奥地利媒体报道法轮功学员遭间谍木马程序攻击（译文）

【圆明网】[译注：自一九九九年七月二十日，中共邪恶流氓政权开始公开非法镇压、迫害信仰“真、善、忍”的广大法轮功学员，在中国国内，法轮功学员遭受到中共非人性的残酷迫害，至今，已经查实的被中共迫害致死的法轮功学员已达3137位，因中共严密封锁消息，实际被迫害致使人数远大于此，其中有大量法轮功学员非法关押在秘密地点作为器官移植的供体、被活体摘取人体器官；在海外，中共采取各种外交、政治及流氓等手段诬蔑诋毁、骚扰甚至威胁法轮功学员，以电脑病毒、木马程序攻击法轮功学员的电脑，窃取个人信息等资料也是中共惯用的伎俩。]

对特务来说，通过电子邮件用木马病毒攻击目标，是刺探政治对手和商业竞争者的重要手段。Matrix杂志在星期日的文章中引用法轮功为受害者的例子，证明有相当多这类攻击存在，以及如何保护自己免于受攻击。

马坦.凡.荷仁彼克（Maarten Van Horenbeeck）是在一家大型电脑信息科技公司工作的一位安全顾问，虽然公司的网路对这种攻击有最佳的保护，但是他对这种攻击所残留的危险特别感兴趣，前面所提到的包括只针对特定目标的攻击，攻击者可以使用以前从未用过的工具，因此它不被大众所知悉。

攻击者可以利用最新发现的漏洞，即所谓的恶意软件"零时差攻击"（zero-day exploit），这些恶意软件利用发现安全漏洞的当天进行攻击，它也可以是自己发展的病毒或是木马，因为它没有被发现过，所以对于这样的恶意软件是没有防毒保护的，防毒软件几乎无法辨认或发现这种侵入性的电脑软件。

凡.荷仁彼克左思右想，怀疑是否有受害者愿意分享遭受这种攻击的信息，没多久他便遇到了在中国遭受迫害的法轮功精神修炼成员。法轮功学员将收到的附有恶意软件的邮件转发给荷仁，当荷仁详细检查时便发现了恶意入侵攻击。

荷仁追查这些攻击的时间，竟可以回溯到2003年，而且迄今仍未停止入侵。恶意软件在法轮功学员的电脑打开一个后门，与另一个例如位于台湾或美国的攻击电脑连线，不断的传送资料。

在获知警告后改变技俩

甚至于在法轮功人士知道事情明显不对劲，而在他们的网站上公告适当的警讯时，攻击者仍然成功的入侵，凡.荷仁彼克发现这些公告的时间与他们的修改攻击技俩的时间雷同。

在刊登以后不要使用Word文件的警告后，入侵者改攻击WinRar、PowerPiont 与 Excel等软件，研究者确信攻击者是仔细的监视他们的目标，并且阅读法轮功网站上相关的警讯。

攻击手法经常在改变，每一次都是为了欺骗受害者，而且用来进行这类攻击的电脑的网域名称与法轮功所使用的网域名称近似，电子邮件似由认识的发信者寄出，内含具可信度的资讯。

攻击者电脑环境的分析

目标受害者收到资料的当下，凡.荷仁彼克也同时收到该项资料，并且开始分析攻击电脑的网络。

研究者发现某些电脑的使用频率相当高，最久的系统与Parking-IPS有关，这是来自总部在纽西兰奥克兰市的International Parking Systems公司的控制设备。此等系统被用作连结电脑木马网的简易诈术。

被成功安装的木马会回报相关资料给攻击者，并且搜寻特定的网域名称，如果是特定的IP地址，即Parking-IP，这个电脑间碟就会停止其破坏或侵入性的活动。攻击者将可以通过改变IP地址的方式打开或关闭他们的小间碟。

此等Parking-IP是确认易受攻击受害者的有效工具，找出受害者后，接着搜寻个别受害者的某些遭受波及的公司与组织的记录，必须找到必要的资讯才能了解攻击细节。

集体防御

凡.荷仁彼克发现，攻击大多数是利用防毒软体尚未侦测到攻击时的安全漏洞，即便是最佳的安全网络也无法防止此等攻击。因此，对于特定目标的攻击仍然无解，因为目前仍无法防止此等漏洞的出现。

凡.荷仁彼克主张易受攻击的公司及组织应团结并且分享资讯，他发现欧洲应重视这样的合作关系。在美国，资讯分享及分析中心议会（ISAC Council）已运作相当时日，它的功能是提供各个企业关心此等攻击的资讯分享与分析中心。

资料来源：http://futurezone.orf.at/it/stories/255642/

德文版：http://de.clearharmony.net/articles/200802/41826.html