個人資料
AKB48 (熱門博主)
  • 博客訪問:
正文

揭開中國黑客群體的麵紗

(2014-05-25 06:30:43) 下一個

揭開中國黑客群體的麵紗



霍爾德周一舉行新聞發布會前展示的媒體資料。
美國司法部的海報



    被控為中國軍隊充當黑客的汪東在一個社交媒體的頁麵上寫道,他“胸無點誌”,隻希望“仗劍走天涯,癡漢”。他的綽號比他的名字更出名,叫做UglyGorilla(“醜猩猩”)。

    另一名被告名為孫開亮,又稱傑克·孫(Jack Sun)。他成長於中國東部富裕的沛縣,出生於這裏的一個農民(劉邦)建立了漢朝,還被毛澤東視為偶像。

    本周,前述兩人與其他三人一同受到了美國司法部的指控。司法部指控他們是中國某軍事單位的成員,該單位曾借助黑客手段進入一些知名美國公司的電腦係統,竊取商業機密,估計是出於為中國公司謀利的目的。

    關於他們的許多情況仍舊不得而知。但是,中國網站的資料,以及對中國國內外網絡安全專家及前黑客的采訪,都表明這些人與其他黑客有一些共同特點,還表明中國的黑客文化是一個複雜的混合體,其動機、雇主和效忠對象都在不斷發生變化。

    許多直接為中國政府工作的黑客都是二三十歲的年輕男性,他們在從屬於中國軍隊的大學裏接受了訓練,後來又通過多種多樣的方式受到國家的雇傭。專家和前黑客說,直接為軍方工作的人通常都遵循朝九晚五的作息時間,工資也不高。部分軍方和政府雇員會兼職掙錢,利用業餘時間執行額外的黑客任務,向國有或私營企業售賣自己的技能。部分雇員屬於同一些網絡社交小組。

    “他們的工作關係多種多樣,”紐約外交關係委員會研究中國及網絡戰的學者亞當·謝加爾說。“有些中國軍隊黑客會與國企簽約,為他們提供服務。涉及一些關鍵技術的時候,中國軍隊黑客可能會奉命對特定的外國企業發動攻擊。”

    奧巴馬政府認為,以保護國家安全為目的的黑客行動與旨在獲取有助於企業競爭的商業機密的黑客行動不同,前者屬於正當行為,後者則是非法行為。中國和其他一些國家則指責稱,美國在這兩個方麵都做得最為過分。

    或許是為了報複美國的指控,中國的一個國家機構5月22日宣布,將對在中國經營業務的互聯網公司進行更嚴格的審查。據通訊社新華社報道,中國的國家互聯網信息辦公室稱,政府將設立新程序來評估潛在的安全問題,評估對象是網絡技術,以及“與國家安全及公眾利益有關”的部門所使用的服務。

    在5月19日公布的起訴書中,美國指控王東、孫開亮和其他三人為中國人民解放軍61398部隊工作。根據弗吉尼亞州亞曆山大市的網絡安全公司Mandiant去年發布的報告,61398部隊在上海郊區一棟12層的白色大樓裏辦公。該部隊目前是中國最著名的涉嫌從事黑客活動的組織,西方的網絡安全圈子稱之為“注釋組”(Comment Crew)、“上海組”(Shanghai Group)或APT1。

    其中一些成員活躍在中國的社交媒體中。網絡搜索顯示,汪東、孫開亮和另一名被告溫昕宇(音譯)是QQ群“吃著公家飯的窮人”的成員,QQ是一種網絡社交及通訊工具。

    該群有24個成員,包括Mandiant報告提及的嫌疑黑客梅強,此人的別名是SuperHard(“超難”)。群裏的另一個成員徐耀令與南京軍校中國人民解放軍理工大學的某人同名,後者曾寫過有關黑客及網絡安全的論文。

