彭博社7月26日(周四)发表了一篇题为“从欧盟到华府,与中国军方有关的黑客现形(Hackers Linked to China’s Army Seen From EU to D.C)”的文章,以下为译文:
依据一份黑客活动的电脑记录,去年布鲁塞尔时间7月18日上午9点23分,黑客们开始了行动。在仅仅14分钟的键盘快速操作中,他们挖走了欧盟理事会主席Herman Van Rompuy的电子邮件。他是领导欧洲微妙政治救助希腊的关键人物。
去年7月份有超过10天,黑客们四次返回欧盟理事会的计算机,获取了11名欧盟经济、安全和外交事务官员的内部通信。这些侵害可能令入侵者看到对欧洲金融危机不加掩饰的看法。
而这些间谍自己也在受到监视。约30名北美私人保安研究人员在一起秘密工作,追踪一个在中国最大、最繁忙的黑客团伙。
美国情报部门多年的观察发现,这一被戏称为“拜占庭式的坦率(Byzantine Candor)”的黑客团队,在安全圈子内也被称为“评论组”,因为他们侵入计算机的典型方式,是利用隐藏的被称作“评论”的网页代码。
在去年近两个月的监测中,研究人员们说,这些黑客攻击规模之庞大令人吃惊,受害者一个接一个:从油田服务领域的领军公司哈里伯顿(Halliburton Co. ),到华盛顿的威利马勒律师事务所(Wiley Rein LLP);从加拿大涉及一个敏感的中国引渡案件的法官,到加尔各答的烟草公司(ITC)
收集的秘密
研究人员核实了20名受害者 – 他们当中很多机构都拥有可有助中国努力成为全球最大经济组织的秘密。这些被攻击目标包括在寻求商业起诉中国一些出口商的律师,及一家准备在中国声称的海域内准备钻探的能源公司。
“通常公众听到的是 - 信用卡号码被盗,有人攻击了LinkedIn -这只是冰山的一角,非保密的东西”,前联邦调查局执行助理主任Shawn Henry说,“我一直在坐潜艇围绕着这座冰山。这是我们所见过的最大的、吸取美国专有数据的行动。这是一台机器。”
研究人员利用了这些黑客的一个安全漏洞,创建了一个数字日志,记录下入侵者的一举一动:他们蹑手蹑脚地进入网络,关闭防病毒系统,把自己伪装成系统管理员,及掩盖他们的踪迹,令受害者无法查觉。
一举一动
据一名熟悉在圣安东尼奥的空军特别调查办公室的人士消息,这些每一分钟的记录,展开了一个在日常事务中从未讲述的故事,一个团体无情的猛烈攻击能如此成功,令该办公室的一个网络组致力于进行追踪。
这些日志 - 记录了黑客给受害者电脑发出的命令 - 也揭示了该团体背后具有高度的组织性。据维基解密公布的一份2008年的外交电报,“拜占庭式的坦率”与中国的解放军有关。两名前情报官员证实了该文件的实质内容。
黑客与间谍
中国抢劫技术和数据背后使用的方法,及绝大多数受害者,十多年来都处在一个黑客与间谍的阴暗世界。在美国,只有一个通过安全背景调查的调查者群体能完全知晓。
“直到我们可以用一种透明的方式对话,我们将很难解决这一问题”,前国土安全部的国家网络安全部门主任Amit Yoran说。
Yoran现在在为总部位于美国麻省的RSA信息安全公司工作。该公司去年遭到中国一些黑客团体的攻击。他说,“我只是不知道,美国对此是否做好了准备。”
《华尔街日报》7月19日刊登的一篇文章中,奥巴马总统警告说,“网络威胁是我们国家面临的最严重的经济和国家安全的挑战之一。”国家安全局局长Keith Alexander十天前在华盛顿的一个讲话中说:网络间谍构成了“历史上最大的财富转移”,并列举了全球每年各公司用于自我保护的开销是1万亿美元。
收获的秘密
据要求匿名、并拒绝透露更多细节的计算机安全专家说,被收获走的秘密包括:各大石油公司网络上标有石油储备的地震地图;专利律师事务客户的商业秘密;可能影响到国企全球性企业的投资银行的市场分析。
