【大纪元2013年02月16日讯】(大纪元记者海宁综合编译报导)2月14日,《彭博商业周刊》刊发长篇文章报导,介绍戴尔电脑公司负责恶意软件研究部门的总监乔‧斯图尔特(Joe Stewart),揭露了一名来自中国军方的黑客身份,这名被称为“张长河”的黑客,能“自由入侵”驻华使馆、一些外国政府、驻华大型公司和媒体的网站。
今年42岁的斯图尔特是戴尔公司网络安全研究部门主任,他在该行业闻名遐迩。2003年,斯图尔特挫败了较早的一次僵尸网络攻击(botnets),即黑客利用多个电脑同时发送大量电子邮件的攻击。十年来他一直致力于阻止网络犯罪份子攻入银行账号以及其他账号。
斯图尔特从2010年谷歌和英特尔(INTC)宣布遭黑客攻击后的2011年,把目光投向中国,至2013年的两年间,寻找来自中国的恶意软件并应对成为他主要的工作内容。
近期连续有《纽约时报》、《华尔街日报》《华盛顿邮报》等先后宣称受到中国黑客攻击。早在2011年美国曾表示5家在华跨国油企和能源企业遭中国黑客攻击。斯图尔特指来自中国的恶意软件已经淹没了互联网,并瞄准世界500强企业、高科技创业公司、政府机构、新闻机构、大使馆、大学、律师事务所等。
中共网谍无孔不入 大多来自军方
斯图尔特说,网络安全行业已经有越来越多的人致力于应对来自中国的攻击。他追踪到 24,000个互联网域名;中国的间谍租用或者攻破这些网站,利用它们从事网络间谍活动。他说,约有10个中共团队共部署了300组恶意软件,较10个月之前增加了一倍。他说在中国有丰富的人力资源作这种事。
数十家商业网络安全公司的调查人员怀疑,来自中国的黑客当中大部分来自军方,或者受到中共情报部门和监控部门的操控。一般来说,中国的黑客过于有组织,而且活动范围大,不像是独自活动的黑客。
此前维基解密披露的文件显示,中国前政治局常委周永康和李长春曾下令黑客入侵谷歌。美国政府长时间以来一直掌握有关的秘密情报,证明许多黑客攻击同中国人民解放军有关。当然中共当局多年来一直否认。
大海捞针 共谍“北京队”现身
2011年3月,斯图尔特发现一个恶意软件同他平时接触到的已知俄罗斯和东欧网络盗贼的软件有所不同。他开始调查和这些可疑代码相关的节点。他注意到自从2004年有人用Tawnya Grilth和Eric Charles注册的数十个控制节点都使用了同样的Hotmail账号,而且一般地点都列为加利福尼亚的同一个城市。好几个账号还将城市名字错拼成Sin Digoo。
同样一组地址也出现在其他调查者撰写的关于中国网络间谍的文件中。这组共2,000个地址属于中国最大的互联网服务公司——中国联通。在斯图尔特跟踪的多次黑客攻击中,他持续接触到这一组地址。他认为中国最顶级的两个数字间谍团队之一在利用这些地址。他把它称为“北京队”。
一般像斯图尔特这样的调查人员通常也只能查到这个程度,即确认黑客攻击的来源地和可能的组织,但是很少能够确认具体的黑客本人。
不过几个月后,斯图尔特时来运转。Tawnya Grilth注册的一个节点使用了dellpc.us的域名。因为该网址同戴尔公司(Dell)的名字过于相像,因此他向互联网名称与数字地址分配机构(ICANN)投诉说该地址使用Dell侵犯了戴尔公司的商标权。Tawnya Grilth没有回应,但是ICANN支持斯图尔特的投诉,将该域名的控制权交给了斯图尔特。
2011年11月闲,斯图尔特已能够看到黑客控制的众多电脑同中国联系:他正在目睹进行中的间谍活动。
锁定目标 接力调查
