最近2星期的熱點話題是:天朝61398部隊的禦用駭客。今天轉載一些網文和圖片,八卦一下禦用駭客被曝光的過程。
話說美國方麵這次掌握的材料已經很充分了(看完本文,你會意識到這點)。但是天朝外交部擺出一副"死豬不怕開水燙"的架勢,打死不承認。
★圖片若幹
在此次事件中,最有價值的信息,就是美國計算機安全公司 Mandiant 發布的報告。這份報告算是比較詳細的,介紹了禦用駭客的種種事跡和入侵手法。對網絡安全有興趣的同學,這份報告值得一讀。
考慮到很多讀者比較懶,俺貼出該報告的其中幾張截圖,再配上俺的簡要解說。
◇中國電信授權61398部隊接入上海005中心
這是中國電信的一個內部文件(截圖下方是發現該文件的網址)。
裏麵明確提到了:61398部隊隸屬總參三部二局,位於高橋(上海浦東)。
◇禦用駭客常用的工具
這是禦用駭客收集用戶口令的工具。
◇禦用駭客使用的 IP 地址
下麵幾張是美國方麵監控到的,入侵美國公司所用的 IP 地址,有相當多的攻擊來源,是來自於上海市浦東區高橋鎮。
可能會覺得奇怪:這幫禦用駭客難道不用代理嗎?
俺來解釋一下:
1.
禦用駭客的人數很多,素質也是參差不齊。
人多了之後,難免會有人不遵守紀律。有些人估計是嫌麻煩,沒做到 "入侵的全過程都通過代理"。
隻要有 1% 的人出現疏忽,那麽整個團隊所在的位置就會被曝光。
2.
禦用駭客跟民間駭客不同。民間駭客搞入侵,一旦暴露有可能會被抓。所以,有經驗的民間駭客會更小心謹慎。而禦用駭客是朝廷的人,不用擔心被抓。因為缺乏心理上的顧慮,也就沒有那麽小心謹慎。
某些替朝廷辯護的五毛會說,這是別國的黑客利用中國的肉雞做跳板。
如果真的是這樣,那就非常奇怪了:為啥別國的黑客碰巧都用了上海浦東區高橋鎮的網段當肉雞?而且碰巧高橋鎮還駐紮著一個解放軍的網絡戰部隊?
◇被人肉的駭客之一:汪東(網名 Ugly Gorilla)
他暴露的主要問題在於,他使用了相同的郵箱(uglygorilla@163.com),相同的網名(UglyGorilla)注冊了如下網站:
1. 中國軍網
該網站隸屬《解放軍報》旗下。2004年,張召忠(赫赫有名的天朝戰略忽悠局局長)做客該網站,接受網友的在線提問。當時汪東曾向張召忠在線提問,問題內容是關於"中國網絡戰"。
看來張召忠的忽悠能力很強啊。連禦用駭客都成為他的粉絲了。
2. rootkit.com
這是國外知名的黑客網站,專門提供 "木馬/後門" 等方麵的資料。
該網站後來被大名鼎鼎的 "匿名黑客組織" 攻破並爆庫,用戶數據庫中就有uglygorilla@163.com,且注冊該帳號的 IP 地址(58.246.255.28)來自上海浦東高橋。
3. www.pudn.com
國內開發人員網站,美國安全專家在該網站上查到了注冊用戶 UglyGorilla 的真名是 "汪東"。
另外,他還喜歡處處留名——在自己開發的木馬工具中,寫了如下簽名:
“v1.0 No Doubt to Hack You, Writed by UglyGorilla, 06/29/2007”
細心的同學應該已經發現了,這句簽名存在英語的語法錯誤。美國專家顯然也發現這一點。他們還整理了一個清單,列出了入侵美國公司的木馬軟件中,存在的各種英語語法錯誤。截圖如下:
下麵兩張圖片,是 Mandiant 報告中關於 "汪東" 的部分。
關於 "汪東" 的案例,給大夥兒的教訓就是:
