Pages

Friday, 22 February 2013

防火长城露馅 美国网络安全公司Mandiant智揪中国网军

走近网络安全公司Mandiant

美国Mandiant网络安全公司最近公布的一份报告直接把黑客袭击的源头指向中国官方。中国方面对此激烈反驳。然而这次“爆料”的Mandiant公司究竟是一家怎样的企业呢?这份报告又为何能掀起如此波澜?

周二(2月19日),美国一家私人网络安全技术公司公布了指责中国军方黑客袭击141家企业的具体细节,其中大部分企业位于美国本土。该公司表示,中国军方窃取了这些企业的商业机密。

Mandiant到底是谁?

Miandiant公司总部位于美国弗吉尼亚州亚历山德里亚市(Alexandria)郊区。其创始人曼迪亚(Kevin Mandia)是美国空军退役军官,退伍后瞄准了调查计算机犯罪这一收益颇丰的小众市场。Mandiant公司表示,它可以识别并跟踪一些隐藏的非常好的黑客攻击,比如说一些企业可能察觉不到的盗取雇员电脑密码或贸易机密的行为。

\

面对黑客袭击时,美国企业不愿意给FBI打电话

除了Mandiant以外还有类似这样的网络安全公司吗?受网络黑客袭击的机构为什么不直接和FBI(美国联邦调查局)联系呢?

事实上,除了Mandiant以外,专业从事网络犯罪防御和取证的公司还包括CrowdStrike、Kroll Advisory Solutions和纽约的Stroz Friedberg。同时,还有其他诸多网络安全公司专业从事为企业建立计算机防御系统,监控数据交换以识别黑客攻击或相关可疑行为的服务。

企业对FBI可能抱有抵触情绪。因为他们不愿意向政府提供最敏感的信息,包括计算机中的一些专有数据。他们更愿意对调查工作能有所掌控。许多公司对网络袭击的来源并不感兴趣,他们更关心的是怎样恢复企业的正常运作,继续赚钱。

他们不希望让自身的安全漏洞成为法庭上讨论的内容,也不希望让这些信息流向新闻机构或者股东手中。而如果政府介入,这一切都有可能发生。像Mandiant这样的公司在巨大经济利益的驱动下,会签署保密条约,对客户的名字闭口不提。

\
61398部队驻地

Mandiant的最新报告为什么如此重要?

Mandiant声称,他们已经跟踪到上海一座普通白色的12层办公楼是中国人民解放军61398部队大幅攻击美国企业的源头。这份报告是目前为止,针对中国网络窥视行为所公开的最广泛、最详细的指控,其中包括一份具体的时间表和所使用恶意软件的详细信息。

美国政府,包括它的情报机关几乎也确凿掌握了类似的,甚至更为详细的信息,但是这被视为高度机密。而对于一家私人企业来说,Mandiant没有义务对这些信息保密,但报告中也没有提及被攻击企业的名称。

为什么要公布调查结果?

Mandiant表示,现在是公布中国系统发起黑客袭击的时候了。而且该公司希望尽可能多的公布与此相关的细节,为专业安全人士提供帮助。Mandiant公司在一份声明中承认,公开信息的做法存在风险,因为中国方面会改变现有的策略。同时,Mandiant也表示自己也会成为黑客攻击的对象。比如说去年4月,一份伪装成新闻稿的文件就曾试图在该公司员工的电脑上安装恶意软件。Mandiant公司表示:“我们预计中国方面会实施报复,指责的浪潮会迎面而来。”

显然,Mandiant公布这些信息的同时也有其商业目的。它表示,已经将网络攻击的技术手段通知客户,并为其提供了保护服务。同时,该公司还向企业以及机构推出了一款免费软件,帮助他们发现可疑的网络活动。

这一做法让Mandiant置身于美国网络安全讨论关键时期里的中心位置。该公司的创始人本月初在众议院情报委员会面前就黑客威胁发表了证词。上周,美国总统奥巴马签署了一项行政令,目的是改善政府和企业在相关领域的合作。同时,美国国会也正在评估与网络安全有关的一系列立法建议。
--------------------------------------
61398部队网络战/香港科技大学卷入中美黑客事件

