科普一下:慣偷是怎麽被抓的?[ZT]

最近2星期的熱點話題是:天朝61398部隊的禦用駭客。今天轉載一些網文和圖片,八卦一下禦用駭客被曝光的過程。

 

話說美國方麵這次掌握的材料已經很充分了(看完本文,你會意識到這點)。但是天朝外交部擺出一副"死豬不怕開水燙"的架勢,打死不承認。

 

圖片若幹

 

在此次事件中,最有價值的信息,就是美國計算機安全公司 Mandiant 發布的報告。這份報告算是比較詳細的,介紹了禦用駭客的種種事跡和入侵手法。對網絡安全有興趣的同學,這份報告值得一讀。

考慮到很多讀者比較懶,俺貼出該報告的其中幾張截圖,再配上俺的簡要解說。

 

 

中國電信授權61398部隊接入上海005中心

 

這是中國電信的一個內部文件(截圖下方是發現該文件的網址)。

裏麵明確提到了:61398部隊隸屬總參三部二局,位於高橋(上海浦東)。

 

http://www.uploadfr.com/images/2014/05/20/fig11336b.png 

 

禦用駭客常用的工具

 

這是禦用駭客收集用戶口令的工具。

 

http://www.uploadfr.com/images/2014/05/20/fig21d8e2.png 

 

禦用駭客使用的 IP 地址

 

下麵幾張是美國方麵監控到的,入侵美國公司所用的 IP 地址,有相當多的攻擊來源,是來自於上海市浦東區高橋鎮。

 

http://www.uploadfr.com/images/2014/05/21/fig40fbc2.png 

http://www.uploadfr.com/images/2014/05/21/fig52474d.png 

 

可能會覺得奇怪:這幫禦用駭客難道不用代理嗎?

俺來解釋一下:

1.

禦用駭客的人數很多,素質也是參差不齊。

人多了之後,難免會有人不遵守紀律。有些人估計是嫌麻煩,沒做到 "入侵的全過程都通過代理"

隻要有 1% 的人出現疏忽,那麽整個團隊所在的位置就會被曝光。

2.

禦用駭客跟民間駭客不同。民間駭客搞入侵,一旦暴露有可能會被抓。所以,有經驗的民間駭客會更小心謹慎。而禦用駭客是朝廷的人,不用擔心被抓。因為缺乏心理上的顧慮,也就沒有那麽小心謹慎。

 

某些替朝廷辯護的五毛會說,這是別國的黑客利用中國的肉雞做跳板。

如果真的是這樣,那就非常奇怪了:為啥別國的黑客碰巧都用了上海浦東區高橋鎮的網段當肉雞?而且碰巧高橋鎮還駐紮著一個解放軍的網絡戰部隊?

 

被人肉的駭客之一:汪東(網名 Ugly Gorilla

 

他暴露的主要問題在於,他使用了相同的郵箱(uglygorilla@163.com),相同的網名(UglyGorilla)注冊了如下網站:

1. 中國軍網

該網站隸屬《解放軍報》旗下。2004年,張召忠(赫赫有名的天朝戰略忽悠局局長)做客該網站,接受網友的在線提問。當時汪東曾向張召忠在線提問,問題內容是關於"中國網絡戰"

看來張召忠的忽悠能力很強啊。連禦用駭客都成為他的粉絲了。

2. rootkit.com

這是國外知名的黑客網站,專門提供 "木馬/後門等方麵的資料。

該網站後來被大名鼎鼎的 "匿名黑客組織攻破並爆庫,用戶數據庫中就有uglygorilla@163.com,且注冊該帳號的 IP 地址(58.246.255.28)來自上海浦東高橋。

3. www.pudn.com

國內開發人員網站,美國安全專家在該網站上查到了注冊用戶 UglyGorilla 的真名是 "汪東"

 

另外,他還喜歡處處留名——在自己開發的木馬工具中,寫了如下簽名:

“v1.0 No Doubt to Hack You, Writed by UglyGorilla, 06/29/2007”

 

細心的同學應該已經發現了,這句簽名存在英語的語法錯誤。美國專家顯然也發現這一點。他們還整理了一個清單,列出了入侵美國公司的木馬軟件中,存在的各種英語語法錯誤。截圖如下:

http://www.uploadfr.com/images/2014/05/21/fig691db4.png 

 

下麵兩張圖片,是 Mandiant 報告中關於 "汪東的部分。

http://www.uploadfr.com/images/2014/05/21/fig7b8618.png 

http://www.uploadfr.com/images/2014/05/21/fig8d9604.png 

 

關於 "汪東的案例,給大夥兒的教訓就是:

如果你要從事有危險的網絡活動,一定不要混用網絡帳號(包括:郵箱、IM、網站用戶名、等)。

比如俺這個 "編程隨想的身份,涉及到的所有網絡帳號(包括 G+Twitter、等)都是單獨的,跟俺日常使用的帳號完全隔離。

不光帳號隔離,連上網操作俺都是在不同的虛擬機中分別進行。

 

被人肉的駭客之二:DOTA

http://www.uploadfr.com/images/2014/05/21/fig9331cb.png 

此人注冊了很多郵箱(比如dota.d001@gmail.com - dota.d015@gmail.com),主要用來偽造不同身份,搞社會工程學的入侵。

 

Mandiant 的報告提到說,由於創建的帳號太多,所以口令管理是一件麻煩事。DOTA 經常使用基於鍵盤布局的口令(比如 1qaz@WSX#EDC)。這種口令表麵上複雜,其實強度不夠。

很可能是因為 DOTA 的口令不夠強,某些郵箱帳號被 Mandiant 的專家攻破了。下麵是 DOTA 的某個 Gmail郵箱的截圖。

拿到 DOTA  Gmail 郵箱之後,DOTA 的很多入侵行為就顯而易見了。

http://www.uploadfr.com/images/2014/05/21/fig10487a2.png 

 

Mandiant 的報告還提到說,DOTA 除了使用基於鍵盤布局的口令,還使用了這個口令(2j3c1k)。Mandiant的專家懷疑,2j3c1k 對應於中文 "231"61398部隊隸屬總參32局)。

另外,DOTA 注冊郵箱使用了手機接收驗證碼,所以他的手機也被曝光了,號碼是 159-2193-7229(中國移動上海號段)

 

關於 "DOTA" 的案例,給大夥兒的教訓就是:

網絡帳號的密碼一定要強。你在不同網站使用的密碼一定要不同,而且要讓人看不出規律。

 

其它圖片

 

下麵這張是:61398部隊的成員發表的信息安全相關論文

http://www.uploadfr.com/images/2014/05/21/fig1104273.png 

下麵這張是:61398部隊在浙江大學招收定向研究生

http://www.uploadfr.com/images/2014/05/21/fig120b77a.png

所有跟帖: 

請您先登陸,再發跟帖!