《彭博商业周刊》报道,戴尔一位恶意软件研究部门总监,揭密来自中国军方的黑客身份,这名被称为“张长河”的黑客,能 “自由入侵”驻华使馆、一些外国政府、驻华大型公司和媒体的网站。
2月14日,《彭博商业周刊》发出一篇深度报道,该报道援引在业内知名的网络安全专家、戴尔(Dell)恶意软件研究部门总监乔·斯图尔特(Joe Stewart)长期追踪调查结果,揭密一位来自中国军方的黑客身份。斯图尔特在2010年谷歌和英特尔(INTC)宣布遭黑客攻击后的2011年,把目 光投向中国,至2013年的两年间,寻找来自中国的恶意软件并应对成为他主要的工作内容。
近期连续有《纽约时报》、《华尔街日报》 《华盛顿邮报》等先后宣称受到中国黑客攻击。早在2011年美国曾表示5家在华跨国油企和能源企业遭中国黑客攻击。斯图尔特指来自中国的恶意软件已经淹没 了互联网,并瞄准世界500强企业、高科技创业公司、政府机构、新闻机构、大使馆、大学、律师事务所等。而斯图尔特也越来越多的遇到中国黑客窃取在华企业 信息的案例。早前维基解密披露的文件显示,中国前政治局常委周永康和李长春曾下令黑客入侵谷歌。
中国军方黑客可以看全世界的邮件?
2011年3月开始,斯图尔特追查到使用同一套恶意软件的多个黑客,通过技术手段,他发现这些黑客的注册地址均由中国最大的网络营运商之一--中国联通所有,再通过半年之久的技术侦查,他终得以一窥这个中国黑客世界的内部运作。而他锁定的这名黑客来自中国河南郑州。
斯图尔特表示,黑客目标广泛,入侵对象包括东南亚的越南、汶莱、缅甸等国家政府,也有外国驻华使馆、跨国的驻华能源企业、传媒机构等。最后他找到了这位 黑客的真实E-mail地址,随后他完成一份长达19页的报告;而另一名网络侦查者认为公开黑客身份有助于政府采取对网络间谍的行动,于是起底这名叫“张 长河”的黑客身份。
在《彭博商业周刊》的报道中,公开了张长河的详细资料,包括登载了其个人照片(照片中有他的妻子与孩子);张长河 现为郑州解放军信息工程大学助教,该大学是隶属解放军总参谋部的军方研究机构,以信息学科类为主体,包括军事信息系统等领域的项目。彭博社记者曾根据张长 河QQ账户上的手机联系到张长河本人,他承认为该大学的教师;对于另一身份“河南大成科技有限公司负责人”,则表示已经不再从事商业工作;其后拒绝回答其 它问题。德国之声在网络上查阅,依然可以搜索到张长河,主要研究方向为网络安全,他的论文“交换式局域网监听技术研究与实现”刊载在中国科学院科技期刊网 站上,论文发表时间为2004年。
推特网友“蓝色风”表示:“透过商业周刊报道,发现中共军队在读全世界的伊妹儿,可能也包括你的,读你伊妹儿的人有名有姓,姓张,在河南郑州。”
“各国对中国的网络黑客行动还能容忍多久?”
中国新媒体人北风在接受德国之声采访时表示,从谷歌被黑事件到谷歌出走中国、到美国国家安全部门确认中国专业力量对网络的攻击,及近期中国黑客攻击外媒 网站事件,世界各国在技术层面认定的事实,在当前的政治角力中似被淡化,因此各国从未明确向中国危害网络安全的行为提出挑战和有效的应对策略:“确认来自 中国和有来自中国军方的攻击已经有多起了,但是我们可以看到国际社会对这个问题采取了一个比较绥靖的态度,很多时候并不是需要更多证据的问题,而是能不能 做出更多决定的问题。如果能够确认更多的攻击来自中国,那有利于国际社会做出态度明确的决定,但是这个度需要在什么程度?”
