2013-02-16 22:50:18綺羅

彭博:美專家曝光中共軍方黑客「張長河」信息

  政府與私人企業要特別注意來自解放軍的網路攻擊!

彭博:美專家曝光中共軍方黑客「張長河」信息

               
 
戴爾一位惡意軟件研究部門總監,近日揭密來自中國軍方的一黑客身份。
(彭博網截圖)
【大紀元2013年02月16日訊】(大紀元記者海寧綜合編譯報導)2月14日,《彭博商業週刊》刊發長篇文章報導,介紹戴爾電腦公司負責惡意軟件研究部門的總監喬‧斯圖爾特(Joe Stewart),揭露了一名來自中國軍方的黑客身份,這名被稱為「張長河」的黑客,能「自由入侵」駐華使館、一些外國政府、駐華大型公司和媒體的網站。
 

斯圖爾特從2010年谷歌和英特爾(INTC)宣佈遭黑客攻擊後的2011年,把目光投向中國,至2013年的兩年間,尋找來自中國的惡意軟件並應對成為他主要的工作內容。

近期連續有《紐約時報》、《華爾街日報》《華盛頓郵報》等先後宣稱受到中國黑客攻擊。早在2011年美國曾表示5家在華跨國油企和能源企業遭中國黑客攻擊。斯圖爾特指來自中國的惡意軟件已經淹沒了互聯網,並瞄準世界500強企業、高科技創業公司、政府機構、新聞機構、大使館、大學、律師事務所等。

中共網諜無孔不入 大多來自軍方

斯圖爾特說,網絡安全行業已經有越來越多的人致力於應對來自中國的網絡攻擊。他追蹤到 24,000個互聯網域名;中國的間諜租用或者攻進這些網站,利用它們從事網絡間諜活動。他說大約有10個中共團隊共部署了300組惡意軟件,較10個月之前增加了一倍。他說在中國有豐富的人力資源作這種事。

數十家商業網絡安全公司的調查人員懷疑,來自中國的黑客當中大部份來自軍方,或者受到中共情報部門和監控部門的操控。一般來說,中國的黑客過於有組織,而且活動範圍大,不像是獨自活動的黑客。

此前維基解密披露的文件顯示,中國前政治局常委周永康和李長春曾下令黑客入侵谷歌。美國政府長時間以來一直掌握有關的秘密情報,證明許多黑客攻擊同中國人民解放軍有關。當然中共當局多年來一直否認。

大海撈針 共諜「北京隊」現身

2011年3月,斯圖爾特發現一個惡意軟件同他平時接觸到的已知俄羅斯和東歐網絡盜賊的軟件有所不同。他開始調查和這些可疑代碼相關的節點。他注意到自從2004年有人用Tawnya Grilth和Eric Charles註冊的數十個控制節點都使用了同樣的Hotmail帳號,而且一般地點都列為加利福尼亞的同一個城市。好幾個帳號還將城市名字錯拼成Sin Digoo。

同樣一組地址也出現在其他調查者撰寫的關於中國網絡間諜的文件中。這組共2,000個地址屬於中國最大的互聯網服務公司——中國聯通。在斯圖爾特跟蹤的多次黑客攻擊中,他反覆接觸到這一組地址。他認為中國最頂級的兩個數字間諜團隊之一在利用這些地址。他把它稱為「北京隊」。

一般像斯圖爾特這樣的調查人員通常也只能查到這個程度,即確認黑客攻擊的來源地和可能的組織,但是很少能夠確認具體的黑客本人。

不過幾個月後,斯圖爾特時來運轉。Tawnya Grilth註冊的一個節點使用了dellpc.us的域名。因為該網址同戴爾公司(Dell)的名字過於相像,因此他向互聯網名稱與數字地址分配機構(ICANN)投訴說該地址使用Dell侵犯了戴爾公司的商標權。Tawnya Grilth沒有回應,但是ICANN支持斯圖爾特的投訴,將該域名的控制權交給了斯圖爾特。

2011年11月閒,斯圖爾特已能夠看到黑客控制的眾多電腦同中國聯繫:他正在目睹進行中的間諜活動。

鎖定目標 接力調查

經過3個月的跟蹤,斯圖爾特慢慢找到了被黑客控制的電腦。許多屬於越南、文萊和緬甸等國不同的政府部門、數家石油公司、一家報紙、一個核安全機構以及某國駐華大使館。斯圖爾特從來沒有見過如此集中針對東南亞國家的黑客行動。

