Pages

Thursday, 22 May 2014

联邦调查局如何找到中国网谍的踪迹

费加罗报整整一个版今天献给题为“联邦调查局如何追剿中国网络间谍”的长篇报道。该报这样开篇:联邦调查局贴出的通缉令并未标出“死活 都要”,也未标价悬赏。美中不存在双边引渡协约,几乎不存在把这5名中国军官送上美国法庭的可能性。但是,采用西部片流行的那种用来对付美国敌人的招贴捉 拿的做法,极具象征意义。华盛顿如此表明与工业间谍斗争的决心给世人留下深刻印象。5名人民解放军军官周一惊奇地发现:他们的名字上面写着“联邦调查局捉 拿通告”几个大字。多大的羞辱!
解放军黑客暴露的失误滑稽可笑
美国司法部使用将近八个月时间收集中国网络黑客的证据,同时说服了遭网络间谍袭击的美国企业同意公开身份,直到现在,相关企业一直担心会遭到中方报 复。虽然联邦调查局和美国司法部长哈德尔都没有泄露他们如何成功地追寻到极其复杂的中国网络作案者的踪迹,但是美国一家网络安全公司Mandiant 数月前公布的相关报告部分得到起诉书证实。这显示了使用很尖端手法的中国网络间谍也有失手的时候。
网络偷袭并非幽灵数字计算机犯下的罪行。在每个键盘后面,隐藏着有头有脸的人物。正如美国网络安全公司披露:这些黑客使用“运行安全”其实是一个错 误选择,从而使美国公司找到他们的蛛丝马迹。这些黑客中有人过于狂妄,使用美国IP和假地址注册谷歌信箱,在电话验证中填写的却是上海的手机号码。然后使 用一系列黑客工具和步骤盗取受害者的信息。这些黑客为了翻越中国政府设置的“防火长城”登陆自己在脸书 和推特等境外社交网站的账户,需要使用虚拟专用网络(VPN), 安全的做法是先退出他们用以实施网络间谍活动的服务器,然后再进入那些得以 使他们登陆的脸书和推特账户的VPN,但这些中国黑客太偷懒或者说太骄横,他们直接从自己实施网络间谍活动的服务器登陆自己的脸书和推特账户,结果,喜欢 走捷径的中国黑客被网络安全公司掌握了行踪。还有的黑客公开显示他们对网络战争有兴趣也引起美国网络安全公司的注意。
费加罗报说,这些失误非常可笑滑稽。中国用来网络控制的“防火长城”给调查者提供了工作方便。通常,当局混合使用“防火长城”和网络防火墙,通过筛 选关键词或敏感词,采取这种手段非常有效地拦阻了脸书、推特以及国际通用的网络视频,结果出现了这样一种局面,对中国黑客而言,把他们用来袭击的基础工具 同脸书或推特联通起来,一旦他们受到暴露,这些工具反而成了验证他们身份的王牌。
王东是如何被发现的
五名军官之一王东发动的网络袭击就这样得到了验证:他的英文名字叫Jack Wang。他设法进入了美国钢铁公司的网络,使用木马计偷窃大量信息,并由此进入了1700个这家美国公司的电脑。根据联邦调查局的报告,王东负责控制受 害者的电脑。王东其实在2004年就引起注意,他当时在中国一名退休的海军将领张召忠在解放军报举行的有关中国在网络战争中的角色的演讲会上上网发出这样 一个特别的问题:“中国有没有这样一个网军”。要进入解放军报的网络参加讨论必须要提供自己的信箱地址,王东就告诉了自己的英文名字“Jack Wang”。2007年,他使用“UglyGorilla”发表了“作品”―一组命名为“MANITSME”的恶意攻击软件,2006年,王东下载了一个 可以淹没信箱的软件,当时他使用了他自己的中文名字王东。
王东能够进入其它电脑同设在上海浦东的网络间谍部门61398部队的另一名黑客孙凯亮有关。孙凯亮的英文名字是Jack Sun ,联邦调查局通缉的五名军官之一。这位人民解放军上尉向十几家美国企业寄去带毒信息,其中包括美国钢铁公司。当这些带毒信件被打开后,就可以在对方不会发 觉的情况下悄悄进入对方的帐号。黄振宇,代号hzy_Ihx,专门设置软件信息,他被指控负责管理遭窃的域号。一旦进入这些域号,他就把获得的对方的信息 告知其他黑客。
温新宇,同样为外界所知的是Win-XYHappy 或叫Win_XY,他被指控控制着受害者的电脑系统。他还被指可能潜入了美国一家太阳能企业的电脑系统,偷走了该公司上万件包括制造成本和产品发票等商业 秘密的信息。根据美国司法部的起诉状,他的手伸进对方系统后,使得这家美国公司的竞争对手―中国全球太阳能公司可以根据需要缩减自己的产品开发日期。导致 美国企业很快失掉好多订户,市场份额顿减,相反,中国竞争对手的订单大增。这家中国企业的产品价格始终低于美国厂家。
费加罗报指出,以两百万网军的数目,毫无疑问,中国拥有大规模反击华盛顿的手段。不过,根据华盛顿去年泄露的一份秘密报告,奥巴马政府拥有被中国黑客偷袭的3000多家美国企业的详细信息。看来,美国在应对中国网络间谍的战争中还保留着弹药。
世界报相关主题的题目是:“五名中国军官涉嫌网络间谍遭‘追缉’”。报道说,北京为此反应强烈,指美国此举纯属故意捏造,“中国政府、军队及其工作人员从来都没有从事电子窃取”。相反,中国外交部指责美国政府及政府机构长期以来在全球范围从事大规模网络间谍行为。
世界报指出,北京显然是在暗示美国国家安全局袭击中国华为电脑巨头网络,这是纽约时报从该局前雇员斯诺登那里得来的消息。作为报复,中国暂时中止中 美网络安全协商小组会议。世界报说,前面提到的五名军官被美国联邦调查局通缉,并散发了他们的照片。指控他们的罪名共有31条。仅经济间谍一罪如得到确 认,就会判处15年徒刑。不过,五名军官被交到美国司法机构的可能性几乎不存在。另外,法国解放报也以“联邦调查局追捕五名中国网络间谍”为题进行了相关报道。


