最近，谷歌安全團(tuán)隊披露了一項黑客攻擊行動，但該黑客組織疑似是為美國政府及其盟友工作，進(jìn)行網(wǎng)絡(luò)反恐行動……

3月29日消息，谷歌安全團(tuán)隊發(fā)現(xiàn)某個黑客組織在短短9個月內(nèi)利用了11個零日漏洞，許多谷歌產(chǎn)品受影響，iPhone的Safari瀏覽器也被波及。

[[390833]]

Keynotes

• 谷歌的安全團(tuán)隊公開揭露了一場歷時9個月的黑客行動
• 這一舉動終止了某西方政府正在進(jìn)行的反恐行動
• 該舉動在谷歌內(nèi)部和和外界引起爭議

谷歌Project Zero團(tuán)隊和威脅分析小組(Threat Analysis Group)在業(yè)內(nèi)享譽(yù)盛名。近期，這兩個團(tuán)隊意外地發(fā)現(xiàn)了一條大魚：一個專家級黑客組織利用11個強(qiáng)大的漏洞來攻擊運行iOS、Android和Windows的設(shè)備。

攻擊路徑

阻止這次“專家級”網(wǎng)絡(luò)攻擊的決定在谷歌內(nèi)部引發(fā)了爭議，此前有消息稱這些黑客是為美國及其盟友工作?！堵槭±砉た萍荚u論》(MIT Technology Review)表示，這些受質(zhì)疑的黑客實際上是西方政府特工，正在開展反恐行動。

谷歌選擇停止該攻擊并將它公之于眾的決定在公司內(nèi)部引起爭議，也引發(fā)了美國及其盟友的情報部門質(zhì)疑。

谷歌在最近的兩篇博客文章中，詳細(xì)描述了它在最近9個月內(nèi)發(fā)現(xiàn)的被黑客利用的零日漏洞。

這種攻擊始于2020年初，使用了一種被稱為“水坑”攻擊的新技術(shù)，利用受感染的網(wǎng)站向訪問者發(fā)送惡意軟件。攻擊的規(guī)模、復(fù)雜性和速度引起了網(wǎng)絡(luò)安全專家的注意。

不過，谷歌的聲明明顯忽略了一些關(guān)鍵細(xì)節(jié)，包括誰應(yīng)該為這次黑客攻擊負(fù)責(zé)，誰是攻擊目標(biāo)，以及相關(guān)惡意軟件或行動中使用的域名等重要技術(shù)信息。

一位安全專家批評該報告是一個“黑洞”，因為上述信息至少會以某種形式披露一條。

要不要公布政府的網(wǎng)絡(luò)行動?

安全團(tuán)隊通常會關(guān)閉被政府利用的漏洞，但很少公開這類行動。針對這一事件，一些谷歌員工表示，反恐任務(wù)不應(yīng)被公開披露;另一些人則認(rèn)為，公司有義務(wù)公開攻擊行為，目的是保護(hù)用戶，使互聯(lián)網(wǎng)更加安全。

谷歌發(fā)言人在一份聲明中說：“Project Zero致力于發(fā)現(xiàn)和修補(bǔ)零日漏洞，并發(fā)布技術(shù)研究，旨在促進(jìn)研究社區(qū)氛圍，加強(qiáng)對新型安全漏洞的理解和利用。”“我們相信，分享技術(shù)研究可以帶來更好的防御策略，增加每個人的安全。但我們的研究并不包括歸因。”

雖然 Project Zero并沒有將此次黑客行為歸咎于特定的組織。但同樣參與該項目的威脅分析小組會進(jìn)行歸因。

除了未指明行為主體，谷歌還省略了更多細(xì)節(jié)。目前還不清楚谷歌是否事先通知了政府官員，他們將公布并關(guān)閉這種攻擊方法。

一位美國前高級情報官員表示，政府的網(wǎng)絡(luò)行為是可以辨認(rèn)的。

這名不愿具名的前官員表示:“政府的網(wǎng)絡(luò)行動中，代碼會暗含一些特點。”他認(rèn)為關(guān)鍵是，民眾如何看待這種情報活動或執(zhí)法活動。

谷歌發(fā)現(xiàn)該黑客組織在短短9個月內(nèi)利用了11個零日漏洞。受到攻擊的軟件包括iPhone的Safari瀏覽器，還有許多谷歌產(chǎn)品，例如Android手機(jī)和Windows電腦上的Chrome瀏覽器。

受影響的產(chǎn)品

但谷歌內(nèi)部得出的結(jié)論是，誰在入侵，為什么要入侵，從來沒有安全漏洞本身重要。今年早些時候，“零計劃”(Project Zero)的瑪?shù)?middot;斯通(Maddie Stone)認(rèn)為，黑客很容易就能找到并利用強(qiáng)大的零日漏洞，她的團(tuán)隊在探測這些漏洞的使用上面臨著一場艱巨的戰(zhàn)斗。

谷歌這樣做的理由是，同一個漏洞，今天可能被友邦利用，明天就有可能被其他國家利用，所以正確的選擇是立即修復(fù)漏洞。

早有先例

這不是西方網(wǎng)絡(luò)安全團(tuán)隊第一次偵察到來自友邦的黑客，例如“五眼聯(lián)盟”(美國、英國、加拿大、澳大利亞和新西蘭)的黑客。對于他們來說，不公開是行業(yè)慣例。

谷歌安全團(tuán)隊的幾名成員都是西方情報機(jī)構(gòu)的資深人員，還有人曾為政府組織過黑客活動。在某些情況下，安全公司會默默清除所謂的“友好”惡意軟件。

前五眼大樓官員薩沙•羅曼諾夫斯基(Sasha Romanosky)表示：“安全公司通常不會干涉美國政府的網(wǎng)絡(luò)行動。”薩莎最近發(fā)表了一份有關(guān)企業(yè)網(wǎng)絡(luò)安全調(diào)查的研究報告。“他們曾明確表示要遠(yuǎn)離政府網(wǎng)絡(luò)行動。這不是他們的工作范圍。”

雖然谷歌也遵循這種慣例，但在過去也有過例外的情況。2019年，該公司發(fā)布了一項研究，研究的黑客組織很可能來自美國，但谷歌未明確指出具體原因。

但差別是，這項研究公布的是一次歷史行動，而谷歌此次公布的是一個正在進(jìn)行的網(wǎng)絡(luò)行動。

2018年，俄羅斯網(wǎng)絡(luò)安全公司卡巴斯基，曝光了美國針對中東地區(qū)ISIS和基地組織Al Qaeda成員的網(wǎng)絡(luò)反恐行動?？ò退够虼耸艿搅伺険?。

美國官員稱，卡巴斯基和谷歌一樣，沒有明確地將威脅歸因，但將攻擊行為公開，導(dǎo)致攻擊行動難以為繼，特工無法接觸到有價值的監(jiān)控項目，甚至讓士兵的生命處于危險之中。

當(dāng)時，卡巴斯基已經(jīng)因與俄羅斯政府的關(guān)系而受到嚴(yán)厲批評，該公司最終被禁止進(jìn)入美國政府的系統(tǒng)。

參考鏈接：https://googleprojectzero.blogspot.com/2021/03/in-wild-series-october-2020-0-day.html