香港科技大学卷入解放军61398部队对美国进行网络“间谍”漩涡。调查发现大陆“黑客”除来自上海浦东由中国联通提供光纤通讯外,并锁定其中一组IP地址,是来自香港科技大学(143.89.0.0-143.89.255.255)。有校内教职员表示,校方要严厉惩戒“黑客”行为,以免大学被卷入中美的网络战之中。(何山报道)


美国网络资讯安全公司Mandiant透露,解放军总参谋部技术侦察部的第二局,对外的名称是中国人民解放军61398部队,驻扎在上海浦东新区高桥镇大同路,其主楼高12层,该机构从事黑客网络攻击。(ImageChina)

美国资讯安全保安公司(Mandiant)的报告,除锁定大陆“黑客”的来源是解放军总参谋部第3部第2局的61398部队之外;74页的调查中,还列出中国黑客的IP地址,其中一组来自上海浦东新区以外的香港特别行政区。

记者再确认该组被锁定的IP地址源头(143.89.0.0-143.89.255.255),的确如报告所言,是来自香港的科技大学。就科大为何无故卷入中国解放军61398部队的黑客尖兵团队,目前无从而知。有校内的教职员就指,不排除是有人私下盗用大学的资源,从事与科研无关的黑客活动。

科技大学社会科学部副教授成名在接受本台访问时就指,如有大学职员,使学校卷入了国与国之间的“间谍对抗与冲突”,实是赔上了大学的声誉,不应该,校方应该禁止;但他相信,大部份的教职员是无辜的。他说:“卷入了国与国之间的间谍对抗行动,对于一个大学的角色完全不恰当,也不可以接受。你不必要将大学的声誉卷入了不应该卷入的活动,我相信绝大部份的,全部的科大职员都是无辜的。”

另外,根据Mandiant的IP地址分析,解放军61398部队(黑客部队),所使用的互联网基础建设,绝大部份由中国联通提供,是高速的光纤通讯﹐小部份由中国电讯提供。

美国联邦众议院情报委员会主席罗杰斯就表示,上千名训练有素的中国大陆资讯工程师,每天对美国政府、企业和个人进行网路攻击,美国在网路战争居于下风。
--------------------------------


Hacker_Report450.jpg
美国网络资讯安全公司(Mandiant)2月19日公布的调查报告第42页中指到的大部分的黑客攻击,来自大陆解放军总参谋部三部二局的 61398部队,而黑客源头IP地址,透过“HTRAN”中转伺服器,追查到614个IP地址,其中613个来自上海,其馀一个来自香港技大学。(粤语部 网络截图)
香港科技大学卷入中美黑客漩涡中,黑客并涉及解放军黑客其中一个IP地址来自科技大学,该校发言人周四回应指,大学关注事件并已报警,警方正展开调查。(海蓝报道)
就美国网络资讯安全公司(Mandiant)周二公布的调查报告指,追踪到的大部分的黑客攻击,来自大陆解放军总参谋部三部二局的61398部队, 而黑客源头IP地址,透过“HTRAN”中转伺服器,追查到614个IP地址,其中613个来自上海,其馀一个来自香港技大学。
报告中确认该组被锁定的IP地址源头(143.89.0.0-143.89.255.255),是来自香港科技大学。
香港科技大学发言人透过电邮回应指,大学极度关注网络怀疑被黑客攻击及利用的报道,已与警方联络,并展开调查,该校将继续与警方密切联络及跟进事件。大学资讯科技服务中心定时监测网络保安,并提升保安系统。
科技大学计算机系教授乐创基(LOCHOVSKY)指,该校有数千部电脑,每部均有个别的IP地址,校内人士各自拥有许可的IP地址。但他指大学内有数千名学生或职员,只要可使用科大电脑的许可人士,可以自由把手机,或手提电脑,接驳到大学的电脑设备,不同时间可以有不同人使用,很难追查谁用过。不过,他又指,校内每个人有个别IP地址,需要同一密码登入,别人很难开启使用,但不排除被别人使用的可能性。
就香港公帑资助大学,疑卷入解放军黑客事件,香港立法会议员(资讯科技界)莫乃光表示,他需要了解事件,因为有两种可能性,如果该校内一些项目进行 黑客活动,事件非常严重,但如果是校内人士个别行为,那是保安漏洞,他要弄清此事。另外,他也要了解清楚美国该份报告的准确性。
他说:如果真是有做此事,是该校内一个项目真正进行这种活动,那是非常严重。如果是个别学生,有千多个学生,职员也有千个,他们每日使用系统,到底是那一种情况,我们要先搞清楚。
该报告称,近年针对美国政商界的黑客攻击,不少来自这幢在上海的解放军办公大楼及附近一带。他们追踪到“上海帮”黑客组织,一批黑客的两组IP地 址,都来自浦东新区高桥镇大同路,一幢12层高大楼的解放军61398部队总部附近,那里其实是“黑客基地”。自2006年以来,估计窃取141间机构的 数据,其中115间是美国公司。
中国国防部及外交部均否认解放军作网络攻击,并指中国军方从事网络攻击,既不专业,亦与事实不符。周四亦有多个官方媒体反驳有关指控。
英文中国日报、新华社及环球时报均作出评论。中国日报社论指,中国也是黑客攻击行动的受害者,但是从不指责他人。美国针对中国的最新一轮指责,与几年来的多次类似指责,没有太多新意。该社论认为,美国希望通过指责中国黑客问题,将国民注意力从自身问题引开。
美国周三同时发表政策文件,表示要打击外国盗窃美国商业机密的行为,呼吁私营企业多了解美国贸易机密被盗窃的风险,并要加强情报执法。该文件亦列出近年来中国盗窃美国商业机密的具体案例。
美国白宫发言人周三则指,美国已就黑客攻击一事,在最高层次向中国提出抗议。
--------------------------------------------

