露马脚 中国网络间谍被美国专家彻底“人肉”(图)
戴尔一位恶意软件研究部门总监,近日揭密来自中国军方的一黑客身份。(彭博网截图)
《彭博商业周刊》(Bloomberg Businessweek)刊登文章讲述一名中国“网络间谍”如何在西方网络安全专家的“人肉”搜寻下被暴露真身。
《彭博商业周刊》报道说,戴尔公司负责网络安全工作的斯图尔特(Joe Stewart)在行业名声很响,他在2003年挫败了最早的一次僵尸网攻击,即黑客利用大量电脑同时发送大量电邮发动的攻击。他是年来一直致力于阻止网络罪犯攻入银行账号和其他电脑账号。
2011年斯图尔特开始关注中国,他开始捕捉来自中国的恶意软件,现在他的主要工作就是并且寻找针对中国的恶意软件的防范对策。来自中国的电脑攻击时而成为新闻关注的焦点,上月《纽约时报》受到攻击,2010年谷歌和英特尔受到黑客攻击,也使中国黑客再次受到关注。
来自中国的黑客攻击不仅仅是孤立事件,而是持续的入侵。财富500家公司、新技术公司、政府机构、新闻机构、大使馆、大学和律师事务所经常成为中国黑客攻击的目标,来自中国的恶意软件充斥互联网。最近《华盛顿邮报》报道中的一个秘密情报分析认为美国成为中国持续电脑情报搜集的目标,中国的网络攻击已经影响到了美国经济。
斯图尔特对《彭博商业周刊》记者说,在网络安全行业越来越多的人致力于对付中国的网络攻击。他追踪到24,000个互联网域名,他说中国的间谍租用或者攻击进入这些网站,利用它们从事网络间谍活动。他把来自中国的恶意软件分离,这些软件大多来自中国某些黑客团队。他说大约10个团队试验300组恶意软件,但是是个月来,这个数字又番了一番。他说在中国那边有巨大的人力资源作这种事。
数十家商业网络安全公司的调查人员怀疑,来自中国的黑客当中大部分来自军方,他们受到中国不同情报部门和监视部门的指挥。一般来说,中国的黑客过于有组织,而且活动范围极广,不像是独自活动的黑客。维基解密爆出的外交电文指上次黑客攻击谷歌同政治局官员有关。美国政府长时间以来一直掌握有关的秘密情报,证明许多黑客攻击同中国人民解放军有关。当然中国当局多年来一再对此加以否认。
像斯图尔特这样的网络安全专家努力确认黑客的真实身份,他们寻找各种线索,比如在域名注册的假名和代号、旧的网络身份、论坛中的发言……这些都能增加对黑客的了解,但很少能确认他们的真实身份。但偶尔会有黑客犯错误。最近一个黑客犯了错误,导致记者找上门来。
在2011年3月斯图尔特发现一个恶意软件同他平时接触到的来自已知的俄罗斯和东欧网络盗窃者的作品有所不同。因此他开始调查和这些可疑代码相关的指令,他注意到自从2004年以Tawnya Grilth 或Eric Charles名字这册的数十个指令都列出同样的Hotmail帐号,而且都列出加利福尼亚的同一个城市。好几个帐号海拔城市名字错误地拼写成Sin Digoo。
同样的一些地址也出现在其他调查者撰写的关于中国网络间谍的文件中。这些约2,000个地址属于中国最大的互联网服务公司——中国联通。在斯图尔特跟踪许多黑客攻击时,他反复接触到这群地址,因此他认为中国最顶级的两个数码间谍团队在利用这些地址。他将这个团队成为“北京团队”。一般像斯图尔特这样的调查人员通常也只能查到这个程度,即确认黑客攻击的来源地和一个可能的组织,但是他们很少能够确认具体的黑客本人。
不过在随后几个月的机缘巧合使斯图尔特时来运转。Tawnya Grilth这册的一个指令使用了dellpc.us.的域名。因为该网址同Stewart的雇主(Dell)过于接近,因此他查询了互联网名称与数字地址分配机构( ICANN )。他对他们说黑客使用Dell侵犯了他雇主公司的商标权。不过Grilth从未对此回应,但是互联网名称与数字地址分配机构同意斯图尔特的说法,将上述域名的控制权交给了斯图尔特。因此在2011年11月以前,斯图尔特能够看到被黑客控制的众多电脑同中国联系,这令他目睹了正在进行当中的一场间谍活动。
经过3个月的跟踪监视,斯图尔特逐渐找到了被黑客控制的电脑。到2012年1月,他找到了分布在世界各地的受黑客攻击的电脑,许多电脑属于越南、文莱和缅甸等国不同的政府部门,数家石油公司、一家报纸、一个核安全机构以及一个国家在中国的大使馆。斯图尔特说,他从来没有见过如此集中针对东南亚国家的黑客行动。
然后斯图尔特根据TawnyaGrilth及其注册的电邮jeno_1980@hotmail.com进行更广泛的搜索,他又获得了新发现。一个地址当中里列出xxgchappy的句柄,他按图索骥,从新的电邮又找到更多的联系,包括关于恶意软件网络讨论里面的帖子,以及域名为rootkit.com的网站,这是个恶意软件集散地,世界各地的研究者能够从哪里学习黑客技术。
接着斯图尔特发现了更非同寻常的线索:一个做实体商务活动的域名,该域名收费为客户在诸如推特和脸书之类的社交网站提供“like”(喜欢)之类的点击。他发现 登记为Tawnya的账号在黑客论坛 BlackHatWorld上面宣传一个网站以及一个支付帐户,该帐户收费并且把钱转到一个谷歌帐户,帐户的所有者姓“张”。黑客把自己真实生活暴露到如此程度令斯图尔特出乎意料。