据美联社 上月底报道,奥巴马政府已计划就黑客问题对中国展开更坚决的行动,报道还援引两位美国前政府官员表述,指美国国家情报委员会正在准备新的《国家情报评 估》,将“指出中国政府在网络间谍活动中扮演了更为直接的角色”;美国《华盛顿邮报》援引美国白宫发言人凯特琳.海登发言:“美国非常并且越来越关注网络 入侵对美国经济和国家安全的威胁,包括盗窍商业信息行为。我们已经反复将我们的关切告知中国高级官员,包括军方,我们将继续这么做。”
------------------------------
2月14日,《彭博商业周刊》发出一篇深度报道,该报道援引在业内知名的网络安全专家、戴尔(Dell)恶意软件研究部门总监乔·斯图尔特(Joe Stewart)长期追踪调查结果,揭密一位来自中国军方的黑客身份。斯图尔特在2010年谷歌和英特尔(INTC)宣布遭黑客攻击后的2011年,把目 光投向中国,至2013年的两年间,寻找来自中国的恶意软件并应对成为他主要的工作内容。
近期连续有《纽约时报》、《华尔街日报》 《华盛顿邮报》等先后宣称受到中国黑客攻击。早在2011年美国曾表示5家在华跨国油企和能源企业遭中国黑客攻击。斯图尔特指来自中国的恶意软件已经淹没 了互联网,并瞄准世界500强企业、高科技创业公司、政府机构、新闻机构、大使馆、大学、律师事务所等。而斯图尔特也越来越多的遇到中国黑客窃取在华企业 信息的案例。早前维基解密披露的文件显示,中国前政治局常委周永康和李长春曾下令黑客入侵谷歌。
中国军方黑客可以看全世界的邮件?
2011年3月开始,斯图尔特追查到使用同一套恶意软件的多个黑客,通过技术手段,他发现这些黑客的注册地址均由中国最大的网络营运商之一--中国联通所有,再通过半年之久的技术侦查,他终得以一窥这个中国黑客世界的内部运作。而他锁定的这名黑客来自中国河南郑州。
斯图尔特表示,黑客目标广泛,入侵对象包括东南亚的越南、汶莱、缅甸等国家政府,也有外国驻华使馆、跨国的驻华能源企业、传媒机构等。最后他找到了这位 黑客的真实E-mail地址,随后他完成一份长达19页的报告;而另一名网络侦查者认为公开黑客身份有助于政府采取对网络间谍的行动,于是起底这名叫“张 长河”的黑客身份。
在《彭博商业周刊》的报道中,公开了张长河的详细资料,包括登载了其个人照片(照片中有他的妻子与孩子);张长河 现为郑州解放军信息工程大学助教,该大学是隶属解放军总参谋部的军方研究机构,以信息学科类为主体,包括军事信息系统等领域的项目。彭博社记者曾根据张长 河QQ账户上的手机联系到张长河本人,他承认为该大学的教师;对于另一身份“河南大成科技有限公司负责人”,则表示已经不再从事商业工作;其后拒绝回答其 它问题。德国之声在网络上查阅,依然可以搜索到张长河,主要研究方向为网络安全,他的论文“交换式局域网监听技术研究与实现”刊载在中国科学院科技期刊网 站上,论文发表时间为2004年。
推特网友“蓝色风”表示:“透过商业周刊报道,发现中共军队在读全世界的伊妹儿,可能也包括你的,读你伊妹儿的人有名有姓,姓张,在河南郑州。”
“各国对中国的网络黑客行动还能容忍多久?”