Mandiant报告指出,他们能一路追到中国军方单位,一部分是拜中国“防火长城”所赐。中国骇客有专门用于入侵国外对象、据信相当尖端的VPN伺服器,为确保安全,他们若要登入外国社群网站,应先登出攻击用伺服器,再登入较低阶VPN,但部分骇客懒得遵照这套标准程序,“直接从他们的攻击设备登入脸书和推特”,意外导致攻击伺服器位址与其使用的社群网站帐号连结,“成了找出他们真实身分的最有效途径”。

美国资安公司Mandiant报告追查出近年大量攻击美国机构的中国骇客集团“APT1”,就是解放军神秘单位“六一三九八部队”,并指出三名疑为军方人员的攻击者网路代号。令人意外的是,中国用于封锁网路资讯的“防火长城”,意外成为导致这三名攻击者身分曝光的陷阱。

Mandiant报告指出,他们能一路追到中国军方单位,一部分是拜中国“防火长城”所赐。“防火长城”是北京用于封锁境内网路用户取用脸书(Facebook)、推特(Twitter)等社群网站及敏感资讯的网路防火墙,中国网友常利用虚拟私人网路(VPN)绕过这道防火墙。

然而,中国骇客有专门用于入侵国外对象、据信相当尖端的VPN伺服器,为确保安全,他们若要登入外国社群网站,应先登出攻击用伺服器,再登入较低阶VPN,但部分骇客懒得遵照这套标准程序,“直接从他们的攻击设备登入脸书和推特”,意外导致攻击伺服器位址与其使用的社群网站帐号连结,“成了找出他们真实身分的最有效途径”。

网路攻击升级成国家对抗

这份报告点出APT1三名网路代号为DOTA、UglyGorilla和SuperHard的网军,就是因此自曝行踪。APT1曾在十个月内从单一机构窃取数量达六.五TB经压缩的资料。Mandiant说,“保守估计”APT1目前有超过一千个伺服器用于攻击行动,需要庞大的专业人力、资金、设备等奥援。

这份报告更提高外界质疑中国军方藉由窃取价值可能达数亿美元的西方机密资料,协助国家产业,这些机密从油田详细资料到先进制造技术、制程等无所不包。英国网路安全专家克鲁利(Graham Cluley)说,“这确实是网路犯罪的新时代”,已由小孩子从自家卧室及出于金钱动机,进展到受国家支持的网路犯罪,窃取高价值、但更严密保护的机密资料,以取得军事或商业优势。

美国媒体报导,包括可口可乐、纽约时报、华盛顿邮报和军备生产商洛克希德马丁公司均遭网路渗透,必须聘请网路安全公司,强化内部架构。美国联邦众议院情报委员会主席罗杰斯(Mike Rogers)表示,上千名训练有素的中国工程师,每天对美国政府、企业和个人进行网路攻击,美国在网路战争居于下风。