2016年,國際民航組織(ICAO)遭史上最嚴重網絡攻擊。令人不解的是,ICAO從上至下對此攻擊不是立即採取行動以避免更多損失,而是採取拖延、阻止調查和隱藏證據等做法。

更為蹊蹺的是,在調查中,一份重要文件從服務器上神秘消失,該文件包含所有可能受此網絡攻擊影響的潛在組織和公司清單。這些異常現象的背後藏著甚麼內幕?

當網絡安全公司建議ICAO的ICT團隊老闆詹姆斯・萬(James WAN)採用一個長期行動計劃,以提高ICAO網絡安全時,他從未給予回覆。當後來又有一台服務器遭到攻擊、眾多請求要求批准立即隔離時,萬先生也遲遲不給予回覆。

當監督辦公室建議ICAO秘書長柳芳對萬先生及其領導的ICT團隊進行調查時,柳芳卻將此建議擱置下來,反對調查。柳芳和萬先生為何對這個和中共相關的神秘網絡攻擊反應遲鈍?這一點令人生疑。

全球知名的網絡安全公司CrowdStrike近日發佈了一份詳細報告,揭露了中共如何通過多年的黑客攻擊協調活動,系統竊取外國公司的技術,以幫助中共國有航空製造商生產C919飛機。報告再次提起ICAO在2016年遭到嚴重網絡攻擊以及所涉及的潛在掩蓋事件。

CrowdStrike分析認為,相關文件表明,此次入侵很可能是黑客將ICAO作為一個跳板,進而瞄準外國政府及航空航天企業。

這場攻擊背後涉及一個與中共政府相關的神秘網絡間諜組織。該組織善於從外國公司和政府竊取信息。在ICAO之外的第三方調查指出,黑客組織「特使熊貓」(Emissary Panda)是此次攻擊事件的罪魁禍首。CrowdStrike稱,「特使熊貓」之前也曾針對航空業進行過類似攻擊。

「特使熊貓」善於竊取外國公司和外國政府信息

加拿大廣播公司(CBC)今年2月根據其所獲得的文件披露了ICAO在2016年遭網絡攻擊的諸多內幕。進行攻擊的黑客被認定是「特使熊貓」的成員,「特使熊貓」是「與中共政府有聯繫的複雜而隱秘」的網絡間諜組織。

「特使熊貓」有很多不同的名字,比如TG-3390、APT 27和Bronze Union。網絡安全公司SecureWorks稱,他們有理由相信,這個組織是中共政府贊助。該公司在一份報告中寫到,「特使熊貓」在中國的工作日最活躍,主要在中國當地時間中午至下午5點;該組織的黑客使用中文搜索引擎百度;黑客工具的一部份是用中文寫的;這個組織對維吾爾人——中共政府打壓的少數民族,進行了網絡攻擊。

「特使熊貓」已經活躍了至少10年,它在北美、南美、亞洲、歐洲和中東都發動過網絡攻擊。CBC諮詢的多名網絡安全專家表示,「特使熊貓」擅長於通過「網絡間諜」活動,從外國企業和政府機構的系統中收集數據。

ICAO是黑客打入航空企業和外國政府竊取信息的門戶

位於加拿大蒙特利爾的ICAO是為全世界制定民用航空標準的聯合國機構,是一個與全球航空業個體相聯的門戶,這個機構的網絡被攻破,意味著其全球合作夥伴都可能陷入困境。

蒙特利爾工程學院網絡安全專家兼教授何塞・費爾南德斯(Jose Fernandez)說,ICAO的網絡安全存在漏洞就好比是不給汽車上鎖,允許罪犯駕著這輛車到處去犯罪一樣。

「如果像ICAO這樣的大型組織將其基礎設施置於不受保護或未得到良好保護的狀態,它將允許犯罪份子或網絡間諜利用該基礎設施來對其他人(指國際合作夥伴)進行間諜活動。」