经过3个月的跟踪,斯图尔特慢慢找到了被黑客控制的电脑。许多属于越南、文莱和缅甸等国不同的政府部门、数家石油公司、一家报纸、一个核安全机构以及某国驻华大使馆。斯图尔特从来没有见过如此集中针对东南亚国家的黑客行动。
然后斯图尔特根据Tawnya Grilth及其注册的电子邮件jeno_1980@hotmail.com进行更广泛的搜索,他又有新发现。一个链接里有xxgchappy的句柄。他按图索骥,从新的电子邮件又找到更多的链接,包括恶意软件网络论坛里面的帖子,以及域名为rootkit.com的网站。这是个恶意软件集散地,世界各地的研究者能够从那里学习黑客技术。
接着斯图尔特发现了更罕见的线索:一个真正公司的域名。该公司提供收费服务,为客户在推特和脸书之类的社交网站发布正面消息,或提供“喜欢”(like)服务。他发现登记为一个网名为Tawnya的账号在黑客论坛BlackHatWorld上面推广那家公司并附带一个PayPal账户。这个PayPal账户收费后把钱转移到一个谷歌账户,拥有者姓Zhang(张)。黑客把自己真实身份暴露到如此程度,令斯图尔特始料不及。
锲而不舍
斯图尔特则继续追踪张在计算机网络攻击中扮演的角色。戴尔公司去年发现的一个名为“幻影”的恶意软件感染了一百多台电脑,这些电脑主要分布在台湾和菲律宾。一个攻击节点注册于Tawnya Grilth名下。去年,在研究针对俄罗斯与乌克兰政府和国防机构的恶意软件时,斯图尔特发现一个恶意软件将信息发送到AlexaUp.info。注册人正是张长河。
斯图尔特说,张长河属于“北京队”。该队可能有数十人,从程序员到控制中心基础设施的管理员,还有翻译文件和数据的人。
曝光一个黑客的真实身份并不能阻止来自中国的黑客攻击。像张长河这样的黑客只是中共更庞大机器上的一个小零件。曝光类似张长河那样的人也许会变的比较容易。斯图尔特说,只要证据充分,中共政府最终会被迫承认其在网络攻击中的角色。他不知道中共会不会停手,但是无疑他的工作会使中共更难以卸责。
2012年2月,斯图尔特将其发现写成一份19页的报告发表在戴尔公司网站上。当时恰逢网络安全界的盛会——旧金山RSA会议。因为发现黑客的具体身份难度很大,他的报告引起另外一名调查者的兴趣,促使他努力寻找Tawnya Grilth背后的真身。
这位33岁的调查者以网名为Cyb3rsleuth,自述管理一家印度电脑情报公司。他要求《彭博商业周刊》勿使用其真名,因为他不想吸引关注,以免招致黑客攻击他的公司。
解放军信息工程大学浮出水面
Cyb3rsleuth说黑客也是人,也会犯错误,所以窍门就是要找到相关的联系,揭出他们的真身。随着调查的深入,他发现了更多关于Tawnya Grilth的信息。此人在汽车论坛和中国黑客网站上发帖;甚至发布了一张男女的合影。照片背景是一个宝塔。Cyb3rsleuth通过该黑客的第一个公司找到了黑客的第二个公司和一个实体地址。根据商业电话簿和网上的促销贴,这家叫做“河南手机网”的公司是手机批发商。该店网址注册人是Eric Charles,注册电子邮件是jeno_1980@hotmail.com。
Cyb3rsleuth搜索了中国技术公司的网络目录,找到了该公司的电话和联系人姓名。该人在郑州,姓张。该目录还给出3个QQ账号,其中一个账号使用了带xxgchappy句柄的电子邮件。张先生从事的的职业显示为“教育业”。