然後斯圖爾特根據Tawnya Grilth及其註冊的電子郵件jeno_1980@hotmail.com進行更廣泛的搜索,他又有新發現。一個鏈接裡有xxgchappy的句柄。他按圖索驥,從新的電子郵件又找到更多的鏈接,包括惡意軟件網絡論壇裡面的帖子,以及域名為rootkit.com的網站。這是個惡意軟件集散地,世界各地的研究者能夠從那裏學習黑客技術。

接著斯圖爾特發現了更罕見的線索:一個真正公司的域名。該公司提供收費服務,為客戶在推特和臉書之類的社交網站發佈正面消息,或提供「喜歡」(like)服務。他發現登記為一個網名為Tawnya的賬號在黑客論壇BlackHatWorld上面推廣那家公司並附帶一個PayPal帳戶。這個PayPal帳戶收費後把錢轉移到一個谷歌帳戶,擁有者姓Zhang(張)。黑客把自己真實身份暴露到如此程度,令斯圖爾特始料不及。

2012年2月,斯圖爾特將其發現寫成一份19頁的報告發表在戴爾公司網站上。當時恰逢網絡安全界的盛會——舊金山RSA會議。因為發現黑客的具體身份難度很大,他的報告引起另外一名調查者的興趣,促使他努力尋找Tawnya Grilth背後的真身。

這位33歲的調查者以網名為Cyb3rsleuth,自述管理一家印度電腦情報公司。他要求《彭博商業週刊》勿使用其真名,因為他不想吸引關注,以免招致黑客攻擊他的公司。

解放軍信息工程大學浮出水面

Cyb3rsleuth說黑客也是人,也會犯錯誤,所以竅門就是要找到相關的聯繫,揭出他們的真身。隨著調查的深入,他發現了更多關於Tawnya Grilth的信息。此人在汽車論壇和中國黑客網站上發帖;甚至發佈了一張男女的合影。照片背景是一個寶塔。Cyb3rsleuth通過該黑客的第一個公司找到了黑客的第二個公司和一個實體地址。根據商業電話簿和網上的促銷貼,這家叫做「河南手機網」的公司是手機批發商。該店網址註冊人是Eric Charles,註冊電子郵件是jeno_1980@hotmail.com。

Cyb3rsleuth搜索了中國技術公司的網絡目錄,找到了該公司的電話和聯繫人姓名。該人在鄭州,姓張。該目錄還給出3個QQ帳號,其中一個帳號使用了帶xxgchappy句柄的電子郵件。張先生從事的的職業顯示為「教育業」。

Cyb3rsleuth通過中國搜索引擎檢索這些電子郵件,他發現有人使用那些電子郵件在「開心網」上註冊,帳號屬於鄭州的「張長河」。Cyb3rsleuth又發現了發音與「長河」相同但使用不同漢字註冊的博客帳號。一篇名為「後悔」的文章說:「今天是2012年1月31日。我改信佛教已經五年了。在過去5年裡我違反了所有五戒:不殺生、不偷盜、不邪淫、不妄語、不飲酒。我真後悔!」文章說他繼續無恥地偷竊,希望將來能夠金盆洗手。

同樣的QQ號還出現在一個汽車論壇xCar上。該用戶加入了一個東風標緻307轎車的俱樂部。此人在2007年左右在論壇上詢問哪裏能買到一種特殊的車牌框。在一張攝於2009年的照片中,張某站在海灘上背對大海,瞇著眼睛,同一個女子手挽手。圖片註腳中說該女子是他的妻子,跟那張寶塔照裏的女人是同一個人。

2012年3月,Cyb3rsleuth在其個人博客上公開了他的發現,希望有關政府、調查人員和黑客攻擊的受害者會採取行動。然而,迄今無人回應。

彭博「人肉」搜索共諜張長河

鄭州火車站以南500米處有一座7層樓,上面用紅字寫著「中原通訊數碼城」。裡面都是出售電子產品的小店舖。張某手機批發公司的地址就在大樓4層的A402。《彭博商業週刊》的記者走進昏暗的房間,兩個年青職員說他們不認識「張長河」,也不知道「河南手機網」。大樓的商業經理王燕(Wang Yan)說,A420的前租戶3年前就已經搬走,不知道搬到哪裏去了。她只知道店主很少來,店時間不長就關閉了。