中国新媒体人北风在接受德国之声采访时表示,从谷歌被黑事件到谷歌出走中国、到美国国家安全部门确认中国专业力量对网络的攻击,及近期中国黑客攻击外媒 网站事件,世界各国在技术层面认定的事实,在当前的政治角力中似被淡化,因此各国从未明确向中国危害网络安全的行为提出挑战和有效的应对策略:“确认来自 中国和有来自中国军方的攻击已经有多起了,但是我们可以看到国际社会对这个问题采取了一个比较绥靖的态度,很多时候并不是需要更多证据的问题,而是能不能 做出更多决定的问题。如果能够确认更多的攻击来自中国,那有利于国际社会做出态度明确的决定,但是这个度需要在什么程度?”
据美联社 上月底报道,奥巴马政府已计划就黑客问题对中国展开更坚决的行动,报道还援引两位美国前政府官员表述,指美国国家情报委员会正在准备新的《国家情报评 估》,将“指出中国政府在网络间谍活动中扮演了更为直接的角色”;美国《华盛顿邮报》援引美国白宫发言人凯特琳.海登发言:“美国非常并且越来越关注网络 入侵对美国经济和国家安全的威胁,包括盗窍商业信息行为。我们已经反复将我们的关切告知中国高级官员,包括军方,我们将继续这么做。”
------------------------------
美媒:中国网络间谍被西方专家搜索曝光
《彭博商业周刊》(Bloomberg Businessweek)刊登文章讲述一名中国“网络间谍”如何在西方网络安全专家的“人肉”搜寻下被暴露真身。
《彭博商业周刊》报道说,戴尔公司负责网络安全工作的斯图尔特(Joe Stewart)在行业名声很响,他在2003年挫败了最早的一次僵尸网攻击,即黑客利用大量电脑同时发送大量电邮发动的攻击。他是年来一直致力于阻止网络罪犯攻入银行账号和其他电脑账号。
2011年斯图尔特开始关注中国,他开始捕捉来自中国的恶意软件,现在他的主要工作就是并且寻找针对中国的恶意软件的防范对策。来自中国的电脑攻击时而成为新闻关注的焦点,上月《纽约时报》受到攻击,2010年谷歌和英特尔受到黑客攻击,也使中国黑客再次受到关注。
网络黑客四面出击
来自中国的黑客攻击不仅仅是孤立事件,而是持续的入侵。财富500家公司、新技术公司、政府机构、新闻机构、大使馆、大学和律师事务所经常成为中国 黑客攻击的目标,来自中国的恶意软件充斥互联网。最近《华盛顿邮报》报道中的一个秘密情报分析认为美国成为中国持续电脑情报搜集的目标,中国的网络攻击已 经影响到了美国经济。
斯图尔特对《彭博商业周刊》记者说,在网络安全行业越来越多的人致力于对付中国的网络攻击。他追踪到24,000个互联网域名,他说中国的间谍租用 或者攻击进入这些网站,利用它们从事网络间谍活动。他把来自中国的恶意软件分离,这些软件大多来自中国某些黑客团队。他说大约10个团队试验300组恶意 软件,但是是个月来,这个数字又番了一番。他说在中国那边有巨大的人力资源作这种事。
数十家商业网络安全公司的调查人员怀疑,来自中国的黑客当中大部分来自军方,他们受到中国不同情报部门和监视部门的指挥。一般来说,中国的黑客过于 有组织,而且活动范围极广,不像是独自活动的黑客。维基解密爆出的外交电文指上次黑客攻击谷歌同政治局官员有关。美国政府长时间以来一直掌握有关的秘密情 报,证明许多黑客攻击同中国人民解放军有关。当然中国当局多年来一再对此加以否认。
像斯图尔特这样的网络安全专家努力确认黑客的真实身份,他们寻找各种线索,比如在域名注册的假名和代号、旧的网络身份、论坛中的发言……这些都能增加对黑客的了解,但很少能确认他们的真实身份。但偶尔会有黑客犯错误。最近一个黑客犯了错误,导致记者找上门来。
