戴爾一位惡意軟體研究部門總監,近日揭密來自中國軍方的一黑客身份。(彭博網截圖)
《彭博商業週刊》(Bloomberg Businessweek)刊登文章講述一名中國「網路間諜」如何在西方網路安全專家的「人肉」搜尋下被暴露真身。
《彭博商業週刊》報導說,戴爾公司負責網路安全工作的斯圖爾特(Joe Stewart)在行業名聲很響,他在2003年挫敗了最早的一次殭屍網攻擊,即黑客利用大量電腦同時發送大量電郵發動的攻擊。他是年來一直致力於阻止網路罪犯攻入銀行賬號和其他電腦賬號。
2011年斯圖爾特開始關注中國,他開始捕捉來自中國的惡意軟體,現在他的主要工作就是並且尋找針對中國的惡意軟體的防範對策。來自中國的電腦攻擊時而成為新聞關注的焦點,上月《紐約時報》受到攻擊,2010年谷歌和英特爾受到黑客攻擊,也使中國黑客再次受到關注。
來自中國的黑客攻擊不僅僅是孤立事件,而是持續的入侵。財富500家公司、新技術公司、政府機構、新聞機構、大使館、大學和律師事務所經常成為中國黑客攻擊的目標,來自中國的惡意軟體充斥網際網路。最近《華盛頓郵報》報導中的一個秘密情報分析認為美國成為中國持續電腦情報蒐集的目標,中國的網路攻擊已經影響到了美國經濟。
斯圖爾特對《彭博商業週刊》記者說,在網路安全行業越來越多的人致力於對付中國的網路攻擊。他追蹤到24,000個網際網路域名,他說中國的間諜租用或者攻擊進入這些網站,利用它們從事網路間諜活動。他把來自中國的惡意軟體分離,這些軟體大多來自中國某些黑客團隊。他說大約10個團隊試驗300組惡意軟體,但是是個月來,這個數字又番了一番。他說在中國那邊有巨大的人力資源作這種事。
數十家商業網路安全公司的調查人員懷疑,來自中國的黑客當中大部分來自軍方,他們受到中國不同情報部門和監視部門的指揮。一般來說,中國的黑客過於有組織,而且活動範圍極廣,不像是獨自活動的黑客。維基解密爆出的外交電文指上次黑客攻擊谷歌同政治局官員有關。美國政府長時間以來一直掌握有關的秘密情報,證明許多黑客攻擊同中國人民解放軍有關。當然中國當局多年來一再對此加以否認。
像斯圖爾特這樣的網路安全專家努力確認黑客的真實身份,他們尋找各種線索,比如在域名註冊的假名和代號、舊的網路身份、論壇中的發言……這些都能增加對黑客的瞭解,但很少能確認他們的真實身份。但偶爾會有黑客犯錯誤。最近一個黑客犯了錯誤,導致記者找上門來。
在2011年3月斯圖爾特發現一個惡意軟體同他平時接觸到的來自已知的俄羅斯和東歐網路盜竊者的作品有所不同。因此他開始調查和這些可疑代碼相關的指令,他注意到自從2004年以Tawnya Grilth 或Eric Charles名字這冊的數十個指令都列出同樣的Hotmail帳號,而且都列出加利福尼亞的同一個城市。好幾個帳號海拔城市名字錯誤地拼寫成Sin Digoo。
同樣的一些地址也出現在其他調查者撰寫的關於中國網路間諜的文件中。這些約2,000個地址屬於中國最大的網際網路服務公司——中國聯通。在斯圖爾特跟蹤許多黑客攻擊時,他反覆接觸到這群地址,因此他認為中國最頂級的兩個數碼間諜團隊在利用這些地址。他將這個團隊成為「北京團隊」。一般像斯圖爾特這樣的調查人員通常也只能查到這個程度,即確認黑客攻擊的來源地和一個可能的組織,但是他們很少能夠確認具體的黑客本人。
