武生盜江湖

　　從“熊貓燒香”案看中國黑客網

　　 James T. Areddy （華爾街日報中文版 2010 年 2 月 22 日）

　　當今一些最重大的網絡安全隱患都能溯源到中國中部城市武漢，那裏一名僅有初中學曆的黑客曾把熊貓卡通形像植入數百萬台電腦，以此來隱藏一款破壞性的間諜軟件。

　　這款“熊貓燒香”電腦蠕蟲病毒由 27 歲的李俊編寫，它在 2006 年和 2007 年曾在中國感染了數百萬台電腦，李俊本人最終也因此坐牢。通過誘騙電腦用戶打開一則看似友好的電子郵件，“熊貓燒香”病毒得以從一台電腦傳播到另一台電腦，它會將電腦遊戲網站的用戶密碼、財務信息和現金餘額竊取到李俊的那些同謀者手裏，而在被感染的電腦裏留下一個熊貓卡通形像作為他們自己的名片。

　　熊貓燒香病毒的開發者李俊當穀歌公司 (Google Inc.) 上個月指控說它和其他 20 多家公司的內部網絡在一起網絡攻擊中被攻破時，它說這次攻擊是從中國發起的，就複雜程度而言，這一被稱做“極光行動” (Aurora) 的網絡攻擊比“熊貓燒香”要高幾個量級。與留下“名片”且迅速、隨機傳播的“熊貓燒香”電腦病毒不同，“極光行動”的發起者會將目標對準那些自己所襲擊公司的特定員工，並且會竭盡全力掩蓋自己的蹤跡。

　　目前尚無證據顯示穀歌遭受的這次網絡攻擊與熊貓病毒事件有任何關聯。外界清楚的是，李俊是在中國的一個黑客網內學到了電腦病毒開發方法並發起網絡攻擊的，這一黑客網對全球電腦用戶來說仍然是一個實實在在且日益增大的威脅。

　　人們很少能追蹤到中國黑客的身份、動機和手法。但基於對安全專家的采訪、獨立科技公司的鑒識報告及黑客們自己的敘述，人們能夠以“熊貓燒香”案為窗口對中國地下黑客網的運作情況有一個難得的了解。

　　據美國的技術安全公司賽門鐵克 (Symantec Corp.) 稱，李俊的熊貓案是中國借助電腦病毒的互聯網有組織犯罪第一案。電腦一旦被“熊貓燒香”病毒感染，電腦桌麵上每個可執行文件，比如微軟 (Microsoft Corp.) 的 Word 文件，其圖標會變成一個熊貓形像。若點擊這個熊貓形像，電腦會立刻開始下載互聯網上的一款軟件，而這款軟件則能讓李俊的電腦獲取這台電腦存儲的財務信息。

　　網絡專家們說，黑客論壇很有可能成為中國政府有力的黑客招聘場所，中國政府正日益擔憂其自身的網絡安全。事實上，據一名正式參與傳播“熊貓燒香”病毒的人說，他後來被中國警方雇傭，從事了侵入互聯網用戶電腦帳戶的工作。這一說法無法得到獨立消息來源的證實。

　　中國對它是黑客天堂的說法嗤之以鼻。國務院新聞辦公室網絡局的官員彭波二月中旬對國有媒體說，中國政府從未支持或參與過網絡攻擊，也永遠不會這樣做。他說，事實上中國是遭受全球黑客攻擊最嚴重的國家。

　　熊貓燒香病毒在中國造成了巨大的損失據一位知情人士說，正在調查穀歌遭網絡攻擊的人員雖然仍不知道攻擊是從什麽地方發起的，但他們一直在調查上海交通大學和山東藍翔高級技工學校的電腦是否與此次襲擊有關。《紐約時報》 (New York Times) 上周四報導說，此次攻擊的調查人員追蹤到了這兩所學校的電腦。

　　李俊落網後以破壞計算機信息係統罪被判處四年監禁，他去年 12 月在服滿三年刑期後獲釋。李俊雖然拒絕正式接受采訪，但在一係列短暫的電話通話、網上聊天以及電子郵件中，他表示自己正在尋求“新的開始”，或許可以做一名網絡安全專家，即所謂的“白帽”。李俊獲釋後，在他父母於武漢郊區的三層樓房內住了幾天。他已經用自己的宏棋 (Acer) 筆記本電腦與熊貓案的其他涉案人員取得了聯係。李俊說，他有興趣與這些以前的同謀一起從事合法生意。

