻击。
“特使熊猫”善于窃取外国公司和外国政府信息
加拿大广播公司(CBC)今年2月根据其所获得的文件披露了ICAO在2016年遭网络攻击的诸多内幕。进行攻击的黑客被认定是“特使熊猫”的成员,“特使熊猫”是“与中共政府有联系的复杂而隐秘”的网络间谍组织。
“特使熊猫”有很多不同的名字,比如TG-3390、APT 27和Bronze Union。网络安全公司SecureWorks称,他们有理由相信,这个组织是中共政府赞助。该公司在一份报告中写到,“特使熊猫”在中国的工作日最活跃,主要在中国当地时间中午至下午5点;该组织的黑客使用中文搜索引擎百度;黑客工具的一部分是用中文写的;这个组织对维吾尔人——中共政府打压的少数民族,进行了网络攻击。
“特使熊猫”已经活跃了至少10年,它在北美、南美、亚洲、欧洲和中东都发动过网络攻击。CBC咨询的多名网络安全专家表示,“特使熊猫”擅长于通过“网络间谍”活动,从外国企业和政府机构的系统中收集数据。
ICAO是黑客打入航空企业和外国政府窃取信息的门户
位于加拿大蒙特利尔的ICAO是为全世界制定民用航空标准的联合国机构,是一个与全球航空业个体相联的门户,这个机构的网络被攻破,意味着其全球合作伙伴都可能陷入困境。
蒙特利尔工程学院网络安全专家兼教授何塞·费尔南德斯(José Fernandez)说,ICAO的网络安全存在漏洞就好比是不给汽车上锁,允许罪犯驾着这辆车到处去犯罪一样。
“如果像ICAO这样的大型组织将其基础设施置于不受保护或未得到良好保护的状态,它将允许犯罪分子或网络间谍利用该基础设施来对其他人(指国际合作伙伴)进行间谍活动。”
费尔南德斯认为,ICAO被黑客选中,可能不是因为它是一个薄弱环节,而是因为它身份特别。如果是出于网络间谍为目的,“ICAO将会是一个自然的选择”。
费尔南德斯表示,对ICAO的攻击看起来是更大计划的一部分,因为该组织的成员国及航空企业会经常访问这个网站,使这个网站成了中共网络间谍进攻其它目标的“门户”。
这场攻击具有典型的“水坑”(watering holes)攻击的所有特征。也就是黑客利用ICAO成员国和航空公司对ICAO的信任,利用ICAO网站的漏洞在其中植入恶意软件,当成员国和企业在这网站内查询航空文件时,他们将被注入恶意代码,这可以使黑客远程控制这些访问者的电脑。在这个例子中,ICAO网站被黑客当成是“水坑”,也就是“陷阱”。
黑客通过这个方式进入更多的政府或公司的电脑系统后,也会在里面继续设置新的“水坑”。这样,他们就建起了一个“水坑链”,借此入侵更多的电脑系统,以收集更多的信息。
在对ICAO骇入的30分钟内,其192个成员国中就至少有一个成员土耳其已经掉入陷阱。任何访问该网站的人都可能受感染。
ICAO遭其史上最严重攻击 拖延解决令人生疑
加拿大媒体CBC今年2月根据所获得的内部文件披露,2016年11月,ICAO遭受了其历史上最严重的网络攻击。这次网络攻击是被外部独立机构“航空信息共享和分析中心”在2016年11月22日发现的,该机构的分析师亚当·魏德曼(Adam Weidmann)当时通知ICAO的信息安全官说,黑客已经控制了ICAO的两台服务器,并正在用它们向外国政府网站散播恶意软件。
魏德曼表示,这类攻击者对航空业构成巨大威胁。
CBC称,ICAO本应该迅速采取行动遏制这场攻击,但结果是ICAO在该事件上表现了拖延、阻止和忽视调查。
ICAO的信息安全官11月23日中午通知ICT团队让受感染的服务器脱机,并向位于纽约的联合国附属IT机构作了报告。
联合国纽约总部的分析师团队所拿出的调查结果是,ICAO电子邮件服务器(webmail server),域管理员和系统管理员账户被断定已被入侵,这让网络间谍有机会窃取2,000多个ICAO用户的过去和现在的密码,进而使得间谍能够秘密阅读、发送或删除任何用户的电子邮件。