据政府调查人员和保安公司得来的消息,私人研究人员已确定了有10至20个中国的黑客团体,但称他们的活动和规模有显著不同。
与众不同的“评论组”
令“评论组”与众不同的是它疯狂的运作频率。据事故报告和对调查人员的采访,去年夏天的攻击记录代表了“评论组”外侵的片段,他们的外侵可以追溯到至少2002年。一名资深安全研究员Alex Lanstein说,仅位于美国加州的火眼公司(FireEye),在过去三年就追踪到数百名受害者,并估计“评论组”已攻击了1000多家组织。
网络情报官员说,信息被从律师事务所、投资银行、石油公司、药品制造商和高科技制造商的网络中盗走,数量之大,可能会对美国和欧洲的经济造成长期危害。
“地震来临'
九月份卸任的前杜邦公司首席安全官Ray Mislock说,“我们现在看到的是这些活动的震颤,但地震正在来临。”杜邦自2009年以来,至少被中国不明的黑客团体攻击过两次。
他说,“一个成功的企业无法承受长期知识的流失,那是其创造经济的实力”。
即使不上线也不安全。负责印度最大的烟草制造商ITC、65岁的商人Y.C. Deveshwar不使用电脑。去年,“评论组”黑客仍然成功地设法偷走了他的宝贵文件,他们专门攻击了Deveshwar私人助理使用的机器。
据日志显示,2011年7月5日,黑客访问了一系列文件,其中包括Deveshwar的家庭地址、税务登记和会议纪要,及给资深高管的信。他们试图打开一个题为“YCD信函”的文件,没有成功,于是黑客设立了一个在其助手下次登录时能窃取密码的程序。
保持安静
当彭博社5月份联系该公司时,该公司发言人Nazeeb Arif说,ITC没有意识到这种入侵,这令这些黑客可以在一年多里在ITC的网络上通行。Deveshwar在一份声明中说,“公司没有秘密的相关文件”保存在那台电脑里。
发现其网络被征用的公司,通常都会保持安静,不让公众、股东和客户意识到问题的严重性。彭博社接触了10个“评价组”攻击的受害者,那些获悉自己中招的公司选择不公开披露,其中3家公司说,直到彭博社与他们联络前,他们都不知道自己已遭到黑客入侵。
间谍工具
据安全专家说,“评论组”的一个标志是劫持低调的公共网站,来向受害者电脑发送命令,将这些妈妈和流行网站变成外国的间谍工具,但如果能发现这些网站,也能令“评论组”自身受到监视。
为戴尔(DELL)工作的研究员Joe Stewart,去年发现了被“评论组”黑客利用的一个软件漏洞。该漏洞原本被用来掩盖发送数据的最终目的地,但这一错误反而揭开了在数百个实例中,数据被送往上海的互联网IP地址。
与军方有关?
这些地址与维基解密公布的一份2008年美国国务院电报中的情报相吻合,即该黑客组织位于上海,并与中国的军方有关。商业研究人员还没有作出这样的联系。据两名前情报专家称,该电报的结论仍属机密。
Lanstein说,虽然“评论组”的伪装随着时间的推移在变,日志显示:例如,该团体中一些经验不足的黑客在重复犯同样的错误,这明确无误的表明这些特征来自单一的一个团体。他说,“评论组”使用的代码和工具是非公开的,任何使用者必是该黑客团体的成员。
2008年10月,当维基解密公布的外交电报概述了该组织的活动时,“评论组”袭击了国防承包商和国务院的网络,也特别入侵了美军系统。去年在维基解密的公布后,这些中国黑客组织改变了其秘密代码名称。
网络安全专家已发现该组织与一系列引人注目的黑客行动有关,从奥巴马和麦凯恩2008年在加州圣克拉拉的总统竞选记录,到加州网络安全公司McAfee去年记录的72名受害者。
攻破核电站网络
两名分析该攻击的专家称,此前不公开归因于该组织的其它攻击,包括一个始于2011年12月针对北美天然气制造商的行动,详细记录在美国国土安全部发布的一个4月份警报中。在另一起案件中,黑客首先盗取了一家核管理通讯用户的联系人列表,然后给他们发送含间谍软件的伪造电子邮件。