黑客不慎露马脚
在2011年3月斯图尔特发现一个恶意软件同他平时接触到的来自已知的俄罗斯和东欧网络盗窃者的作品有所不同。因此他开始调查和这些可疑代码相关的 指令,他注意到自从2004年以Tawnya Grilth 或Eric Charles名字这册的数十个指令都列出同样的Hotmail帐号,而且都列出加利福尼亚的同一个城市。好几个帐号还把城市名字错误地拼写成Sin Digoo。
同样的一些地址也出现在其他调查者撰写的关于中国网络间谍的文件中。这些约2,000 个地址属于中国最大的互联网服务公司——中国联通。在斯图尔特跟踪许多黑客攻击时,他反复接触到这群地址,因此他认为中国最顶级的两个数码间谍团队在利用 这些地址。他将这个团队成为“北京团队”。一般像斯图尔特这样的调查人员通常也只能查到这个程度,即确认黑客攻击的来源地和一个可能的组织,但是他们很少 能够确认具体的黑客本人。
不过在随后几个月的机缘巧合使斯图尔特时来运转。Tawnya Grilth这册的一个指令使用了dellpc.us.的域名。因为该网址同Stewart的雇主(Dell)过于接近,因此他查询了互联网名称与数字地 址分配机构( ICANN )。他对他们说黑客使用Dell侵犯了他雇主公司的商标权。不过Grilth从未对此回应,但是互联网名称与数字地址分配机构同意斯图尔特的说法,将上述 域名的控制权交给了斯图尔特。因此在2011年11月以前,斯图尔特能够看到被黑客控制的众多电脑同中国联系,这令他目睹了正在进行当中的一场间谍活动。
功夫不负有心人
经过3个月的跟踪监视,斯图尔特逐渐找到了被黑客控制的电脑。到2012年1月,他找到了分布在世界各地的受黑客攻击的电脑,许多电脑属于越南、文 莱和缅甸等国不同的政府部门,数家石油公司、一家报纸、一个核安全机构以及一个国家在中国的大使馆。斯图尔特说,他从来没有见过如此集中针对东南亚国家的 黑客行动。
然后斯图尔特根据TawnyaGrilth及其注册的电邮jeno_1980@hotmail.com进行更广泛的搜索,他又获得了新发现。一个地 址当中里列出xxgchappy的句柄,他按图索骥,从新的电邮又找到更多的联系,包括关于恶意软件网络讨论里面的帖子,以及域名为 rootkit.com的网站,这是个恶意软件集散地,世界各地的研究者能够从哪里学习黑客技术。
接着斯图尔特发现了更非同寻常的线索:一个做实体商务活动的域名,该域名收费为客户在诸如推特和脸书之类的社交网站提供“like”(喜欢)之类的 点击。他发现登记为Tawnya的账号在黑客论坛 BlackHatWorld 上面宣传一个网站以及一个支付帐户,该帐户收费并且把钱转到一个谷歌帐户,帐户的所有者姓“张”。黑客把自己真实生活暴露到如此程度令斯图尔特出乎意料。
2012年2月斯图尔特将其发现写成报告在旧金山年度网络安全界的会议上发表。他的发现引起了安全机构的兴趣,因为发现具体黑客的身份难度很大。他 的报告立即引起另外一名调查者的兴趣,促使他努力发现Tawnya Grilth背后的真人。这位33岁的调查者以网名“虚拟侦探”(Cyb3rsleuth)发帖,他自称管理一家在印度的电脑情报公司。他要求《彭博商业 周刊》记者不要使用他的真名,因为他不想吸引关注,特别是那些试图黑客攻击他公司的人的关注。
网络侦探接力调查
