据国外媒体报道,早在数周前,美国政府就宣布朝鲜是索尼影业遭网络攻击的幕后黑手,但一些网络安全公司的研究人员仍在提出究竟是谁发起了这次网络攻击的问题。他们几乎怀疑每一个人,从索尼前员工到俄罗斯犯罪分子,再到一个名为“Lizard Squad”的视频游戏爱好者组织。
对于类似本次事件的大规模网络攻击,要找出谁是幕后真凶并不容易。攻击者可以通过留下假线索掩盖自己的踪迹,也可以通过删除数据来毁掉证据——这是本次攻击事件所使用的不同寻常的战术。索尼影业的网络特别凌乱,因为它过去就经常成为网络攻击的一个目标,这使得通过筛查现场证据找到凶手的难度进一步加大。
信息安全公司FireEye旗下Mandiant部门的创始人凯文·曼迪亚(Kevin Mandia)指出,在谁是这次攻击事件的幕后黑手上出现反复并没有什么不寻常。Mandiant部门正在调查此次攻击事件和其它有影响的网络攻击事件,曼迪亚表示,它们最大的区别是,后者的分歧通常发生在私人领域。也许人们最习以为常的一种理论,但同时最有可能是错误的,就是认为网络攻击一般从开始到结束都是在内部实施的。
曼迪亚在接受采访时表示:“每次网络攻击事件发生后,都会有人怀疑是内部人士所为。但实际上,99%以上的攻击事件没有内部人士参与。”
在此次事件中,大量报告反映索尼影业的网络遭到多种方式攻击——可能有多个组织对其发起了攻击。当遭攻击后的公司开始检查自己的网络时,他们往往会发现自己网络存在的问题超出之前预期,而且一些问题可能是多次攻击叠加造成的。
索尼影业拒绝对此发表评论。
美国联邦调查局(FBI)仍坚持认为是朝鲜对索尼影业发起了网络攻击,但朝鲜否认参与其中。FBI在一封电子邮件中表示:“没有可信的信息表明,任何其他个人对此事件负责。”美国总统的国家安全委员会本周在一封电子邮件称,它支持FBI的调查结果。
之所以有许多人对FBI这一结论产生怀疑,是因为FBI以“保护敏感消息来源和获取方法”为由,拒绝公布所有证据。这些“敏感消息来源和获取方法”,可能包括电话拦截,以侵入方式复制电子邮件,或来自朝鲜政府的消息人士,如果他们被公开将处于危险状态。曼迪亚称,这是通常的做法。他拒绝讨论索尼影业被攻击事件的细节,因为调查还在进行。
为了填补信息上的空白,网络安全公司已经转向其它渠道去获取数据,如社交网络、监视网络流量的计算机、已知的攻击服务器,以及黑客常去的地下在线聊天室。曼迪亚表示:“大家总是挑战现有的结论。”
索尼影业上一次遭受重大网络攻击发生在2011年,知情人士透露,当专家进入该公司的电脑,以寻找对其PSN(PlayStation Network)网络攻击的源头时,发现至少有三家不同的黑客组织曾入侵该网络。其中最严重的攻击来自俄罗斯一个网络犯罪团伙,他们至少在两年前就侵入该网络,一直在不断地窃取该公司的视频游戏资料并用于倒卖。索尼影业没有向外透露这次资料被盗的消息。
人们仍在猜测谁是索尼影业最新攻击事件的幕后黑手。一个自称为Lizard Squad组织成员的人告诉《华盛顿邮报》,该组织将索尼影业员工的密码提供给黑客组织“和平守卫者”(Guardians of Peace)——美国政府称后者与朝鲜有联系。美国新闻网站The Intercept今天援引FBI的公告报道称,“和平守卫者”的下一个攻击目标可能是美国的新闻机构。
著名网络安全作家、Co3 Systems首席技术官布鲁斯·施奈尔(Bruce Schneier)指出,目前没有足够的公开信息来确定谁应对索尼影业被攻击事件负责,部分原因是美国政府提供的证据太少。他在最近一次采访中表示:“事实上,我们一无所知。”
曼迪亚表示,尽管一切都还是一团迷雾,但现在的黑客追踪技术要比以前更为精确。由于调查人员一直在收集和分享有关黑客组织技术指标和行为的证据,黑客组织未来趋势已经开始明朗。例如,由国家资助的黑客组织有明显标志,如他们会迅速抛弃他们所使用的恶意软件。他们更愿意利用合法的登录凭证入侵受害者的网络,同时伪装成合法用户;他们会通过删除计算机日志文件中的数据,来掩盖自己的踪迹;而且,很难通过跟踪进入他们的基础设施。
因此,网络攻击的调查结果会越来越清晰——但外行并不这样认为。这要怪只能怪政府在这方面过于保密。