在该实例中,据熟悉该案一名要求匿名的人士透露,该黑客团体至少一次成功闯入了加州暗黑峡谷核电站(Diablo Canyon nuclear plant)计算机网络设施。
去年八月,该工厂的管理团队看到一个一直在网络安全专业人员中流传的匿名的网络帖子。据彭博社获得的一份内部报告,该帖子声称能确认正在被一个中国的黑客团体利用的网络域名,其中一个可能与暗黑峡谷核电站运营商-太平洋煤气电力公司的链接有关。
部分控制
目前尚不清楚这些信息是如何被弄到网上的,但据该报告,当该核电站调查时发现,其一名资深的核策划人员的电脑,至少部分在黑客的控制之下。内部调查警告说,黑客们在试图“确定美国核能发电设施的运作、组织和安全。”
据该报告,虽然他们还发现了几个以前感染的证据,研究人员得出的结论是,他们在早期就发现了这一问题,没有数据被盗的“确实迹象”。
大约在那段时间,黑客们在向美国核设施发送含有恶意软件的电子邮件,六名Wiley Rein 律师事务所的人被召集开紧急会议。据熟悉该调查情况的人士,六个人均被告知,该公司已遭到攻击,他们都是被攻击的目标。
律师文件
他们当中有Alan Price 和Timothy Brightbill。这些公司的合作伙伴和该国最知名的国际贸易律师,他们处理过一系列主要针对中国的反倾销和不公平贸易案件。
Wiley Rein公司的总法律顾问Dale Hausman说,他不能发表黑客入侵对该公司或客户有何影响的评论。他说,该公司此后加强了其网络安全。
他说,“鉴于这种做法的性质,它几乎是一项生意成本。这并不令人惊讶。”
给配偶的电邮
一名熟悉调查案情的人士介绍,该公司致电联邦调查局(FBI),联邦调查局派遣了一个网络调查队。“评论组”黑客将偷走的数据进行了加密,这一招使人更难识别他们偷走了什么数据。联邦调查局成功进行了解码。
这些数据包括数千页的电子邮件和文件,从律师与其配偶间的私人聊天,到与客户的保密通信。
研究人员去年夏天观察黑客敲击的键说,他们无法看到绝大多数被偷走的是什么,但很明显,这些间谍完全控制了该公司的电邮系统。
跟随危机
在一次又一次犯案中,黑客的踪迹纵横交错,涉及不同的地缘政治事件及全球头条新闻。去年夏天,当新闻专注于欧洲的金融危机,黑客就跟上了。
那个时间恰好与欧盟理事会主席范龙佩(Van Rompuy)同意对希腊的第二次救助计划相吻合。在接下来的10天,比利时首相主持了谈判,包括德国总理默克尔,欧洲领导人达成共识。
虽然在这些会谈中谈到了对范龙佩和其工作人员的监视,研究人员说,记录显示了广范的攻击,不是定时针对某个特定事件。这相当于网络窃听,旨在收集数周或数月以来的大量情报。
“意义重大”
前总统布什的国土安全顾问Richard Falkenrath说,中国已经成功地将有关外国的经济和投资政策的决策与情报搜集相整合。
他说,“这对世界各地跟使用这样条款的国家打交道,都有着重大意义。”
2011年7月8日开始,黑客的访问已经建立,他们有超过10天的时间,多次进入安理会网络。日志表明,间谍总是在当地时间上午9点左右由已建立的路线来访问。他们控制安理会的交换服务器,这给了他们运行电邮系统的可能。从那里,黑客可以打开范龙佩和其他人的帐户。
每周电邮
针对一个又一个受害者,间谍对其电子邮件和附加文件进行加密并压缩。看起来遵循同样的套路,他们每次会盗取一个星期有价值的电子邮件。其他目标包括当时的经济顾问和内阁副组长奥迪尔雷诺 - 巴索,和欧盟反恐协调员。还不清楚在研究人员监控黑客行动开始之前,黑客已经潜伏在安理会网络有多久了,也不清楚黑客的活动从去年七月底后又持续了多久。
没有迹象显示黑客侵入安理会脱机系统里的秘密文件。 “绝密信息和其他敏感内部信息的处理是单独的,在专用网络上,该局新闻办公室在一份声明中说。