“虚拟侦探”说他已经得到关于东欧黑客真实身份的举报,并把有关信息交给政府部门。他希望揭发更多黑客的身份,以便让政府部门对他们采取行动 。他说黑客也是人,他们也犯错误,所以巧门就是要找到相关的联系,揭出他们的真身。
随着他调查深入,化名Tawnya Grilth的黑客更多的联系被发现。在汽车论坛、中国黑客网站,个人照片,包括一张显示一名男子和女子的合影被找到。照片背景是一个宝塔,两人似乎作为 旅游者在旅游。“虚拟侦探”通过这名黑客兜售收费提供社交网站点击的服务以及同Hotmail帐户绑定的论坛找到了黑客的第二个业务活动,该活动还有具体 的地址。这个公司就是“河南手机网”,根据商业指南,这是家手机批发商。该商店网址使用Jeno Hotmail帐户以Eric Charles的假名注册。
“虚拟侦探”察看了中国技术公司的网络目录,找到了公司的电话和联系人姓名,即在郑州的张先生。该目录还给出3个QQ帐号,其中一个帐号使用了带xxgchappy句柄的几个电邮,账号中把张先生的职业列为“教育”工作。
“虚拟侦探”再用中国搜索引擎搜索这些电邮地址,他发现该电邮还在”开心网” (Kaixin001.com)上注册,帐号属于郑州的“张长河”。张的帐户头像使用了佛教的莲花形象。
“虚拟侦探”又发现相关的用Changhe发音,使用不同汉字,注册的QQ帐号。该帐号博客中包括一些表达佛教信仰的内容,包括一些佛家忏悔和不杀生的训诫,以及关于自己违规的悔过。作者说他继续无耻地偷窃,希望将来能够洗手不干。
同样的QQ号还起名xCar出现在一个汽车论坛上。该用户属于一个驾驶东风标致-307轿车的俱乐部,这是中国中产阶级驾驶的一张赛车款的4门轿车。这个用户还在论坛上发问说那里能够买到一种特别的车牌架。
在一张摄于2009年的照片中,张先生毡子海滩,面对太阳,背对大海,同一个女性挽手。图片说明中说该女子是他的妻子,她还出现在他们以宝塔作为背景的合影中。在这张照片中,张先生面相年青,留着浓密的短发。
“虚拟侦探”在3月在个人博客上公开了他的发现,他说他揭开了鬼影的真面目,并且希望有关政府、调查人员和黑客攻击的受害者能够采取行动。
解放军信息工程大学
郑州中心火车站南边500米的地方有一座7层楼,上面用红字写着“中原通讯数码城”。大楼里面都是出售电子产品的小店铺。张先生的手机生意公开的地 址就在大楼4层的A402。《彭博商业周刊》的记者走进大楼4层那个荧光灯照亮的店铺,里面的两个年青的职员说他们不认识“张长河”,也不知道“河南手机 网”。大楼的商业经理“王燕”说,A420以前的租户3年前就已经搬走,她说她不清楚他们做什么生意。她只知道店主很少来,他们的生意经营时间不长。
在中文谷歌搜索的结果显示,2005年以来张长河同别人一起写过几篇学术文章,文章都和电脑情报活动有关。在2007年张长河还参与过关于窗口系统 恶意软件(Windows rootkit)的研究,这是一种高级的黑客技术。在2011年他还和其他人分析过某种电脑记忆存储的安全缺陷以及相关的攻击路径。文章署名表明张长河在 解放军信息工程大学工作。该机构是中国主要的电子情报中心之一。华盛顿的智库“2049项目研究所” 的Mark Stokes 说,在解放军信息工程大学,教授为全国各地的网络情报活动培养年青军官,那就好比美国的国家安全署下面建立的一所大学(假设)。
解放军信息工程大学的大门不能随意进入,因此张长河电脑网络攻击的线索到此中断。去年一发现的一个恶意软件影响了一百多台电脑,这些电脑主要分布在台湾和菲律宾。一个攻击域名涉及了Tawnya Grilth这个名字。
