美國起訴揭開中國駭客群體面紗
黃安偉 2014年05月23日
Uncredited/Justice Department,
via Associated PressUncredited/Justice Department, via Associated Press
美國司法部的一張海報。圖中是本周被控對美國企業進行駭客攻擊的五名男子。據推測,中國企業是這些駭客行動的受益者。
北京——被控為中國軍隊充當駭客的汪東在一個社交媒體的頁面上寫道,他「胸無點志」,只希望「仗劍走天涯,癡漢」。他的綽號比他的名字更出名,叫做UglyGorilla(「醜猩猩」)。
另一名被告名為孫開亮,又稱傑克·孫(Jack
Sun)。他成長於中國東部富裕的沛縣,出生於這裡的一個農民建立了漢朝,還被毛澤東視為偶像。
關於他們的許多情況仍舊不得而知。但是,中國網站的資料,以及對中國國內外網絡安全專家及前駭客的採訪,都表明這些人與其他駭客有一些共同特點,還表明中國的駭客文化是一個複雜的混合體,其動機、僱主和效忠對象都在不斷發生變化。
許多直接為中國政府工作的駭客都是二三十歲的年輕男性,他們在從屬於中國人民解放軍的大學裡接受了訓練,後來又通過多種多樣的方式受到國家的僱傭。專家和前駭客說,直接為軍方工作的人通常都遵循朝九晚五的作息時間,工資也不高。部分軍方和政府僱員會兼職掙錢,利用業餘時間執行額外的駭客任務,向國有或私營企業售賣自己的技能。部分僱員屬於同一些網絡社交小組。
「他們的工作關係多種多樣,」紐約外交關係委員會(Council on Foreign Relations)研究中國及網絡戰的學者亞當·謝加爾(Adam Segal)說。「有些人民解放軍駭客會與國企簽約,為他們提供服務。涉及一些關鍵技術的時候,人民解放軍駭客可能會奉命對特定的外國企業發動攻擊。」
奧巴馬政府認為,以保護國家安全為目的的駭客行動與旨在獲取有助於企業競爭的商業機密的駭客行動不同,前者屬於正當行為,後者則是非法行為。中國和其他一些國家則指責稱,美國在這兩個方面都做得最為過分。
或許是為了報復美國的指控,中國的一個國家機構週四宣佈,將對在中國經營業務的互聯網公司進行更嚴格的審查。據中國國家通訊社新華社報道,中國的國家互聯網資訊辦公室稱,政府將設立新程式來評估潛在的安全問題,評估對像是網絡技術,以及「與國家安全及公眾利益有關」的部門所使用的服務。
在週一公佈的起訴書中,美國指控王東、孫開亮和其他三人為中國人民解放軍61398部隊工作。根據弗吉尼亞州亞歷山大市的網絡安全公司Mandiant去年發佈的報告,61398部隊在上海郊區一棟12層的白色大樓裏辦公。該部隊目前是中國最臭名昭著的涉嫌從事駭客活動的組織,西方的網絡安全圈子稱之為「注釋組」(Comment
Crew)、「上海組」(Shanghai Group)或APT1。
其中一些成員活躍在中國的社交媒體中。網絡搜索顯示,汪東、孫開亮和另一名被告溫昕宇(音譯)是QQ群「吃著公家飯的窮人」的成員,QQ是一種網絡社交及通訊工具。
該群有24個成員,包括Mandiant報告提及的嫌疑駭客梅強,此人的別名是SuperHard(「超難」)。群裏的另一個成員徐耀令與南京軍校中國人民解放軍理工大學的某人同名,後者曾寫過有關駭客及網絡安全的論文。
2004年,汪東化名「綠野」在中國一個官方軍事論壇發佈了一些帖子。他稱自己是一個「軍事愛好者」,並且發帖詢問,「我軍現在有沒有和美軍交手的能力?」論壇資料顯示他的英文名字為傑克·王(Jack Wang),還列出了一個郵箱位址。記者本周給該郵箱發了郵件,但沒有收到回復。眾所周知,汪東會在自己開發的惡意軟件上留下「ug」的記號。
一名前駭客表示,「我覺得他們是受過電腦技術培訓的士兵,並不是應召入伍的技術人員。」這名駭客稱自己曾為中國軍隊和安全機構做過防禦性工作。