費爾南德斯認為,ICAO被黑客選中,可能不是因為它是一個薄弱環節,而是因為它身份特別。如果是出於網絡間諜為目的,「ICAO將會是一個自然的選擇」。

費爾南德斯表示,對ICAO的攻擊看起來是更大計劃的一部份,因為該組織的成員國及航空企業會經常訪問這個網站,使這個網站成了中共網絡間諜進攻其它目標的「門戶」。

這場攻擊具有典型的「水坑」(watering holes)攻擊的所有特徵。也就是黑客利用ICAO成員國和航空公司對ICAO的信任,利用ICAO網站的漏洞在其中植入惡意軟件,當成員國和企業在這網站內查詢航空文件時,他們將被注入惡意代碼,這可以使黑客遠程控制這些訪問者的電腦。在這個例子中,ICAO網站被黑客當成是「水坑」,也就是「陷阱」。

黑客通過這個方式進入更多的政府或公司的電腦系統後,也會在裏面繼續設置新的「水坑」。這樣,他們就建起了一個「水坑鏈」,藉此入侵更多的電腦系統,以收集更多的信息。

在對ICAO駭入的30分鐘內,其192個成員國中就至少有一個成員土耳其已經掉入陷阱。任何訪問該網站的人都可能受感染。

ICAO遭其史上最嚴重攻擊 拖延解決令人生疑

加拿大媒體CBC今年2月根據所獲得的內部文件披露,2016年11月,ICAO遭受了其歷史上最嚴重的網絡攻擊。這次網絡攻擊是被外部獨立機構「航空信息共享和分析中心」在2016年11月22日發現的,該機構的分析師亞當・魏德曼(Adam Weidmann)當時通知ICAO的信息安全官說,黑客已經控制了ICAO的兩台服務器,並正在用它們向外國政府網站散播惡意軟件。

魏德曼表示,這類攻擊者對航空業構成巨大威脅。

CBC稱,ICAO本應該迅速採取行動遏制這場攻擊,但結果是ICAO在該事件上表現了拖延、阻止和忽視調查。

ICAO的信息安全官11月23日中午通知ICT團隊讓受感染的服務器脫機,並向位於紐約的聯合國附屬IT機構作了報告。

聯合國紐約總部的分析師團隊所拿出的調查結果是,ICAO電子郵件服務器(webmail server),域管理員和系統管理員帳戶被斷定已被入侵,這讓網絡間諜有機會竊取2,000多個ICAO用戶的過去和現在的密碼,進而使得間諜能夠秘密閱讀、發送或刪除任何用戶的電子郵件。

這也意味著黑客可以訪問ICAO過去和現在僱員的人事記錄,以及來訪ICAO大樓或在ICAO網站上登記的任何人的個人信息。

美國網絡安全公司火眼(FireEye)的網絡安全顧問阿里・阿拉斯塔(Ali Arasteh)表示,對於ICAO這個事件,「搶時間解決至關重要」。你必須整理出你的組織的所有資源,迅速將攻擊者從這個網絡中刪除。

但CBC所看到的文件顯示,ICAO的ICT團隊對駐紐約的聯合國分析人員的專家分析根本不予理會,延遲遞交了些不可用的數據,在某些情況下,甚至一連幾天都不願回答相關電子郵件。

文件顯示,在發現這次攻擊的影響範圍大後,ICAO的信息安全官要求對受感染的電子郵件服務器進行解密,以便可以識別可能的受害者。

但ICT團隊的老闆、ICAO的信息管理和總務副局長詹姆斯・萬(James WAN)拒絕解密要求。幾天後的一天,紐約的聯合國IT分析人士想辦法對此文件進行解密。ICAO的ICT團隊告知紐約分析人士,如果他們不在當天成功解密,ICT團隊將會把這個文件刪除。