不過在隨後幾個月的機緣巧合使斯圖爾特時來運轉。Tawnya Grilth這冊的一個指令使用了dellpc.us.的域名。因為該網址同Stewart的僱主(Dell)過於接近,因此他查詢了網際網路名稱與數字地址分配機構( ICANN )。他對他們說黑客使用Dell侵犯了他僱主公司的商標權。不過Grilth從未對此回應,但是網際網路名稱與數字地址分配機構同意斯圖爾特的說法,將上述域名的控制權交給了斯圖爾特。因此在2011年11月以前,斯圖爾特能夠看到被黑客控制的眾多電腦同中國聯繫,這令他目睹了正在進行當中的一場間諜活動。
經過3個月的跟蹤監視,斯圖爾特逐漸找到了被黑客控制的電腦。到2012年1月,他找到了分布在世界各地的受黑客攻擊的電腦,許多電腦屬於越南、文萊和緬甸等國不同的政府部門,數家石油公司、一家報紙、一個核安全機構以及一個國家在中國的大使館。斯圖爾特說,他從來沒有見過如此集中針對東南亞國家的黑客行動。
然後斯圖爾特根據TawnyaGrilth及其註冊的電郵[email protected]進行更廣泛的搜索,他又獲得了新發現。一個地址當中裡列出xxgchappy的句柄,他按圖索驥,從新的電郵又找到更多的聯繫,包括關於惡意軟體網路討論裡面的帖子,以及域名為rootkit.com的網站,這是個惡意軟體集散地,世界各地的研究者能夠從哪裡學習黑客技術。
接著斯圖爾特發現了更非同尋常的線索:一個做實體商務活動的域名,該域名收費為客戶在諸如推特和臉書之類的社交網站提供「like」(喜歡)之類的點擊。他發現 登記為Tawnya的賬號在黑客論壇 BlackHatWorld上面宣傳一個網站以及一個支付帳戶,該帳戶收費並且把錢轉到一個谷歌帳戶,帳戶的所有者姓「張」。黑客把自己真實生活暴露到如此程度令斯圖爾特出乎意料。
2012年2月斯圖爾特將其發現寫成報告在舊金山年度網路安全界的會議上發表。他的發現引起了安全機構的興趣,因為發現具體黑客的身份難度很大。他的報告立即引起另外一名調查者的興趣,促使他努力發現Tawnya Grilth背後的真人。這位33歲的調查者以網名「虛擬偵探」(Cyb3rsleuth)發帖,他自稱管理一家在印度的電腦情報公司。他要求《彭博商業週刊》記者不要使用他的真名,因為他不想吸引關注,特別是那些試圖黑客攻擊他公司的人的關注。
「虛擬偵探」說他已經得到關於東歐黑客真實身份的舉報,並把有關信息交給政府部門。他希望揭發更多黑客的身份,以便讓政府部門對他們採取行動 。他說黑客也是人,他們也犯錯誤,所以巧門就是要找到相關的聯繫,揭出他們的真身。
隨著他調查深入,化名Tawnya Grilth的黑客更多的聯繫被發現。在汽車論壇、中國黑客網站,個人照片,包括一張顯示一名男子和女子的合影被找到。照片背景是一個寶塔,兩人似乎作為旅遊者在旅遊。「虛擬偵探」通過這名黑客兜售收費提供社交網站點擊的服務以及同Hotmail帳戶綁定的論壇找到了黑客的第二個業務活動,該活動還有具體的地址。這個公司就是「河南手機網」,根據商業指南,這是家手機批發商。該商店網址使用Jeno Hotmail帳戶以Eric Charles的假名註冊。
「虛擬偵探」察看了中國技術公司的網路目錄,找到了公司的電話和聯繫人姓名,即在鄭州的張先生。該目錄還給出3個QQ帳號,其中一個帳號使用了帶xxgchappy句柄的幾個電郵,賬號中把張先生的職業列為「教育」工作。
「虛擬偵探」再用中國搜索引擎搜索這些電郵地址,他發現該電郵還在」開心網」(Kaixin001.com)上註冊,張號屬於鄭州的「張長河」。張的帳戶頭像使用了佛教的蓮花形象。