斯图尔特去年在搜索攻击俄罗斯和乌克兰政府和国防机构的恶意软件的时候发现一个恶意软件反馈到一个在AlexaUp.info域名的指令。那里注册使用的付费姓名也是张长河。
斯图尔特说,张长河涉及“北京团队”,该团队可能有数十人,有编写程序的,还有管理指令中心基础设施的,还有翻译盗窃得到的文件和数据的翻译人员。
“人肉”出一个黑客的真身并不能阻止来自中国的黑客入侵。斯图尔特认为像张长河这样的黑客是中国更庞大组织的一部分,因此“人肉”出更多的类似张长 河那样的人也更加容易。他说,只要出示足够的证据,中国政府最终就难以否认他们参与了这些活动。斯图尔特不能确定他们搜集证据能否最终阻止中国进行网络间 谍活动,但是他认为他们的工作会让中国政府更难逃避指责。
“虚拟侦探”找到张长河的照片时他认为他“人肉”到了中国黑客的面目。
2011年斯图尔特开始关注中国,他开始捕捉来自中国的恶意软件,现在他的主要工作就是并且寻找针对中国的恶意软件的防范对策。来自中国的电脑攻击时而成为新闻关注的焦点,上月《纽约时报》受到攻击,2010年谷歌和英特尔受到黑客攻击,也使中国黑客再次受到关注。
网络黑客四面出击
来自中国的黑客攻击不仅仅是孤立事件,而是持续的入侵。财富500家公司、新技术公司、政府机构、新闻机构、大使馆、大学和律师事务所经常成为中国 黑客攻击的目标,来自中国的恶意软件充斥互联网。最近《华盛顿邮报》报道中的一个秘密情报分析认为美国成为中国持续电脑情报搜集的目标,中国的网络攻击已 经影响到了美国经济。
斯图尔特对《彭博商业周刊》记者说,在网络安全行业越来越多的人致力于对付中国的网络攻击。他追踪到24,000个互联网域名,他说中国的间谍租用 或者攻击进入这些网站,利用它们从事网络间谍活动。他把来自中国的恶意软件分离,这些软件大多来自中国某些黑客团队。他说大约10个团队试验300组恶意 软件,但是是个月来,这个数字又番了一番。他说在中国那边有巨大的人力资源作这种事。
数十家商业网络安全公司的调查人员怀疑,来自中国的黑客当中大部分来自军方,他们受到中国不同情报部门和监视部门的指挥。一般来说,中国的黑客过于 有组织,而且活动范围极广,不像是独自活动的黑客。维基解密爆出的外交电文指上次黑客攻击谷歌同政治局官员有关。美国政府长时间以来一直掌握有关的秘密情 报,证明许多黑客攻击同中国人民解放军有关。当然中国当局多年来一再对此加以否认。
像斯图尔特这样的网络安全专家努力确认黑客的真实身份,他们寻找各种线索,比如在域名注册的假名和代号、旧的网络身份、论坛中的发言……这些都能增加对黑客的了解,但很少能确认他们的真实身份。但偶尔会有黑客犯错误。最近一个黑客犯了错误,导致记者找上门来。
记者为“人肉”中国网络间谍找到了河南郑州的中原数码大厦。
在2011年3月斯图尔特发现一个恶意软件同他平时接触到的来自已知的俄罗斯和东欧网络盗窃者的作品有所不同。因此他开始调查和这些可疑代码相关的 指令,他注意到自从2004年以Tawnya Grilth 或Eric Charles名字这册的数十个指令都列出同样的Hotmail帐号,而且都列出加利福尼亚的同一个城市。好几个帐号还把城市名字错误地拼写成Sin Digoo。
同样的一些地址也出现在其他调查者撰写的关于中国网络间谍的文件中。这些约2,000 个地址属于中国最大的互联网服务公司——中国联通。在斯图尔特跟踪许多黑客攻击时,他反复接触到这群地址,因此他认为中国最顶级的两个数码间谍团队在利用 这些地址。他将这个团队成为“北京团队”。一般像斯图尔特这样的调查人员通常也只能查到这个程度,即确认黑客攻击的来源地和一个可能的组织,但是他们很少 能够确认具体的黑客本人。
