反谍洲际追踪 中国军方背景黑客现形(上)
【betway必威体育官网 记者林雅丽编译】彭博社7月26日(周四)发表了一篇题为“从欧盟到华府,与中国军方有关的黑客现形(Hackers Linked to China’s Army Seen From EU to D.C)”的文章,以下为译文:
依据一份黑客活动的电脑记录,去年布鲁塞尔时间7月18日上午9点23分,黑客们开始了行动。在仅仅14分钟的键盘快速操作中,他们挖走了欧盟理事会主席Herman Van Rompuy的电子邮件。他是领导欧洲微妙政治救助希腊的关键人物。
去年7月份有超过10天,黑客们四次返回欧盟理事会的计算机,获取了11名欧盟经济、安全和外交事务官员的内部通信。这些侵害可能令入侵者看到对欧洲金融危机不加掩饰的看法。
而这些间谍自己也在受到监视。约30名北美私人保安研究人员在一起秘密工作,追踪一个在中国最大、最繁忙的黑客团伙。
美国情报部门多年的观察发现,这一被戏称为“拜占庭式的坦率(Byzantine Candor)”的黑客团队,在安全圈子内也被称为“评论组”,因为他们侵入计算机的典型方式,是利用隐藏的被称作“评论”的网页代码。
在去年近两个月的监测中,研究人员们说,这些黑客攻击规模之庞大令人吃惊,受害者一个接一个:从油田服务领域的领军公司哈里伯顿(Halliburton Co. ),到华盛顿的威利马勒律师事务所(Wiley Rein LLP);从加拿大涉及一个敏感的中国引渡案件的法官,到加尔各答的烟草公司(ITC)
收集的秘密
研究人员核实了20名受害者 – 他们当中很多机构都拥有可有助中国努力成为全球最大经济组织的秘密。这些被攻击目标包括在寻求商业起诉中国一些出口商的律师,及一家准备在中国声称的海域内准备钻探的能源公司。
“通常公众听到的是 - 信用卡号码被盗,有人攻击了LinkedIn -这只是冰山的一角,非保密的东西”,前联邦调查局执行助理主任Shawn Henry说,“我一直在坐潜艇围绕着这座冰山。这是我们所见过的最大的、吸取美国专有数据的行动。这是一台机器。”
研究人员利用了这些黑客的一个安全漏洞,创建了一个数字日志,记录下入侵者的一举一动:他们蹑手蹑脚地进入网络,关闭防病毒系统,把自己伪装成系统管理员,及掩盖他们的踪迹,令受害者无法查觉。
一举一动
据一名熟悉在圣安东尼奥的空军特别调查办公室的人士消息,这些每一分钟的记录,展开了一个在日常事务中从未讲述的故事,一个团体无情的猛烈攻击能如此成功,令该办公室的一个网络组致力于进行追踪。
这些日志 - 记录了黑客给受害者电脑发出的命令 - 也揭示了该团体背后具有高度的组织性。据维基解密公布的一份2008年的外交电报,“拜占庭式的坦率”与中国的解放军有关。两名前情报官员证实了该文件的实质内容。
黑客与间谍
中国抢劫技术和数据背后使用的方法,及绝大多数受害者,十多年来都处在一个黑客与间谍的阴暗世界。在美国,只有一个通过安全背景调查的调查者群体能完全知晓。
“直到我们可以用一种透明的方式对话,我们将很难解决这一问题”,前国土安全部的国家网络安全部门主任Amit Yoran说。
Yoran现在在为总部位于美国麻省的RSA信息安全公司工作。该公司去年遭到中国一些黑客团体的攻击。他说,“我只是不知道,美国对此是否做好了准备。”
《华尔街日报》7月19日刊登的一篇文章中,奥巴马总统警告说,“网络威胁是我们国家面临的最严重的经济和国家安全的挑战之一。”国家安全局局长Keith Alexander十天前在华盛顿的一个讲话中说:网络间谍构成了“历史上最大的财富转移”,并列举了全球每年各公司用于自我保护的开销是1万亿美元。
收获的秘密
据要求匿名、并拒绝透露更多细节的计算机安全专家说,被收获走的秘密包括:各大石油公司网络上标有石油储备的地震地图;专利律师事务客户的商业秘密;可能影响到国企全球性企业的投资银行的市场分析。
据政府调查人员和保安公司得来的消息,私人研究人员已确定了有10至20个中国的黑客团体,但称他们的活动和规模有显著不同。
与众不同的“评论组”