FBI公布美国起诉的5名中国军人名单照片

美国之音
美国联邦调查局(FBI)网站公布了被美国司法部起诉的五名中国军方人员的名单和照片。美国指控这5人对美国公司进行经济间谍活动。

这五名中国军方人员均为61398部队第3支队成员,分别是(音译): 孙凯良(Sun Kailiang)、黄镇宇(Huang Zhenyu)、文新宇(Wen Xinyu)、王东(Wang Dong),以及顾春晖(Gu Chunhui)。

----------------------------------------------------

被美国起诉的中国军官是怎么被发现的?


 据新华网报道,美国司法部5月19日宣布以所谓网络窃密为由起诉5名中国军官,指控他们通过网络窃取美国公司的商业机密,这是美国政府首次公开控告外国政府公务人员针对美国公司实施网络黑客犯罪。
  对于这个新闻,有一点我曾经感觉非常奇怪,美国是怎么知道这几名攻击者的个人信息的,从事这种工作,通常是保密级别非常高的工作,那么美国怎么知道上海 61398部队第3支队成员的孙凯良(SunKailiang)、黄镇宇(Huang Zhenyu)、文新宇(WenXinyu)、王东(Wang Dong)以及顾春晖(Gu Chunhui)等5人从事了这项工作呢?
 我想,即使这些人操作疏忽,泄漏了自己的IP地址,那从IP定位到人,通常也需要电信运营商的配合,例如查询中国电信等运营商的日志资料来获得个人信息,美国显然无法让中国电信交出数据,那么数据从哪里来的呢?
 后来看了外媒的一篇报道才明白,原来五名中国军官被发现的原因,是因为他们使用了同一个VPN来进行网络攻击和访问Facebook、Twitter和Gmail,这样,美国政府通过IP地址对比即可从Facebook和Google那个拿到该用户的个人资料。
 可能这些中国的网络攻击者太偷懒或者说太骄横,他们直接从自己实施网络攻击的服务器登陆自己的Facebook和Twitter账户,结果,喜欢走捷径的中国攻击者被网络安全公司掌握了行踪。
  2013年2月,美国网络安全公司曼迪昂特(Mandiant)发布过报告,指称“总部位于上海浦东”的中国军方人员入侵美国和其他西方国家141家公司 的网络系统,窃取商业机密。根据Mandiant发布的报告,Mandiant的专家甚至还破解了其中一攻击者的Gmail信箱密码,由于Gmail登录 时会提示保存手机号码,因此进入其Gmail信箱之后,该用户的邮件内容以及手机号码也被曝光。

  因此,从这里可以看到的现象是,美国的网络安全水平实际上远远高于中国,美国人不仅知道中国对美国企业实施攻击,而且能够具体到某个部队的哪个人在什么时 候什么地点实施了攻击,甚至攻击者的电子邮箱都被美国人破解,而中国对于美国的网络攻击却知之甚少,大部分内容都来自美国自己(斯诺登)的爆料,根本无法 控制和定位美方的攻击,有时候可能还不清楚自己的机器受到了美国的攻击。
 因此,美方的这种指责的确有“作秀”的意味,只能更加形象地说明美国的整体网络安全水平远高于中国.