不过在随后几个月的机缘巧合使斯图尔特时来运转。Tawnya Grilth这册的一个指令使用了dellpc.us.的域名。因为该网址同Stewart的雇主(Dell)过于接近,因此他查询了互联网名称与数字地 址分配机构( ICANN )。他对他们说黑客使用Dell侵犯了他雇主公司的商标权。不过Grilth从未对此回应,但是互联网名称与数字地址分配机构同意斯图尔特的说法,将上述 域名的控制权交给了斯图尔特。因此在2011年11月以前,斯图尔特能够看到被黑客控制的众多电脑同中国联系,这令他目睹了正在进行当中的一场间谍活动。
功夫不负有心人
经过3个月的跟踪监视,斯图尔特逐渐找到了被黑客控制的电脑。到2012年1月,他找到了分布在世界各地的受黑客攻击的电脑,许多电脑属于越南、文 莱和缅甸等国不同的政府部门,数家石油公司、一家报纸、一个核安全机构以及一个国家在中国的大使馆。斯图尔特说,他从来没有见过如此集中针对东南亚国家的 黑客行动。
然后斯图尔特根据TawnyaGrilth及其注册的电邮jeno_1980@hotmail.com进行更广泛的搜索,他又获得了新发现。一个地 址当中里列出xxgchappy的句柄,他按图索骥,从新的电邮又找到更多的联系,包括关于恶意软件网络讨论里面的帖子,以及域名为 rootkit.com的网站,这是个恶意软件集散地,世界各地的研究者能够从哪里学习黑客技术。
接着斯图尔特发现了更非同寻常的线索:一个做实体商务活动的域名,该域名收费为客户在诸如推特和脸书之类的社交网站提供“like”(喜欢)之类的 点击。他发现登记为Tawnya的账号在黑客论坛 BlackHatWorld 上面宣传一个网站以及一个支付帐户,该帐户收费并且把钱转到一个谷歌帐户,帐户的所有者姓“张”。黑客把自己真实生活暴露到如此程度令斯图尔特出乎意料。
2012年2月斯图尔特将其发现写成报告在旧金山年度网络安全界的会议上发表。他的发现引起了安全机构的兴趣,因为发现具体黑客的身份难度很大。他 的报告立即引起另外一名调查者的兴趣,促使他努力发现Tawnya Grilth背后的真人。这位33岁的调查者以网名“虚拟侦探”(Cyb3rsleuth)发帖,他自称管理一家在印度的电脑情报公司。他要求《彭博商业 周刊》记者不要使用他的真名,因为他不想吸引关注,特别是那些试图黑客攻击他公司的人的关注。
网络侦探接力调查
“虚拟侦探”说他已经得到关于东欧黑客真实身份的举报,并把有关信息交给政府部门。他希望揭发更多黑客的身份,以便让政府部门对他们采取行动 。他说黑客也是人,他们也犯错误,所以巧门就是要找到相关的联系,揭出他们的真身。
随着他调查深入,化名Tawnya Grilth的黑客更多的联系被发现。在汽车论坛、中国黑客网站,个人照片,包括一张显示一名男子和女子的合影被找到。照片背景是一个宝塔,两人似乎作为 旅游者在旅游。“虚拟侦探”通过这名黑客兜售收费提供社交网站点击的服务以及同Hotmail帐户绑定的论坛找到了黑客的第二个业务活动,该活动还有具体 的地址。这个公司就是“河南手机网”,根据商业指南,这是家手机批发商。该商店网址使用Jeno Hotmail帐户以Eric Charles的假名注册。