2012年2月斯图尔特将其发现写成报告在旧金山年度网络安全界的会议上发表。他的发现引起了安全机构的兴趣,因为发现具体黑客的身份难度很大。他的报告立即引起另外一名调查者的兴趣,促使他努力发现Tawnya Grilth背后的真人。这位33岁的调查者以网名“虚拟侦探”(Cyb3rsleuth)发帖,他自称管理一家在印度的电脑情报公司。他要求《彭博商业周刊》记者不要使用他的真名,因为他不想吸引关注,特别是那些试图黑客攻击他公司的人的关注。
“虚拟侦探”说他已经得到关于东欧黑客真实身份的举报,并把有关信息交给政府部门。他希望揭发更多黑客的身份,以便让政府部门对他们采取行动 。他说黑客也是人,他们也犯错误,所以巧门就是要找到相关的联系,揭出他们的真身。
随着他调查深入,化名Tawnya Grilth的黑客更多的联系被发现。在汽车论坛、中国黑客网站,个人照片,包括一张显示一名男子和女子的合影被找到。照片背景是一个宝塔,两人似乎作为旅游者在旅游。“虚拟侦探”通过这名黑客兜售收费提供社交网站点击的服务以及同Hotmail帐户绑定的论坛找到了黑客的第二个业务活动,该活动还有具体的地址。这个公司就是“河南手机网”,根据商业指南,这是家手机批发商。该商店网址使用Jeno Hotmail帐户以Eric Charles的假名注册。
“虚拟侦探”察看了中国技术公司的网络目录,找到了公司的电话和联系人姓名,即在郑州的张先生。该目录还给出3个QQ帐号,其中一个帐号使用了带xxgchappy句柄的几个电邮,账号中把张先生的职业列为“教育”工作。
“虚拟侦探”再用中国搜索引擎搜索这些电邮地址,他发现该电邮还在”开心网”(Kaixin001.com)上注册,张号属于郑州的“张长河”。张的帐户头像使用了佛教的莲花形象。
“虚拟侦探”又发现相关的用Changhe发音,使用不同汉字,注册的QQ帐号。该帐号博客中包括一些表达佛教信仰的内容,包括一些佛家忏悔和不杀生的训诫,以及关于自己违规的悔过。作者说他继续无耻地偷窃,希望将来能够洗手不干。
同样的QQ号还起名xCar出现在一个汽车论坛上。该用户属于一个驾驶东风标致-307轿车的俱乐部,这是中国中产阶级驾驶的一张赛车款的4门轿车。这个用户还在论坛上发问说那里能够买到一种特别的车牌架。
在一张摄于2009年的照片中,张先生毡子海滩,面对太阳,背对大海,同一个女性挽手。图片说明中说该女子是他的妻子,她还出现在他们以宝塔作为背景的合影中。在这张照片中,张先生面相年青,留着浓密的短发。
“虚拟侦探”在3月在个人博客上公开了他的发现,他说他揭开了鬼影的真面目,并且希望有关政府、调查人员和黑客攻击的受害者能够采取行动。
郑州中心火车站南边500米的地方有一座7层楼,上面用红字写着“中原通讯数码城”。大楼里面都是出售电子产品的小店铺。张先生的手机生意公开的地址就在大楼4层的A402。《彭博商业周刊》的记者走进大楼4层那个荧光灯照亮的店铺,里面的两个年青的职员说他们不认识“张长河”,也不知道“河南手机网”。大楼的商业经理“王燕”说,A420以前的租户3年前就已经搬走,她说她不清楚他们做什么生意。她只知道店主很少来,他们的生意经营时间不长。
在中文谷歌搜索的结果显示,2005年以来张长河同别人一起写过几篇学术文章,文章都和电脑情报活动有关。在2007年张长河还参与过关于窗口系统恶意软件(Windows rootkit)的研究,这是一种高级的黑客技术。在2011年他还和其他人分析过某种电脑记忆存储的安全缺陷以及相关的攻击路径。文章署名表明张长河在解放军信息工程大学工作。该机构是中国主要的电子情报中心之一。华盛顿的智库“2049项目研究所”的Mark Stokes说,在解放军信息工程大学,教授为全国各地的网络情报活动培养年青军官,那就好比美国的国家安全署下面建立的一所大学(假设)。
解放军信息工程大学的大门不能随意进入,因此张长河电脑网络攻击的线索到此中断。去年一发现的一个恶意软件影响了一百多台电脑,这些电脑主要分布在台湾和菲律宾。一个攻击域名涉及了Tawnya Grilth这个名字。
斯图尔特去年在搜索攻击俄罗斯和乌克兰政府和国防机构的恶意软件的时候发现一个恶意软件反馈到一个在AlexaUp.info域名的指令。那里注册使用的付费姓名也是张长河。
斯图尔特说,张长河涉及“北京团队”,该团队可能有数十人,有编写程序的,还有管理指令中心基础设施的,还有翻译盗窃得到的文件和数据的翻译人员。
“人肉”出一个黑客的真身并不能阻止来自中国的黑客入侵。斯图尔特认为像张长河这样的黑客是中国更庞大组织的一部分,因此“人肉”出更多的类似张长河那样的人也更加容易。他说,只要出示足够的证据,中国政府最终就难以否认他们参与了这些活动。斯图尔特不能确定他们搜集证据能否最终阻止中国进行网络间谍活动,但是他认为他们的工作会让中国政府更难逃避指责。