幸運的是,紐約團隊最終成功解密。而他們從解密文件中所發現的信息令其大為震驚。

這個文件揭示,ICT團隊成員的一個超級用戶帳號(也稱管理員帳戶)和這個攻擊有關聯。也可能是黑客遠程訪問了該管理員帳戶,但也可能意味著ICT團隊的這個管理員(以下簡稱A)就是網絡攻擊的參與者。

儘管A的角色令人感到質疑,A仍被賦予驗證紐約分析師的索證工作的任務。結果,A質疑紐約分析人員的發現,並下結論稱他們檢測到的惡意軟件是「假陽性」(false positive),也就是說,根本沒有惡意軟件被發現。

ICT團隊的老闆萬先生向ICAO秘書長柳芳報告說,整個網絡安全事件是件小事,被紐約分析家們誇大。

文件顯示,ICAO的信息安全官要求對這個「假陽性」發現進行獨立審查,但這個要求被拒絕了。

CBC獲得的文件顯示,ICT團隊老闆萬先生的上級文森特・史密斯(Vincent Smith)已經對ICT團隊失去信任。

文件顯示,2016年12月20日,史密斯向ICAO提出正式申訴,指稱這4名ICT團隊成員旨在掩蓋這次網絡攻擊的來源、性質和影響。

第二天,這4人被安排休「帶薪行政假」,等待進一步調查。但六個星期後,他們又都返回了工作。

一位消息人士告訴CBC,有來自高層的壓力,讓他們返回工作崗位。

ICAO的惡意軟件問題仍然沒有得到解決。

2017年1月4日,在網絡攻擊發現逾六周後,ICAO的北歐代表團的一名代表通知ICAO,一名陌生人使用了她的帳戶發送電子郵件,使其看起來好像是她發的。萬先生當時告訴這位代表說,這是「當今數字世界中的常見威脅」,建議她刪除可疑電子郵件,但並沒有做進一步調查。

即使在後來,ICAO也檢測到服務器上出現竊取密碼的惡意軟件警報。

獨立網絡安全公司SecureWorks介入後,對2016年的網絡攻擊進行獨立分析。調查員戴維・佩克(David Peck)指責,萬先生在處理網絡安全響應時,表現出阻撓、欺騙、不服從等症狀。

根據佩克的調查,ICAO的安全問題早在網絡攻擊被外部機構發現之前的幾年就有了。

最不能讓人理解的是,在這次網絡攻擊中所使用的惡意軟件早在12個月前就被ICAO的反病毒軟件識別,但ICAO並未採取消病毒措施,而ICT團隊最基本職責之一就是識別病毒並進行清除。

佩克指責說,儘管SecureWorks的報告稱,不能保證黑客不會利用同樣的漏洞再次入侵新系統,但萬先生向其他管理人員謊稱,「ICAO系統乾淨、安全。」

在攻擊發生後的幾個關鍵星期內,萬先生在三個不同的場合或者選擇休假,或乾脆待在家中。在他不在期間,他讓ICAO的信息安全官負責這次網絡攻擊的相關分析,但卻不授予該官員實施行動的權力。在萬先生的一次缺席期間,ICAO收到了一份有關在一台服務器上竊取密碼的惡意軟件警報,大量緊急郵件要求萬先生批准對該服務器進行隔離,但一連三天半的時間,萬先生也沒有給予任何回應。

在2017年1月12日,萬先生收到一封電子郵件,讓他批准由紐約的IT分析團隊和SecureWorks開發的一個長期行動計劃,以改善ICAO的網絡安全,但萬先生從未對此郵件進行回覆,也從未批准該計劃。

接下來,SecureWorks的調查人員又發了幾封跟進郵件,通知萬先生,ICAO仍在面臨另外一個問題所帶來的高風險,可能發生的事情要遠比以前糟糕,但萬先生也從未進行回覆。