欧盟针对系统被攻破做了什么还不清楚。范龙佩的发言人德克·德靠山,拒绝对此事发表评论。另一位在欧盟理事会新闻办公室的官员也拒绝评论。在去年七月下旬加入欧盟安全团队的研究人员被提供了信息,这将有助于查明黑客的踪迹,一名研究人员说道。
“不知道”
外事首席顾问Zoltan Martinusz是彭博社找到的两名受害人之一,他说,“我没有这方面的知识。”另一位官员没有被授权讨论内部安全,也不想泄露自己的姓名,他获悉,去年已有黑客访问了他的电子邮件。
研究人员说,记录显示,黑客如何使用相同的简单攻击线。通过带有恶意软件的电子邮件,他们迅速通过网络,获取加密的口令,破解编码脱机,然后返模仿该组织自己的网络管理员。黑客出入这个网络,有时甚至超过1个月。
用这种方法,就躲避了该组织花费数百万美元的网络案例保护。
220个文件
2011年6月29日,黑客选定同在一个地方的所有数据,共220个文件,包括PDF、电子表格、照片和该组织对中国的整个工作计划。日志显示,当他们完成后,又将其分成几个加密压缩文件,使得转移这些数据离开网络时,不会太招眼。
身为IRI的发言人莉萨·盖茨证实,她的组织遭到黑客攻击,出于对工作组的工作人员安全的关切,她拒绝评论其计划在中国的影响。拨款文件记录了包括支持中国独立候选人的活动,那些人经常遭到中国当局的骚扰。
针对这些黑客工作的描述,日志也显示,即使涉及敏感的政府网络,他们可以对事件做出灵活的反应。黑客去年7月18日访问了加拿大移民难民局的网络,黑客的目标是Leeann King的计算机,她是温哥华的移民评判。
早些时间,Leeann King因暂时释放了身处长期引渡案中的赖昌星,而在将近一周的时间内占据了新闻的头条。赖昌星1999年逃往加拿大,其后一直被中国当局追捕。
侵入法院帐户
公司总部位于美国弗吉尼亚州阿灵顿的Cyber Squared公司独立跟踪表明,他们获得了一些与研究人员相同的黑客活动记录,他们监测到黑客迅速打入King的帐户。黑客开始通过获取多伦多计算机访问权限,然后将用户密码进行解密,最终获得IRB温哥华的网络访问权限。
董事会的一位发言人梅丽莎·安德森说,官员除了对此类事件进行全面调查以外,无可奉告。赖昌星最终上诉失败,于2011年7月23日被遣送回中国。他被逮捕、审判,中国法院今年5月判处他终身监禁。
控制网络
据该组织的一名成员说,目前还不清楚研究人员联系了多少家机构,但这些案件中,只有一家受害公司已知道被入侵。哈里伯顿公司的官员表示,他们意识到入侵,并与联邦调查局合作。这家公司发言人拒绝对此事发表评论。
去年夏天,黑客入侵痕迹指向了一些不大可能的地点,其中包括离纽约大中央车站2街区的Pietro意大利餐厅。这个餐厅开业于1932年,在暗淡、老式饭厅里,客人可以选择28美元的扁蛤蜊酱(红色或白色)。黑客组织在去年某个时候,停止利用该餐厅网站与被黑的网络沟通,火眼(FireEye)公司的Lanstein发现,黑客们留下的痕迹依然存在。
“丑陋的大猩猩”
他说,餐厅网站的网页代码中隐藏的是一个简单命令:ugs12。他解释说,这个命令会让一些受害者计算机休眠12分钟,然后再回来。 “UG”代表“丑陋的大猩猩,安全专家认为这是该黑客组织中一个性情急躁成员的特别绰号,任何人可以看到,黑客来过这里,Lanstein说道。
当他被告知他的网站已成为中国黑客团队全球基础设施的一部分时,餐厅老坂 Bruckman开玩笑说,“我们做的不错,黑客都想来我们这!”
Bruckman说,他对网站被攻破一无所知。几位朋友,大约于半年前告诉他,访问该网站时遇到困难,但他从来没有想通问题是什么。
稍后,Bruckman抽着烟,一本正经地说,“想想所有这些努力和信息将会付诸东流。真是一种浪费,你知道我的意思吗?“
(来源: 看中国, 2012-07-28)
