据DarkReading网站报道,HBGary公司的创始人和CEO,也是著名安全专家(《Rootkits》一书作者)Greg Hoglund正在与其他安全专家调查攻击Google、Adobe等公司的极光行动。近日,他发布了一个报告,透露了一些目前调查的进展。
报告中称,攻击中使用的CRC算法来自中国,而且许多攻击都来自中国常州一个叫3322.org的网站,这个网站的主人是中国人Peng Yong,他可能具有编写这种算法的背景。他的动态DNS服务托管了超过100万个域名。过去一年,HBGary已经分析到与3322.org通信的数以千计额的不同恶意程序样本。虽然Peng Yong显然容忍了通过其网络服务实施的网络犯罪,但并不能说明他直接与极光攻击有关。
此外,他还对媒体透露,已经发现极光代码中开发者留下的蛛丝马迹,可以找到编译这个恶意程序的人。HBGary公司使用自己最新的分析工具,已经找到了有关极光代码及其来源的注册表键码、IP地址、可疑的运行时行为和其他数据。但是这些信息没有在报告中公开,因为不想打草惊蛇。对攻击者的追踪刚刚开始。
计算机取证企业Mandiant的CEO Kevin Mandia也说他们公司的调查人员已经非常接近发现恶意代码的创造者,可以具体到人。Mandia透露,他们发现极光行动实际上攻击的公司有数百个之多,其中一次就攻击了200家。偷取的知识产权通常都被送到一个在中国的IP地址。攻击的目标有一个有意思的共同特点,就是往往在中国有并购行为。
HBGary公司还提供了工具给用户检查是否受到极光代码的攻击,可以在这里免费下载。
经查,3322.org就是域名服务提供商希网网络,成立于1999年11月,由常州市亚科技术有限公司独立运作