“虚拟侦探”察看了中国技术公司的网络目录,找到了公司的电话和联系人姓名,即在郑州的张先生。该目录还给出3个QQ帐号,其中一个帐号使用了带xxgchappy句柄的几个电邮,账号中把张先生的职业列为“教育”工作。
“虚拟侦探”再用中国搜索引擎搜索这些电邮地址,他发现该电邮还在”开心网” (Kaixin001.com)上注册,帐号属于郑州的“张长河”。张的帐户头像使用了佛教的莲花形象。
“虚拟侦探”又发现相关的用Changhe发音,使用不同汉字,注册的QQ帐号。该帐号博客中包括一些表达佛教信仰的内容,包括一些佛家忏悔和不杀生的训诫,以及关于自己违规的悔过。作者说他继续无耻地偷窃,希望将来能够洗手不干。
同样的QQ号还起名xCar出现在一个汽车论坛上。该用户属于一个驾驶东风标致-307轿车的俱乐部,这是中国中产阶级驾驶的一张赛车款的4门轿车。这个用户还在论坛上发问说那里能够买到一种特别的车牌架。
在一张摄于2009年的照片中,张先生毡子海滩,面对太阳,背对大海,同一个女性挽手。图片说明中说该女子是他的妻子,她还出现在他们以宝塔作为背景的合影中。在这张照片中,张先生面相年青,留着浓密的短发。
“虚拟侦探”在3月在个人博客上公开了他的发现,他说他揭开了鬼影的真面目,并且希望有关政府、调查人员和黑客攻击的受害者能够采取行动。
解放军信息工程大学
郑州中心火车站南边500米的地方有一座7层楼,上面用红字写着“中原通讯数码城”。大楼里面都是出售电子产品的小店铺。张先生的手机生意公开的地 址就在大楼4层的A402。《彭博商业周刊》的记者走进大楼4层那个荧光灯照亮的店铺,里面的两个年青的职员说他们不认识“张长河”,也不知道“河南手机 网”。大楼的商业经理“王燕”说,A420以前的租户3年前就已经搬走,她说她不清楚他们做什么生意。她只知道店主很少来,他们的生意经营时间不长。
在中文谷歌搜索的结果显示,2005年以来张长河同别人一起写过几篇学术文章,文章都和电脑情报活动有关。在2007年张长河还参与过关于窗口系统 恶意软件(Windows rootkit)的研究,这是一种高级的黑客技术。在2011年他还和其他人分析过某种电脑记忆存储的安全缺陷以及相关的攻击路径。文章署名表明张长河在 解放军信息工程大学工作。该机构是中国主要的电子情报中心之一。华盛顿的智库“2049项目研究所” 的Mark Stokes 说,在解放军信息工程大学,教授为全国各地的网络情报活动培养年青军官,那就好比美国的国家安全署下面建立的一所大学(假设)。
解放军信息工程大学的大门不能随意进入,因此张长河电脑网络攻击的线索到此中断。去年一发现的一个恶意软件影响了一百多台电脑,这些电脑主要分布在台湾和菲律宾。一个攻击域名涉及了Tawnya Grilth这个名字。
斯图尔特去年在搜索攻击俄罗斯和乌克兰政府和国防机构的恶意软件的时候发现一个恶意软件反馈到一个在AlexaUp.info域名的指令。那里注册使用的付费姓名也是张长河。
斯图尔特说,张长河涉及“北京团队”,该团队可能有数十人,有编写程序的,还有管理指令中心基础设施的,还有翻译盗窃得到的文件和数据的翻译人员。
“人肉”出一个黑客的真身并不能阻止来自中国的黑客入侵。斯图尔特认为像张长河这样的黑客是中国更庞大组织的一部分,因此“人肉”出更多的类似张长 河那样的人也更加容易。他说,只要出示足够的证据,中国政府最终就难以否认他们参与了这些活动。斯图尔特不能确定他们搜集证据能否最终阻止中国进行网络间 谍活动,但是他认为他们的工作会让中国政府更难逃避指责。