这也意味着黑客可以访问ICAO过去和现在雇员的人事记录,以及来访ICAO大楼或在ICAO网站上登记的任何人的个人信息。
美国网络安全公司火眼(FireEye)的网络安全顾问阿里·阿拉斯塔(Ali Arasteh)表示,对于ICAO这个事件,“抢时间解决至关重要”。你必须整理出你的组织的所有资源,迅速将攻击者从这个网络中删除。
但CBC所看到的文件显示,ICAO的ICT团队对驻纽约的联合国分析人员的专家分析根本不予理会,延迟递交了些不可用的数据,在某些情况下,甚至一连几天都不愿回答相关电子邮件。
文件显示,在发现这次攻击的影响范围大后,ICAO的信息安全官要求对受感染的电子邮件服务器进行解密,以便可以识别可能的受害者。
但ICT团队的老板、ICAO的信息管理和总务副局长詹姆斯·万(James WAN)拒绝解密要求。几天后的一天,纽约的联合国IT分析人士想办法对此文件进行解密。ICAO的ICT团队告知纽约分析人士,如果他们不在当天成功解密,ICT团队将会把这个文件删除。
幸运的是,纽约团队最终成功解密。而他们从解密文件中所发现的信息令其大为震惊。
这个文件揭示,ICT团队成员的一个超级用户账号(也称管理员账户)和这个攻击有关联。也可能是黑客远程访问了该管理员账户,但也可能意味着ICT团队的这个管理员(以下简称A)就是网络攻击的参与者。
尽管A的角色令人感到质疑,A仍被赋予验证纽约分析师的索证工作的任务。结果,A质疑纽约分析人员的发现,并下结论称他们检测到的恶意软件是“假阳性”(false positive),也就是说,根本没有恶意软件被发现。
ICT团队的老板万先生向ICAO秘书长柳芳报告说,整个网络安全事件是件小事,被纽约分析家们夸大。
文件显示,ICAO的信息安全官要求对这个“假阳性”发现进行独立审查,但这个要求被拒绝了。
CBC获得的文件显示,ICT团队老板万先生的上级文森特·史密斯(Vincent Smith)已经对ICT团队失去信任。
文件显示,2016年12月20日,史密斯向ICAO提出正式申诉,指称这4名ICT团队成员旨在掩盖这次网络攻击的来源、性质和影响。
第二天,这4人被安排休“带薪行政假”,等待进一步调查。但六个星期后,他们又都返回了工作。
一位消息人士告诉CBC,有来自高层的压力,让他们返回工作岗位。
ICAO的恶意软件问题仍然没有得到解决。
2017年1月4日,在网络攻击发现逾六周后,ICAO的北欧代表团的一名代表通知ICAO,一名陌生人使用了她的账户发送电子邮件,使其看起来好像是她发的。万先生当时告诉这位代表说,这是“当今数字世界中的常见威胁”,建议她删除可疑电子邮件,但并没有做进一步调查。
即使在后来,ICAO也检测到服务器上出现窃取密码的恶意软件警报。
独立网络安全公司SecureWorks介入后,对2016年的网络攻击进行独立分析。调查员戴维·佩克(David Peck)指责,万先生在处理网络安全响应时,表现出阻挠、欺骗、不服从等症状。
根据佩克的调查,ICAO的安全问题早在网络攻击被外部机构发现之前的几年就有了。
最不能让人理解的是,在这次网络攻击中所使用的恶意软件早在12个月前就被ICAO的反病毒软件识别,但ICAO并未采取消病毒措施,而ICT团队最基本职责之一就是识别病毒并进行清除。
佩克指责说,尽管SecureWorks的报告称,不能保证黑客不会利用同样的漏洞再次入侵新系统,但万先生向其他管理人员谎称,“ICAO系统干净、安全。”
在攻击发生后的几个关键星期内,万先生在三个不同的场合或者选择休假,或干脆待在家中。在他不在期间,他让ICAO的信息安全官负责这次网络攻击的相关分析,但却不授予该官员实施行动的权力。在万先生的一次缺席期间,ICAO收到了一份有关在一台服务器上窃取密码的恶意软件警报,大量紧急邮件要求万先生批准对该服务器进行隔离,但一连三天半的时间,万先生也没有给予任何回应。