如果你要從事有危險的網絡活動,一定不要混用網絡帳號(包括:郵箱、IM、網站用戶名、等)。
比如俺這個 "編程隨想" 的身份,涉及到的所有網絡帳號(包括 G+、Twitter、等)都是單獨的,跟俺日常使用的帳號完全隔離。
不光帳號隔離,連上網操作俺都是在不同的虛擬機中分別進行。
◇被人肉的駭客之二:DOTA
此人注冊了很多郵箱(比如dota.d001@gmail.com - dota.d015@gmail.com),主要用來偽造不同身份,搞社會工程學的入侵。
Mandiant 的報告提到說,由於創建的帳號太多,所以口令管理是一件麻煩事。DOTA 經常使用基於鍵盤布局的口令(比如 1qaz@WSX#EDC)。這種口令表麵上複雜,其實強度不夠。
很可能是因為 DOTA 的口令不夠強,某些郵箱帳號被 Mandiant 的專家攻破了。下麵是 DOTA 的某個 Gmail 郵箱的截圖。
拿到 DOTA 的 Gmail 郵箱之後,DOTA 的很多入侵行為就顯而易見了。
Mandiant 的報告還提到說,DOTA 除了使用基於鍵盤布局的口令,還使用了這個口令(2j3c1k)。Mandiant 的專家懷疑,2j3c1k 對應於中文 "2局3處1科"(61398部隊隸屬總參3部2局)。
另外,DOTA 注冊郵箱使用了手機接收驗證碼,所以他的手機也被曝光了,號碼是 159-2193-7229(中國移動上海號段)
關於 "DOTA" 的案例,給大夥兒的教訓就是:
網絡帳號的密碼一定要強。你在不同網站使用的密碼一定要不同,而且要讓人看不出規律。
◇其它圖片
下麵這張是:61398部隊的成員發表的信息安全相關論文
下麵這張是:61398部隊在浙江大學招收定向研究生
話說美國方麵這次掌握的材料已經很充分了(看完本文,你會意識到這點)。但是天朝外交部擺出一副"死豬不怕開水燙"的架勢,打死不承認。
★圖片若幹
在此次事件中,最有價值的信息,就是美國計算機安全公司 Mandiant 發布的報告。這份報告算是比較詳細的,介紹了禦用駭客的種種事跡和入侵手法。對網絡安全有興趣的同學,這份報告值得一讀。
考慮到很多讀者比較懶,俺貼出該報告的其中幾張截圖,再配上俺的簡要解說。
◇中國電信授權61398部隊接入上海005中心
這是中國電信的一個內部文件(截圖下方是發現該文件的網址)。
裏麵明確提到了:61398部隊隸屬總參三部二局,位於高橋(上海浦東)。
◇禦用駭客常用的工具
這是禦用駭客收集用戶口令的工具。
◇禦用駭客使用的 IP 地址
下麵幾張是美國方麵監控到的,入侵美國公司所用的 IP 地址,有相當多的攻擊來源,是來自於上海市浦東區高橋鎮。
可能會覺得奇怪:這幫禦用駭客難道不用代理嗎?
俺來解釋一下:
1.
禦用駭客的人數很多,素質也是參差不齊。
人多了之後,難免會有人不遵守紀律。有些人估計是嫌麻煩,沒做到 "入侵的全過程都通過代理"。
隻要有 1% 的人出現疏忽,那麽整個團隊所在的位置就會被曝光。
2.
禦用駭客跟民間駭客不同。民間駭客搞入侵,一旦暴露有可能會被抓。所以,有經驗的民間駭客會更小心謹慎。而禦用駭客是朝廷的人,不用擔心被抓。因為缺乏心理上的顧慮,也就沒有那麽小心謹慎。
某些替朝廷辯護的五毛會說,這是別國的黑客利用中國的肉雞做跳板。
如果真的是這樣,那就非常奇怪了:為啥別國的黑客碰巧都用了上海浦東區高橋鎮的網段當肉雞?而且碰巧高橋鎮還駐紮著一個解放軍的網絡戰部隊?