　　李俊的黑客生涯開始於 1999 年 5 月，距他 17 歲生日還有一個月，當時美國飛機轟炸了中國駐貝爾格萊德大使館。這次轟炸激怒了正在武漢的網吧裏遊蕩的李俊，他不再玩電腦遊戲，開始成為一名黑客。

　　李俊是從他兒時認識的雷磊那裏學習技術的。雷磊在一次采訪中說，李俊學會了如何控製數千台電腦使之成為“肉雞”，從而對網站發起攻擊。據雷磊稱，當北京的學生在向美國大使館投擲石塊時，兩位瘦削的年輕人在武漢一家昏暗網吧的二層，發起他們自己的“對美黑客戰”，擾亂了二三十家美國網站。李俊通過電子郵件說，我們當時太年輕，淨幹些瘋事。

　　雷磊回憶，接下來幾年裏，兩人組成團夥進行黑客攻擊，從網民手中盜取資金。他們從網上下載簡單的攻擊程序攻入遊戲賬戶，盜取玩家的虛擬貨幣然後賣掉。遊戲玩家為提升級別，會購買一些特殊武器或其他物品，這些東西是可以換成現金的。

　　現年 27 歲的雷磊因“熊貓燒香”案受到和李俊類似的指控，在湖北省關押李俊的同一座監獄呆了一年， 2008 年釋放。雷磊目前在其父親位於武漢的製造企業工作，計劃開辦一家網絡安全公司。而身穿皮衣、喜歡美國嘻哈音樂的李俊，仍然蔑視權威，在一次采訪中，為了避開交通擁堵，開著他的豪華豐田 (Toyota) 汽車在武漢的街道上逆向而行。

　　兩位黑客說，他們加入一家網上黑客聯盟“小刀會”之後，技術日益提高。“小刀會”的名字來自於清朝的一個起義團體。李俊使用了網名“ WHboy ”（武漢男生）。

　　網絡安全專家說，中國黑客從總體上並不像好萊塢影片中的那種固定模式：美國地下室裏精通電腦的孤獨天才，或把電腦玩得出神入化的俄羅斯犯罪團夥成員，他們設計並執行攻擊，獲取各種各樣的利益。相反，中國的黑客團體是一個廣泛分布和結構鬆散的數字技工群體。

　　李俊通過電子郵件回答《華爾街日報》提問時說，至於中國黑客，他們的整體技術水平趕不上美國或俄羅斯的黑客，但中國擁有世界上最大的黑客群體。他還提到自己與外國黑客的交流，他說，我經常從他們的網站上下載黑客軟件，拿來跟我或其他中國黑客寫的程序作比較。

　　網絡安全專家說，在中國的黑客圈裏，人人都有具體分工，而且是按件出售自己的作品來獲取報酬，而不是為了較高的績效評分而工作。惡意程序的編寫人員常常是利用從其他人手中買到的代碼拚湊成自己的程序，李俊也不例外。整個操作過程就像是流水線一樣：編寫人員編好程序後就賣給其他人，買到這些程序的人會發動更大範圍的攻擊，傳播惡意軟件，啟動它，並分享回報。

　　一家美國大型科技公司駐上海的中國安全研究專家說，這種鏈條模式是中國獨有的。他說，中國黑客活動的組織架構像是多層次直銷甚至是傳銷，而不是結成一體的犯罪團夥，從無到有地編寫“技術幹淨”的代碼。

　　李俊說，和中國多數黑客一樣，他也是在那些謀劃技術攻擊的聊天室網絡裏成長的，這種網絡不正式，但很活躍。黑客和網絡安全人士表示，這些論壇跟犯罪培訓學校加硬件商店沒有什麽區別，形成了一個網絡地下世界，在這裏，網絡遊戲、銀行網站和蘋果 (Apple Inc.)iPhone 技術秘密的門鎖承受著來自世界最大網民群體的嚴酷壓力測試。

　　黑客們說，為了規避禁止銷售惡意軟件的法律，編程人員把他們的黑客行為變相地宣揚成“培訓”或“輔導”。想成為經銷商的人在拉顧客時，把自己叫做“送信員”，而急於在地下世界樹立聲譽的“腳本小子”則會購買黑客工具並啟動攻擊。