Cyb3rsleuth通过中国搜索引擎检索这些电子邮件,他发现有人使用那些电子邮件在“开心网”上注册,账号属于郑州的“张长河”。Cyb3rsleuth又发现了发音与“长河”相同但使用不同汉字注册的博客账号。一篇名为“后悔”的文章说:“今天是2012年1月31日。我改信佛教已经五年了。在过去5年里我违反了所有五戒:不杀生、不偷盗、不邪淫、不妄语、不饮酒。我真后悔!”文章说他继续无耻地偷窃,希望将来能够金盆洗手。
同样的QQ号还出现在一个汽车论坛xCar上。该用户加入了一个东风标致307轿车的俱乐部。此人在2007年左右在论坛上询问哪里能买到一种特殊的车牌框。在一张摄于2009年的照片中,张某站在海滩上背对大海,眯着眼睛,同一个女子手挽手。图片注脚中说该女子是他的妻子,跟那张宝塔照里的女人是同一个人。
2012年3月,Cyb3rsleuth在其个人博客上公开了他的发现,希望有关政府、调查人员和黑客攻击的受害者会采取行动。然而,迄今无人回应。
彭博“人肉”搜索共谍张长河
郑州火车站以南500米处有一座7层楼,上面用红字写着“中原通讯数码城”。里面都是出售电子产品的小店铺。张某手机批发公司的地址就在大楼4层的A402。《彭博商业周刊》的记者走进昏暗的房间,两个年青职员说他们不认识“张长河”,也不知道“河南手机网”。大楼的商业经理王燕(Wang Yan)说,A420的前租户3年前就已经搬走,不知道搬到哪里去了。她只知道店主很少来,店时间不长就关闭了。
中文谷歌搜索的结果里包括几篇张长河共同署名的学术文章。其中2005年的一篇与电脑谍报活动有关。2007年张长河还参与过视窗系统恶意软件(Windows rootkit)的研究,这是一种高级的黑客技术。2011年他还和其他人分析过某种电脑记忆体的安全缺陷以及相关的攻击路径。
那些学术文章表明,张长河在解放军信息工程大学工作。该机构是中共主要的电子情报中心之一。供职于华盛顿智库“2049项目研究所”的斯托克斯(Mark Stokes)说,该大学为中国各地的网络情报活动培养年青军官,就像美国国家安全局下附属一所大学一样。
解放军信息工程大学位于张长河的手机批发公司以北大约6公里,有门禁,不能随意进入。卫兵检查过往车辆和行人的身份证。记者拨通了一个在张的QQ博客上发现的手机号。张证实他在解放军信息工程大学任教,正在出差。
在被问及与黑客活动和控制节点的关系时,张说不知道。张拒绝说明他在学校教授什么课程。他否认为中共工作,并拒绝再回答任何跟他工作有关的问题。电话随即被挂断。
“各国对中国的网络黑客行动还能容忍多久?”
中国新媒体人北风在接受德国之声采访时表示,从谷歌被黑事件到谷歌出走中国、到美国国家安全部门确认中国专业力量对网络的攻击,及近期中国黑客攻击外媒网站事件,世界各国在技术层面认定的事实,在当前的政治角力中似被淡化,因此各国从未明确向中国危害网络安全的行为提出挑战和有效的应对策略:“确认来自中国和有来自中国军方的攻击已经有多起了,但是我们可以看到国际社会对这个问题采取了一个比较绥靖的态度,很多时候并不是需要更多证据的问题,而是能不能做出更多决定的问题。如果能够确认更多的攻击来自中国,那有利于国际社会做出态度明确的决定,但是这个度需要在什么程度?”
据美联社上月底报导,奥巴马政府已计划就黑客问题对中国展开更坚决的行动,报导还援引两位美国前政府官员的言论,指美国国家情报委员会正在准备新的《国家情报评估》,将“指出中国政府在网络间谍活动中扮演了更为直接的角色”;美国《华盛顿邮报》援引美国白宫发言人凯特琳‧海登发言:“美国非常并且越来越关注网络入侵对美国经济和国家安全的威胁,包括盗窍商业信息的行为。我们已经反复将我们的关切告知中国高级官员,包括军方,我们将继续这么做。”
(责任编辑:孙芸)