◇被人肉的駭客之一:汪東(網名 Ugly Gorilla)
他暴露的主要問題在於,他使用了相同的郵箱(uglygorilla@163.com),相同的網名(UglyGorilla)注冊了如下網站:
1. 中國軍網
該網站隸屬《解放軍報》旗下。2004年,張召忠(赫赫有名的天朝戰略忽悠局局長)做客該網站,接受網友的在線提問。當時汪東曾向張召忠在線提問,問題內容是關於"中國網絡戰"。
看來張召忠的忽悠能力很強啊。連禦用駭客都成為他的粉絲了。
2. rootkit.com
這是國外知名的黑客網站,專門提供 "木馬/後門" 等方麵的資料。
該網站後來被大名鼎鼎的 "匿名黑客組織" 攻破並爆庫,用戶數據庫中就有uglygorilla@163.com,且注冊該帳號的 IP 地址(58.246.255.28)來自上海浦東高橋。
3. www.pudn.com
國內開發人員網站,美國安全專家在該網站上查到了注冊用戶 UglyGorilla 的真名是 "汪東"。
另外,他還喜歡處處留名——在自己開發的木馬工具中,寫了如下簽名:
“v1.0 No Doubt to Hack You, Writed by UglyGorilla, 06/29/2007”
細心的同學應該已經發現了,這句簽名存在英語的語法錯誤。美國專家顯然也發現這一點。他們還整理了一個清單,列出了入侵美國公司的木馬軟件中,存在的各種英語語法錯誤。截圖如下:
下麵兩張圖片,是 Mandiant 報告中關於 "汪東" 的部分。
關於 "汪東" 的案例,給大夥兒的教訓就是:
如果你要從事有危險的網絡活動,一定不要混用網絡帳號(包括:郵箱、IM、網站用戶名、等)。
比如俺這個 "編程隨想" 的身份,涉及到的所有網絡帳號(包括 G+、Twitter、等)都是單獨的,跟俺日常使用的帳號完全隔離。
不光帳號隔離,連上網操作俺都是在不同的虛擬機中分別進行。
◇被人肉的駭客之二:DOTA
此人注冊了很多郵箱(比如dota.d001@gmail.com - dota.d015@gmail.com),主要用來偽造不同身份,搞社會工程學的入侵。
Mandiant 的報告提到說,由於創建的帳號太多,所以口令管理是一件麻煩事。DOTA 經常使用基於鍵盤布局的口令(比如 1qaz@WSX#EDC)。這種口令表麵上複雜,其實強度不夠。
很可能是因為 DOTA 的口令不夠強,某些郵箱帳號被 Mandiant 的專家攻破了。下麵是 DOTA 的某個 Gmail 郵箱的截圖。
拿到 DOTA 的 Gmail 郵箱之後,DOTA 的很多入侵行為就顯而易見了。
Mandiant 的報告還提到說,DOTA 除了使用基於鍵盤布局的口令,還使用了這個口令(2j3c1k)。Mandiant 的專家懷疑,2j3c1k 對應於中文 "2局3處1科"(61398部隊隸屬總參3部2局)。
另外,DOTA 注冊郵箱使用了手機接收驗證碼,所以他的手機也被曝光了,號碼是 159-2193-7229(中國移動上海號段)
關於 "DOTA" 的案例,給大夥兒的教訓就是:
網絡帳號的密碼一定要強。你在不同網站使用的密碼一定要不同,而且要讓人看不出規律。
◇其它圖片
下麵這張是:61398部隊的成員發表的信息安全相關論文
下麵這張是:61398部隊在浙江大學招收定向研究生
選擇“Disable on www.wenxuecity.com”
選擇“don't run on pages on this domain”