另一件詭異的事情是,在進一步的調查中,有關2016年網絡攻擊被入侵組織的一份完整名單從服務器上神秘地消失了。

ICAO秘書長柳芳擱置了調查萬先生和4名團隊成員的內部建議。

而這5人今天仍在ICAO工作。

柳芳和萬先生與中共航空業都有關聯

CrowdStrike發現柳芳和萬先生與中共航空業都有密切關係。

在加入國際民航組織之前,柳芳曾任「中國民用航空局」(CAAC)總幹事。CAAC是負責推動中國的航空業發展的幾家重要的國有企業之一。

柳芳在2015年擔任ICAO秘書長後,該機構被指受中共影響甚至操控的跡象越來越明顯。比如,國際民航組織大會3年舉行一次,2013年,ICAO還邀請台灣作為嘉賓,參與了大會。不過2016年,ICAO不但拒絕台灣出席,甚至拒絕台灣媒體參與採訪。美國多位國會議員批評ICAO此舉是以國際飛航安全為代價,姑息中共的霸凌行為。

CrowdStrike表示,萬先生和中國民航大學有密切關聯。該大學是「中國民用航空局」直屬的一所全日制大學,是進行中國航空業研究的另一所主要機構。

網上公開信息顯示,萬先生曾擔任該校的客座教授。他還擔任北京理工大學管理與經濟學院的兼職教授,並在去年12月參加受聘儀式。

去年12月,柳芳和萬先生到深圳參加活動時,由萬先生代表ICAO與北京航空航天大學簽署了科研合作協議。

ICAO行政服務局局長要求對柳芳等人進行調查

CBC在今年7月的一份報道中稱,ICAO行政服務局局長文森特・史密斯(Vincent Smith)要求對ICAO秘書長柳芳等人在處理2016年網絡攻擊事件中的做法進行全面和獨立的調查。

但他被警告,如果繼續下去,他就等於是在尋求自毀職業。史密斯表示,他認為公開信息是他的責任。「我在乎這個組織。」史密斯說,「我必須對得起我的良知。」

除了「特使熊貓」攻擊事件以及ICAO的不當處理外,ICAO在柳芳領導下所形成的風氣令史密斯最為擔憂。

在他的報告中,史密斯表示ICAO在柳芳的領導下變成了「有毒且充滿敵意」,以「任人唯親」和「偏袒」為特徵。

史密斯寫道,它不僅創造了有罪不罰、不調查就免除涉嫌不當行為者罪名的風氣,而且還促使那些被免責的人(包括他所負責的行政服務局中某些人)增加了對秘書長的崇拜及忠誠。

史密斯曾指控ICT團隊的成員,他也對這些人的行為不被調查感到沮喪。他表示,那些障礙2016~2017網絡攻擊事件調查的人沒有一個被調查,雖然自己是他們的上司,但卻沒有任何對他們的實際管制權。

他指責柳芳反對來自聯合國內部監督服務辦公室的有關調查ICT團隊成員的建議。

史密斯寫道,他大膽說出這種不正之風卻使自己成為ICT團隊成員及其老闆「騷擾、欺凌和報復」的對象。

「我現在反倒被視為一個不忠和不可信的敵人」,史密斯寫到。這種經歷對他的健康造成了極大的傷害。自3月26日以來,他一直在休病假。

ICAO隱瞞案已經引發美國關注

CBC對ICAO事件的曝光引發多國的關注。在眾多國家的支持下,美國敦促ICAO改善管理和監督。

美國提供ICAO年度預算(1億加元,約合760萬美元)中大約四分之一的費用。10月初,《路透社》援引知情人士透露,華盛頓告訴ICAO,暫時不會支付,直到另行通知。美國稱該機構需要迅速改革,為揭發該機構存在不當行為的人員提供更大保護。

一位美國國務院官員告訴《路透社》,美國想要看到ICAO做出很多改革。「我們期待道德和有效管理,我們期待透明和值得信賴的管理。」#