    2004年,汪東化名“綠野”在中國一個官方軍事論壇發布了一些帖子。他稱自己是一個“軍事愛好者”,並且發帖詢問,“我軍現在有沒有和美軍交手的能力?”論壇資料顯示他的英文名字為傑克·王(Jack Wang),還列出了一個郵箱地址。記者本周給該郵箱發了郵件,但沒有收到回複。眾所周知,汪東會在自己開發的惡意軟件上留下“ug”的記號。

    一名前黑客表示,“我覺得他們是受過電腦技術培訓的士兵,並不是應召入伍的技術人員。”這名黑客稱自己曾為中國軍隊和安全機構做過防禦性工作。

    “注釋組”並不是中國唯一的大型黑客組織,在中國,公司及罪犯的黑客行動與政府的黑客行動一樣普遍。甚至有人在貿易展覽、課堂及網絡論壇上宣傳黑客行動。

    西方網絡安全專家通常會著重關注與政府有關聯的黑客。網絡安全公司火眼(FireEye)的威脅情報組負責人達裏恩·欣德隆德表示,該公司正在追蹤至少25個“位於中國的活躍威脅組織”,其中22個都在以某種方式支持政府。火眼公司位於加利福尼亞州的米爾皮塔斯,於1月份收購了Mandiant。欣德隆德表示,至少有五個組織似乎與一個或多個軍事組織有直接關聯。他還表示,這隻是一個保守的估計。

    戴爾公司旗下的SecureWorks公司的研究人員喬·斯圖爾特表示,截至去年,在他追蹤的2.5萬個可疑網絡域中,“注釋組”(Comment Crew)和被他稱為“北京組”(Beijing Group)的一個團隊占據了“很大一部分”。他說“北京組”使用了一個專用的IP地址段,可以追溯到中國聯通在北京的網絡。中國聯通是該國提供互聯網服務的三大國有電信企業之一。

    “有諜報活動是從那裏發出的,”斯圖爾特說。不過他補充說,他沒有見到“北京組”與中國聯通或其他國有實體合作的證據。

    一名男子在接聽中國聯通一位發言人的手機後,表示拒絕發表評論。

    “注釋組”和“北京組”針對的目標有重疊,例如,二者都關注外國公司和政府機關。不過,斯圖爾特說,“北京組”也會關注“某些類型的活動人士”,包括藏人和維吾爾人流亡團體。他還說,世界上已知的300個惡意軟件家族中,多數都歸咎於他們。

    從2006年末開始,西方網絡安全專家發現,企業受到的在線諜報攻擊激增。在那以前,攻擊的目標主要是政府部門或政府承包商。專家表示,企業受到的第一波情報攻擊中,很大部分可以追溯到中國,具體可以追溯到“注釋組”。大約一年之後,“北京組”出現了。

    斯圖爾特表示,一個較小的團隊發起的攻擊似乎關注於越南的目標。該團隊的攻擊被追溯到了位於雲南省會昆明的IP地址,因而被稱為“昆明組”(Kunming Group)。“昆明組”利用惡意軟件和所謂的“魚叉式釣魚攻擊”(spear-phishing attack),試圖引誘受害者點擊越南語的消息和鏈接。

    目前還不清楚“昆明組”到底想要得到什麽。不過最近幾年,由於南海上的領土爭端,中國與越南之間的緊張關係不斷升級。本月,中國把一個石油鑽井平台移到了越南附近,越南爆發了抗議。越南也在與國外的石油公司合作,從而對那片海域進行勘探和開采。

    網絡安全專家說,奧巴馬政府一直專注於揭露企業間諜活動,但是涉嫌為中國政府服務的黑客們,卻攻破了大批外國政府機構的網絡。

    例如,火眼公司表示,該機構觀察到了針對台灣政府機構,以及一名印度教授的間諜攻擊活動,該名教授持親西藏立場。火眼公司將攻擊者稱作“十強幫”(Shiqiang Gang)。去年9月,中國大陸的一個組織還對日本的政府機構和企業實施了攻擊,方法是向日本的媒體網站植入指令,從而感染用戶。