中文谷歌搜索的結果裏包括幾篇張長河共同署名的學術文章。其中2005年的一篇與電腦諜報活動有關。2007年張長河還參與過視窗系統惡意軟件(Windows rootkit)的研究,這是一種高級的黑客技術。2011年他還和其他人分析過某種電腦記憶體的安全缺陷以及相關的攻擊路徑。

那些學術文章表明,張長河在解放軍信息工程大學工作。該機構是中共主要的電子情報中心之一。供職於華盛頓智庫「2049項目研究所」的斯托克斯(Mark Stokes)說,該大學為中國各地的網絡情報活動培養年青軍官,就像美國國家安全局下附屬一所大學一樣。

解放軍信息工程大學位於張長河的手機批發公司以北大約6公里,有門禁,不能隨意進入。衛兵檢查過往車輛和行人的身份證。記者撥通了一個在張的QQ博客上發現的手機號。張證實他在解放軍信息工程大學任教,正在出差。

在被問及與黑客活動和控制節點的關係時,張說不知道。張拒絕說明他在學校教授甚麼課程。他否認為中共工作,並拒絕再回答任何跟他工作有關的問題。電話隨即被掛斷。

契而不捨

斯圖爾特則繼續追蹤張在計算機網絡攻擊中扮演的角色。戴爾去年發現的一個名為「幻影」的惡意軟件感染了一百多台電腦,這些電腦主要分佈在台灣和菲律賓。一個攻擊節點註冊於Tawnya Grilth名下。去年,在研究針對俄羅斯與烏克蘭政府和國防機構的惡意軟件時,斯圖爾特發現一個惡意軟件將信息發送到AlexaUp.info。註冊人正是張長河。

斯圖爾特說,張長河屬於「北京隊」。該隊可能有數十人,從程序員到控制中心基礎設施的管理員,還有翻譯文件和數據的人。

曝光一個黑客的真實身份並不能阻止來自中國的黑客攻擊。像張長河這樣的黑客只是中共更龐大機器上的一個小零件。曝光類似張長河那樣的人也許會變的比較容易。斯圖爾特說,只要證據充分,中共政府最終會被迫承認其在網絡攻擊中的角色。他不知道中共會不會停手,但是無疑他的工作會使中共更難以卸責。

斯圖爾特(Joe Stewart)今年42歲,是戴爾公司網絡安全研究部門Dell SecureWorks主任。他在該行業聞名遐邇。2003年,斯圖爾特挫敗了較早的一次殭屍網絡攻擊(botnets),即黑客利用多個電腦同時發送大量電子郵件的攻擊。十年來他一直致力於阻止網絡犯罪份子攻入銀行賬號以及其他賬號。

「各國對中國的網絡黑客行動還能容忍多久?」

中國新媒體人北風在接受德國之聲采訪時表示,從谷歌被黑事件到谷歌出走中國、到美國國家安全部門確認中國專業力量對網絡的攻擊,及近期中國黑客攻擊外媒網站事件,世界各國在技術層面認定的事實,在當前的政治角力中似被淡化,因此各國從未明確向中國危害網絡安全的行為提出挑戰和有效的應對策略:「確認來自中國和有來自中國軍方的攻擊已經有多起了,但是我們可以看到國際社會對這個問題採取了一個比較綏靖的態度,很多時候並不是需要更多證據的問題,而是能不能做出更多決定的問題。如果能夠確認更多的攻擊來自中國,那有利於國際社會做出態度明確的決定,但是這個度需要在甚麼程度?」

據美聯社上月底報導,奧巴馬政府已計劃就黑客問題對中國展開更堅決的行動,報導還援引兩位美國前政府官員的言論,指美國國家情報委員會正在準備新的《國家情報評估》,將「指出中國政府在網絡間諜活動中扮演了更為直接的角色」;美國《華盛頓郵報》援引美國白宮發言人凱特琳‧海登發言:「美國非常並且越來越關注網絡入侵對美國經濟和國家安全的威脅,包括盜竅商業信息的行為。我們已經反覆將我們的關切告知中國高級官員,包括軍方,我們將繼續這麼做。」

(責任編輯:孫芸)