令“评论组”与众不同的是它疯狂的运作频率。据事故报告和对调查人员的采访,去年夏天的攻击记录代表了“评论组”外侵的片段,他们的外侵可以追溯到至少2002年。一名资深安全研究员Alex Lanstein说,仅位于美国加州的火眼公司(FireEye),在过去三年就追踪到数百名受害者,并估计“评论组”已攻击了1000多家组织。
网络情报官员说,信息被从律师事务所、投资银行、石油公司、药品制造商和高科技制造商的网络中盗走,数量之大,可能会对美国和欧洲的经济造成长期危害。
“地震来临'
九月份卸任的前杜邦公司首席安全官Ray Mislock说,“我们现在看到的是这些活动的震颤,但地震正在来临。”杜邦自2009年以来,至少被中国不明的黑客团体攻击过两次。
他说,“一个成功的企业无法承受长期知识的流失,那是其创造经济的实力”。
即使不上线也不安全。负责印度最大的烟草制造商ITC、65岁的商人Y.C. Deveshwar不使用电脑。去年,“评论组”黑客仍然成功地设法偷走了他的宝贵文件,他们专门攻击了Deveshwar私人助理使用的机器。
据日志显示,2011年7月5日,黑客访问了一系列文件,其中包括Deveshwar的家庭地址、税务登记和会议纪要,及给资深高管的信。他们试图打开一个题为“YCD信函”的文件,没有成功,于是黑客设立了一个在其助手下次登录时能窃取密码的程序。
保持安静
当彭博社5月份联系该公司时,该公司发言人Nazeeb Arif说,ITC没有意识到这种入侵,这令这些黑客可以在一年多里在ITC的网络上通行。Deveshwar在一份声明中说,“公司没有秘密的相关文件”保存在那台电脑里。
发现其网络被征用的公司,通常都会保持安静,不让公众、股东和客户意识到问题的严重性。彭博社接触了10个“评价组”攻击的受害者,那些获悉自己中招的公司选择不公开披露,其中3家公司说,直到彭博社与他们联络前,他们都不知道自己已遭到黑客入侵。
间谍工具
据安全专家说,“评论组”的一个标志是劫持低调的公共网站,来向受害者电脑发送命令,将这些妈妈和流行网站变成外国的间谍工具,但如果能发现这些网站,也能令“评论组”自身受到监视。
为戴尔(DELL)工作的研究员Joe Stewart,去年发现了被“评论组”黑客利用的一个软件漏洞。该漏洞原本被用来掩盖发送数据的最终目的地,但这一错误反而揭开了在数百个实例中,数据被送往上海的互联网IP地址。
与军方有关?
这些地址与维基解密公布的一份2008年美国国务院电报中的情报相吻合,即该黑客组织位于上海,并与中国的军方有关。商业研究人员还没有作出这样的联系。据两名前情报专家称,该电报的结论仍属机密。
Lanstein说,虽然“评论组”的伪装随着时间的推移在变,日志显示:例如,该团体中一些经验不足的黑客在重复犯同样的错误,这明确无误的表明这些特征来自单一的一个团体。他说,“评论组”使用的代码和工具是非公开的,任何使用者必是该黑客团体的成员。
2008年10月,当维基解密公布的外交电报概述了该组织的活动时,“评论组”袭击了国防承包商和国务院的网络,也特别入侵了美军系统。去年在维基解密的公布后,这些中国黑客组织改变了其秘密代码名称。
网络安全专家已发现该组织与一系列引人注目的黑客行动有关,从奥巴马和麦凯恩2008年在加州圣克拉拉的总统竞选记录,到加州网络安全公司McAfee去年记录的72名受害者。
攻破核电站网络
两名分析该攻击的专家称,此前不公开归因于该组织的其它攻击,包括一个始于2011年12月针对北美天然气制造商的行动,详细记录在美国国土安全部发布的一个4月份警报中。在另一起案件中,黑客首先盗取了一家核管理通讯用户的联系人列表,然后给他们发送含间谍软件的伪造电子邮件。
在该实例中,据熟悉该案一名要求匿名的人士透露,该黑客团体至少一次成功闯入了加州暗黑峡谷核电站(Diablo Canyon nuclear plant)计算机网络设施。
去年八月,该工厂的管理团队看到一个一直在网络安全专业人员中流传的匿名的网络帖子。据彭博社获得的一份内部报告,该帖子声称能确认正在被一个中国的黑客团体利用的网络域名,其中一个可能与暗黑峡谷核电站运营商-太平洋煤气电力公司的链接有关。
(阅历下半部分)
(译文有删节,点击看原文)