    火眼公司的首席執行官欣德隆德說,在判斷黑客是國家雇員還是私人承包商時,他的同行們會關注多種因素。一個因素是黑客使用的安全手法:軍方的黑客不會那麽馬虎大意。另一個是攻擊目標:如果黑客的各個攻擊目標大相徑庭,那可能是一個承包商。最近幾個月,火眼發現一名黑客攻擊了外國的國防和航空企業,然後又攻擊了一家在線娛樂公司。欣德隆德說,這名黑客似乎就來自一家私人承包商。

    目前還沒有一種行之有效的方法,能夠讓中國的黑客部隊懸崖勒馬。2013年初,美國的官員們希望,Mandiant發布的報告以及奧巴馬政府對中國網絡間諜活動的強烈譴責,可以讓“注釋組”停止活動。但欣德隆德說,他們沉寂了一段時間,在五個月後就再次浮出水麵。現在,其攻擊活動已經回到了2013年以前的水平。

    “他們正在使用相似的戰術,但實施攻擊的網絡設施已經改變,”欣德隆德說,“他們的工具隻是略作修改。總體上來說,大多數改動都很小。”黃安偉 2014年05月23日 《紐約時報》
 
 

網絡間諜戰,中美各執一詞


 

61398部隊位於上海的總部(中)。據信,這支中國人民解放軍的部隊已經重啟對美國公司和政府機構的攻擊。

61398部隊位於上海的總部(中)
 
 

    美國政府對中國人民解放軍最有名的網絡戰機構——名為61398部隊,黑客圈子則稱其為“注釋組”(Comment Crew)——的一些成員提出了指控,由此轉用刑事司法體係來加強自己的論點,即美國雖然每天都在從事以國家安全為目的的間諜活動,但這種活動與中國軍方以盈利為目的的商業間諜活動有很大的不同。

    中方稱這種不同是美國人的編造,目的是謀取商業優勢。他們認為,尋找商業秘密是構建國家安全的一部分,對一個正在崛起的經濟大國來說尤其如此。與此同時,盡管美國官員不願承認,但華盛頓的觀點在全世界的支持者確實比較少。比如,法國曾因從事國家支持的商業間諜活動而臭名昭著,此事發生在中國掌握這種形式的間諜活動之前很久。此外,如果願意的話,中國領導人有充足的機會進行報複,讓美國公司的日子更加難熬。

    美國司法部長小埃裏克·H·霍爾德重申了“我們的間諜活動不是為了美國企業”這一觀點。這項指控的內容包括61398部隊涉嫌竊取了有關核電站的商業秘密,以及美國一家太陽能公司的內部信息。有關核電站的秘密能讓中國公司省去數年的設計工作,美國的那家太陽能公司則正在對中國的競爭對手進行商業投訴。

    “受到指控的這些黑客行為似乎別無目的,隻是為了讓中國的國有企業和其他利益集團獲利,代價則是美國企業遭受損害,”霍爾德說,“這是美國政府明確譴責的一項策略。正如奧巴馬總統在許多場合說過的那樣,我們收集情報不是為了讓美國公司或美國商界獲得競爭優勢。”

    根據去年公布的證據,幾乎可以肯定的是,注釋組的目標包括一些與中國國有企業直接競爭的公司,而這些中國國有企業不光為中國人民解放軍提供了資助,經常還會讓中國軍方領導人獲利。不過,這些公司絕不是中國間諜活動的唯一目標:出於不同理由,國防部長辦公室、製造新型聯合攻擊戰鬥機的公司、對外關係委員會、阿斯彭研究所和《紐約時報》都被中國黑客組織列為了目標。

    然而,美國能抱怨的範圍很有限,因為美國自身也把中國的一些類似機構列為了目標——理由同樣曖昧不明。因此,向中國國家主席習近平提起這個問題時,奧巴馬隻是強調了商業間諜活動,稱使用國家情報工具獲取商業優勢的舉動會造成大得多的危害。他說,美國可能會竭力了解中國的核武庫,或是北京方麵在中日領土爭端當中的意圖,但卻不會從中國電信竊取信息來幫助AT&T。