西方網絡安全專家通常會著重關注與政府有關聯的駭客。網絡安全公司火眼(FireEye)的威脅情報組負責人達裏恩·欣德隆德(Darien Kindlund)表示,該公司正在追蹤至少25個「位於中國的活躍威脅組織」,其中22個都在以某種方式支援政府。火眼公司位於加利福尼亞州的米爾皮塔斯,於1月份收購了Mandiant。欣德隆德表示,至少有五個組織似乎與一個或多個軍事組織有直接關聯。他還表示,這只是一個保守的估計。
戴爾公司(Dell)旗下的SecureWorks公司的研究人員喬·斯圖爾特(Joe Stewart)表示,截至去年,在他追蹤的2.5萬個可疑網絡域中,「注釋組」(Comment Crew)和被他稱為「北京組」(Beijing Group)的一個團隊佔據了「很大一部分」。他說「北京組」使用了一個專用的IP位址段,可以追溯到中國聯通(China Unicom)在北京的網絡。中國聯通是該國提供互聯網服務的三大國有電信企業之一。
「有諜報活動是從那裡發出的,」斯圖爾特說。不過他補充說,他沒有見到「北京組」與中國聯通或其他國有實體合作的證據。
一名男子在接聽中國聯通一位發言人的手機後,表示拒絕發表評論。
「注釋組」和「北京組」針對的目標有重疊,例如,二者都關注外國公司和政府機關。不過,斯圖爾特說,「北京組」也會關注「某些類型的活動人士」,包括藏人和維吾爾人流亡團體。他還說,世界上已知的300個惡意軟件家族中,多數都歸咎於他們。
從2006年末開始,西方網絡安全專家發現,企業受到的在線諜報攻擊激增。在那以前,攻擊的目標主要是政府部門或政府承包商。專家表示,企業受到的第一波情報攻擊中,很大部分可以追溯到中國,具體可以追溯到「注釋組」。大約一年之後,「北京組」出現了。
斯圖爾特表示,一個較小的團隊發起的攻擊似乎關注于越南的目標。該團隊的攻擊被追溯到了位於雲南省會昆明的IP地址,因而被稱為「昆明組」(Kunming Group)。「昆明組」利用惡意軟件和所謂的「魚叉式釣魚攻擊」(spear-phishing
attack),試圖引誘受害者點擊越南語的消息和鏈接。
目前還不清楚「昆明組」到底想要得到什麼。不過最近幾年,由於南海上的領土爭端,中國與越南之間的緊張關係不斷升級。本月,中國把一個石油鑽井平臺移到了越南附近,越南爆發了抗議。越南也在與國外的石油公司合作,從而對那片海域進行勘探和開採。
網絡安全專家說,奧巴馬政府一直專註於揭露企業間諜活動,但是涉嫌為中國政府服務的駭客們,卻攻破了大批外國政府機構的網絡。
例如,火眼公司表示,該機構觀察到了針對台灣政府機構,以及一名印度教授的間諜攻擊活動,該名教授持親西藏立場。火眼公司將攻擊者稱作「十強幫」(Shiqiang
Gang)。去年9月,中國大陸的一個組織還對日本的政府機構和企業實施了攻擊,方法是向日本的媒體網站植入指令,從而感染用戶。
火眼公司的首席執行官欣德隆德說,在判斷駭客是國家僱員還是私人承包商時,他的同行們會關注多種因素。一個因素是駭客使用的安全手法:軍方的駭客不會那麼馬虎大意。另一個是攻擊目標:如果駭客的各個攻擊目標大相徑庭,那可能是一個承包商。最近幾個月,火眼發現一名駭客攻擊了外國的國防和航空企業,然後又攻擊了一家在線娛樂公司。欣德隆德說,這名駭客似乎就來自一家私人承包商。
目前還沒有一種行之有效的方法,能夠讓中國的駭客部隊懸崖勒馬。2013年初,美國的官員們希望,Mandiant發佈的報告以及奧巴馬政府對中國網絡間諜活動的強烈譴責,可以讓「注釋組」停止活動。但欣德隆德說,他們沉寂了一段時間,在五個月後就再次浮出水面。現在,其攻擊活動已經回到了2013年以前的水準。
「他們正在使用相似的戰術,但實施攻擊的網絡設施已經改變,」欣德隆德說,「他們的工具只是略作修改。總體上來說,大多數改動都很小。」
黃安偉(Edward Wong)是《紐約時報》駐京記者。安思喬(Jonathan
Ansfield)和儲百亮(Chris
Buckley)對本文有報道貢獻,Kiki
Zhao和Mia Li對本文有研究貢獻。
翻譯:許欣、陳柳
沒有留言:
張貼留言
發表意見者,請留稱呼。用匿名不留稱呼者,一律自動刪除。