在2017年1月12日,万先生收到一封电子邮件,让他批准由纽约的IT分析团队和SecureWorks开发的一个长期行动计划,以改善ICAO的网络安全,但万先生从未对此邮件进行回复,也从未批准该计划。
接下来,SecureWorks的调查人员又发了几封跟进邮件,通知万先生,ICAO 仍在面临另外一个问题所带来的高风险,可能发生的事情要远比以前糟糕,但万先生也从未进行回复。
另一件诡异的事情是,在进一步的调查中,有关2016年网络攻击被入侵组织的一份完整名单从服务器上神秘地消失了。
ICAO秘书长柳芳搁置了调查万先生和4名团队成员的内部建议。
而这5人今天仍在ICAO工作。
柳芳和万先生与中共航空业都有关联
CrowdStrike发现柳芳和万先生与中共航空业都有密切关系。
在加入国际民航组织之前,柳芳曾任“中国民用航空局”(CAAC)总干事。CAAC是负责推动中国的航空业发展的几家重要的国有企业之一。
柳芳在2015年担任ICAO秘书长后,该机构被指受中共影响甚至操控的迹象越来越明显。比如,国际民航组织大会3年举行一次,2013年,ICAO还邀请台湾作为嘉宾,参与了大会。不过2016年,ICAO不但拒绝台湾出席,甚至拒绝台湾媒体参与采访。美国多位国会议员批评ICAO此举是以国际飞航安全为代价,姑息中共的霸凌行为。
CrowdStrike表示,万先生和中国民航大学有密切关联。该大学是“中国民用航空局”直属的一所全日制大学,是进行中国航空业研究的另一所主要机构。
网上公开信息显示,万先生曾担任该校的客座教授。他还担任北京理工大学管理与经济学院的兼职教授,并在去年12月参加受聘仪式。
去年12月,柳芳和万先生到深圳参加活动时,由万先生代表ICAO与北京航空航天大学签署了科研合作协议。
ICAO行政服务局局长要求对柳芳等人进行调查
CBC在今年7月的一份报导中称,ICAO行政服务局局长文森特·史密斯(Vincent Smith)要求对ICAO秘书长柳芳等人在处理2016年网络攻击事件中的做法进行全面和独立的调查。
但他被警告,如果继续下去,他就等于是在寻求自毁职业。史密斯表示,他认为公开信息是他的责任。“我在乎这个组织。”史密斯说,“我必须对得起我的良知。”
除了“特使熊猫”攻击事件以及ICAO的不当处理外,ICAO在柳芳领导下所形成的风气令史密斯最为担忧。
在他的报告中,史密斯表示ICAO在柳芳的领导下变成了“有毒且充满敌意”,以“任人唯亲”和“偏袒”为特征。
史密斯写道,它不仅创造了有罪不罚、不调查就免除涉嫌不当行为者罪名的风气,而且还促使那些被免责的人(包括他所负责的行政服务局中某些人)增加了对秘书长的崇拜及忠诚。
史密斯曾指控ICT团队的成员,他也对这些人的行为不被调查感到沮丧。他表示,那些障碍2016~2017网络攻击事件调查的人没有一个被调查,虽然自己是他们的上司,但却没有任何对他们的实际管制权。
他指责柳芳反对来自联合国内部监督服务办公室的有关调查ICT团队成员的建议。
史密斯写道,他大胆说出这种不正之风却使自己成为ICT团队成员及其老板“骚扰、欺凌和报复”的对象。
“我现在反倒被视为一个不忠和不可信的敌人,”史密斯写到。这种经历对他的健康造成了极大的伤害。自3月26日以来,他一直在休病假。
ICAO隐瞒案已经引发美国关注
CBC对ICAO事件的曝光引发多国的关注。在众多国家的支持下,美国敦促ICAO改善管理和监督。
美国提供ICAO年度预算(1亿加元,约合760万美元)中大约四分之一的费用。10月初,路透社援引知情人士透露,华盛顿告诉ICAO,暂时不会支付,直到另行通知。美国称该机构需要迅速改革,为揭发该机构存在不当行为的人员提供更大保护。
一位美国国务院官员告诉路透社,美国想要看到ICAO做出很多改革。“我们期待道德和有效管理,我们期待透明和值得信赖的管理。”#
责任编辑:林妍