「虛擬偵探」又發現相關的用Changhe發音,使用不同漢字,註冊的QQ帳號。該帳號博客中包括一些表達佛教信仰的內容,包括一些佛家懺悔和不殺生的訓誡,以及關於自己違規的悔過。作者說他繼續無恥地偷竊,希望將來能夠洗手不幹。
同樣的QQ號還起名xCar出現在一個汽車論壇上。該用戶屬於一個駕駛東風標緻-307轎車的俱樂部,這是中國中產階級駕駛的一張賽車款的4門轎車。這個用戶還在論壇上發問說那裡能夠買到一種特別的車牌架。
在一張攝於2009年的照片中,張先生氈子海灘,面對太陽,背對大海,同一個女性挽手。圖片說明中說該女子是他的妻子,她還出現在他們以寶塔作為背景的合影中。在這張照片中,張先生面相年青,留著濃密的短髮。
「虛擬偵探」在3月在個人博客上公開了他的發現,他說他揭開了鬼影的真面目,並且希望有關政府、調查人員和黑客攻擊的受害者能夠採取行動。
鄭州中心火車站南邊500米的地方有一座7層樓,上面用紅字寫著「中原通訊數碼城」。大樓裡面都是出售電子產品的小店舖。張先生的手機生意公開的地址就在大樓4層的A402。《彭博商業週刊》的記者走進大樓4層那個熒光燈照亮的店舖,裡面的兩個年青的職員說他們不認識「張長河」,也不知道「河南手機網」。大樓的商業經理「王燕」說,A420以前的租戶3年前就已經搬走,她說她不清楚他們做什麼生意。她只知道店主很少來,他們的生意經營時間不長。
在中文谷歌搜索的結果顯示,2005年以來張長河同別人一起寫過幾篇學術文章,文章都和電腦情報活動有關。在2007年張長河還參與過關於窗口系統惡意軟體(Windows rootkit)的研究,這是一種高級的黑客技術。在2011年他還和其他人分析過某種電腦記憶存儲的安全缺陷以及相關的攻擊路徑。文章署名表明張長河在解放軍信息工程大學工作。該機構是中國主要的電子情報中心之一。華盛頓的智庫「2049項目研究所」的Mark Stokes說,在解放軍信息工程大學,教授為全國各地的網路情報活動培養年青軍官,那就好比美國的國家安全署下面建立的一所大學(假設)。
解放軍信息工程大學的大門不能隨意進入,因此張長河電腦網路攻擊的線索到此中斷。去年一發現的一個惡意軟體影響了一百多台電腦,這些電腦主要分布在臺灣和菲律賓。一個攻擊域名涉及了Tawnya Grilth這個名字。
斯圖爾特去年在搜索攻擊俄羅斯和烏克蘭政府和國防機構的惡意軟體的時候發現一個惡意軟體反饋到一個在AlexaUp.info域名的指令。那裡註冊使用的付費姓名也是張長河。
斯圖爾特說,張長河涉及「北京團隊」,該團隊可能有數十人,有編寫程序的,還有管理指令中心基礎設施的,還有翻譯盜竊得到的文件和數據的翻譯人員。
「人肉」出一個黑客的真身並不能阻止來自中國的黑客入侵。斯圖爾特認為像張長河這樣的黑客是中國更龐大組織的一部分,因此「人肉」出更多的類似張長河那樣的人也更加容易。他說,只要出示足夠的證據,中國政府最終就難以否認他們參與了這些活動。斯圖爾特不能確定他們蒐集證據能否最終阻止中國進行網路間諜活動,但是他認為他們的工作會讓中國政府更難逃避指責。
来源:《彭博商業週刊》
短网址: 版權所有,任何形式轉載需本站授權許可。 嚴禁建立鏡像網站。
【誠徵榮譽會員】溪流能夠匯成大海,小善可以成就大愛。我們向全球華人誠意徵集萬名榮譽會員:每位榮譽會員每年只需支付一份訂閱費用,成為《看中國》網站的榮譽會員,就可以助力我們突破審查與封鎖,向至少10000位中國大陸同胞奉上獨立真實的關鍵資訊, 在危難時刻向他們發出預警,救他們於大瘟疫與其它社會危難之中。