　　舉例來說，在傳播過程中，任何人都可以利用一種病毒，讓它攻擊另外一個目標或是竊取不同的數據。附贈的所謂“信封”也有售：模仿現有網站的源代碼價格為人民幣 50 元（約合 7 美元），網站用戶數據要價 500 元。論壇所有者和參與者掩蓋了自己的身份。參與其中的主要障礙在於中文。

　　網絡安全專家說，黑客“眾包”的做法（ crowd sourcing ，即很多人共同編寫和執行代碼）降低了個人麵臨的風險，而且即使有人被抓或論壇被關閉，網絡本身也不會受損。李俊在發給《華爾街日報》的電子郵件中回憶道， 2006 年 10 月，他曾經求助於這些論壇，想從幾種網絡帳戶竊取資金，買一輛路虎 (Land Rover) 。

　　在武漢市中心租來的公寓裏，李俊用一台戴爾 (Dell) 電腦設計了“熊貓燒香”病毒 ( 現在的正式名稱為 W32.Fujacks) ，該病毒會向網絡用戶發送一個軟件包，從遊戲網站等 10 種不同途徑竊取虛擬貨幣點數和其他項目。這個軟件利用保護不力的防火 ，幾乎可影響任何連接互聯網的電腦。

　　李俊在這些黑客論壇尋找可用的代碼，最後選中了一個名為“ Nimaya ”的病毒腳本。雷磊說，作為反饋，在黑客界的“同行評審”中，李俊將自己編寫的東西的樣本發到了大富翁編程網站 (delphibbs.com) 之類的論壇上。李俊在電子郵件中說，如果沒有科技的創新、分享和交換，黑客技術不可能這麽快發展到今天的地步。

　　幾周後，李俊用一個竊取自 QQ 聊天的圖標作為他長達數萬行的代碼的標誌：舉著三根香的熊貓。他將從網站竊取資金的工具拿去出售，最初找了 10 個分銷下線，向每個下線收取了約 120 美元。

　　賽門鐵克 (Symantec) 說，“熊貓燒香”以驚人的、數百萬倍的頻率複製。它令一些收到者想起了六年前源自菲律賓的“我愛你” (ILOVEYOU) 病毒。但“熊貓燒香”還有一個惡意功能：黑客可以利用其“後門”從流行的網絡遊戲中竊取虛擬貨幣，包括騰訊公司 (Tencent Inc.) 運營的那些遊戲。騰訊發言人說，許多公司都受到了影響，並拒絕就“熊貓燒香”事件置評。

　　雷磊回想起兩個人沒日沒夜地試圖轉賣他們竊取的虛擬財產。他們以麵值 10% 的折扣向網絡買家出售，“就像 Ebay 一樣”，雷磊說。這種伎倆賺了多少無法確知，不過雷磊說有時他們一天可以賺 1,200 美元。他們一起狂歡，李俊還買了台 2,000 美元的電腦，不過雷磊說除此而外他們並沒花掉太多。

　　不久，中國網民以及政府機構紛紛譴責“影響極壞的熊貓燒香”。“熊貓燒香”的改進版或複製版開始造成其他損害：導致電腦藍屏、運行速度變慢、係統崩潰、程序被清除。 2007 年初，兩人意識到“熊貓燒香”已經失控，計劃逃往中國西部。當時警方已經跟蹤到“熊貓燒香”的源頭是李俊和雷磊在武漢租住的月租合 72 美元的公寓。警方 2 月 3 日突襲這間公寓時隻有李俊一個人在家。

　　剃了光頭的李俊戴著手銬出現在法庭，被判犯有破壞計算機信息係統罪及盜竊 18,000 美元。

　　雷磊後來被捕。警方在浙江、雲南和山東省逮捕了其他參與“熊貓燒香”攻擊者，其中一些也被判刑。許多人的身份沒有公布，包括促使“熊貓燒香”傳播及從中獲利者。

　　在李俊開始為期四年的刑期時，國有媒體拍攝了身穿黃色上衣的他在監獄裏用電腦清除“熊貓燒香”病毒的照片。（不過沒有效果。去年 11 月，網絡安全公司 McAfee Inc. 警告說“熊貓燒香”病毒的新變種正在傳播。）

　　去年 12 月，李俊因表現良好提前獲釋。他第一個電話就打給了雷磊。

　　在類似 Twitter 的新浪微博上，李俊的關注者迅速擴大到 17,000 人，他發布了一條有關未來計劃的意義含糊的信息：“牛奶會有的，麵包也會有的，一切重新開始。”