    檢方的重點是最明顯的商業案件,或許是因為美國認為,這種案件可以支持奧巴馬總統的中心論點,即知識產權具有神聖的特性。

    “這不是他們隨便從後兜裏掏出來的東西,”凱文·曼迪亞說,“這是壓力合乎邏輯的升級。”去年,他所在的機構、火眼(FireEye)旗下的Mandiant公司編製了首份有關61398部隊的公開報告。

    但是,美國此舉還有一個目的,那就是奪回美國去年因前國家安全局(NSA)承包商雇員愛德華·J·斯諾登泄密事件而失去的優勢。斯諾登泄露的文件表明,奧巴馬在談論中方網絡行為時所說的清晰界限其實往往比較模糊。

    早在斯諾登帶著大批文件走出NSA駐夏威夷辦事處之前,事實就已經十分明顯,那就是美國也免不了要從事商業間諜活動,前提是這些活動並不服務於特定公司的直接利益。

    例如,需要支持貿易談判的時候,美國經常從事以商業優勢為目的間諜活動;20世紀90年代,克林頓政府為與日本達成協議而在一次重大談判當中陷入僵局,美國便對日本談判代表的豪華轎車進行了竊聽。當時,最大的受益者將是美國汽車行業的三巨頭和少數零部件供應商。人們普遍相信,美國還在以情報工作支持與歐洲和亞洲貿易夥伴的現行貿易談判。但是,按照幾屆民主黨和共和黨政府的觀點來看,這種做法理應受到抨擊。

    公司也可能成為目標。斯諾登泄露的文件表明,美國政府對華為的服務器進行了深度窺探,後者是中國最成功的互聯網和通訊公司之一。文件清楚地表明,NSA想知道華為究竟是不是人民解放軍的一個前線陣地,它是否對監控美國公司感興趣。但是,此舉還有一個目的,那就是進入華為的係統,並利用這些係統來監視購買華為設備的國家。

    華為官員稱,他們不明白這與美國對中國的指責有何重大不同。

    但是,情報圈內人士並不認同這種邏輯。“我對此次控告表示歡迎,因為我國政府借此駁斥了我們與中國一樣的錯誤觀點,”曾擔任NSA和中央情報局負責人的麥克爾·V·海登說。他還說,“這樣做很冒險,但我們此前毫無進展。”

    這樣做確有風險,因為中國已宣布將停止中美兩國就互聯網行為準則舉行的小型對話,至少是暫時停止。

    這些對話本已困難重重。4月,美國國防部長查克·哈格爾前往北京,強烈呼籲在中美兩國之間建立一個關於網絡策略的新溝通渠道。美國官員已經向中國介紹了美國的網絡安全概況,並且強調,NSA並沒有把它搜集到的信息交給蘋果、微軟或穀歌。

    美國之所以這樣做,是希望促使中方向華盛頓提交一份關於中國人民解放軍某些部隊的類似報告,這些部隊據信是美國企業和政府網絡所受攻擊的主謀。截至目前,中方還沒有作出禮尚往來的回應。

    相反,中方否認解放軍實施了網絡行動。去年年初,《紐約時報》發表了一篇關於61398部隊的文章,文章詳細講述了該部隊的一些行動,北京方麵的回應是憤怒的否認。之後數周,該部隊按兵不動。

    接著,該部隊卷土重來——它通過不同的服務器進行活動,針對的則往往是同一些美國公司

2014年05月20日  《紐約時報》




 

[ 打印 ]
閱讀 ()評論 (1)
評論
DD1122 回複 悄悄話 要不說白人智商高呢;隻能允許NSA刺探中國;中國人hack他們就急著罵街;真是偉大啊 韋大人
登錄後才可評論.