【新唐人2013年2月16日讯】(新唐人记者韦青一综合报导)《彭博商业周刊》14日报导,戴尔(Dell)知名的恶意软件研究部门总监乔·斯图尔特(Joe Stewart)和另一位网络侦探,通过长期追踪,揭密了一位中国军方黑客的真实身份。这位名叫“张长河”的黑客,能自由侵入驻华使馆、外国政府、驻华大型企业和媒体等的网站。斯图尔特认为,像“张长河”这样的黑客是中共更庞大黑客组织的一部分。
据《彭博商业周刊》报导,业内知名的网络安全专家、戴尔(Dell)恶意软件研究部门总监乔·斯图尔特(Joe Stewart)2011年开始捕捉来自中国的恶意软件,寻找对这些恶意软件的防范对策。
斯图尔特指出,互联网充斥着大量来自中国的恶意软件,这些恶意软件瞄准世界500强企业、高科技创业公司、政府机构、大使馆、大学、新闻机构、律师事务所等。在中国有巨大的人力资源在做这样的事情。
黑客露破绽
2011年3月, 斯图尔特发现了一个与众不同的恶意软件,于是开始调查和这些可疑代码相关的指令。他注意到自从2004年以来,用Tawnya Grilth 或Eric Charles名字注册的数十个指令,都列出了相同的Hotmail账号。
斯图尔特通过技术手段发现,使用同一套恶意软件的多个黑客,注册地址都归中国最大的网络营运商之一—中国联通所有。斯图尔特跟踪许多黑客攻击时,不断接触到这些地址,因此他认为,中国两个最顶级的数码间谍组织在利用这些地址。
经过跟踪监视,斯图尔特在2012年1月找到了世界各地受黑客攻击的电脑,许多电脑属于越南、汶莱、缅甸等国政府,以及外国驻华使馆、石油公司、传媒机构、核安全机构等。斯图尔特说,他从未见过这样大规模攻击东南亚国家的黑客行动。
随后,斯图尔特又通过TawnyaGrilth及其注册的email地址[email protected]进行了更广泛的搜索。他又发现,一个email地址当中列出了xxgchappy的句柄。接着,从新的email中,他又找到了更多的线索,包括关于恶意软件网络论坛的帖子和一个域名为rootkit.com的网站。该网站是一个恶意软件的集散地。
接下来,斯图尔特发现了更不寻常的信息。其中一个域名竟是用作实体商务活动的,这一商务活动收费为客户在推特和脸书之类的社交网站,提供“like”(赞)这类的点击。斯图尔特在黑客论坛BlackHatWorld 上找到了名为Tawnya 的个人信息页面(profile) 。这个profile上在宣传一个网站和一个PayPal账号,该账户收费并把钱转到一个Gmail账号。该账号所有者姓“张”。斯图尔特很吃惊:黑客竟将他的私生活暴露到这种程度。最后,斯图尔特完成了一份长达19页的报告。
这份报告在安全领域引起了人们的兴趣,因为通常很难发现关于黑客身份的蛛丝马迹。
网络侦探接力
斯图尔特的工作激起了另一名网络侦探的浓厚兴趣,这位侦查者网名为Cyb3rsleuth。他认为,公开黑客身份会帮助政府对黑客采取行动,于是决心揭开这位张姓黑客的神秘面纱。
随着Cyb3rsleuth的继续追踪,通向这位神秘黑客世界的窗户更加敞亮了。 Cyb3rsleuth陆续在一个汽车论坛上发现了有关的帖子,在一个中国黑客网站上发现了一个账号,还有个人照片,其中一张照片显示的是,在一个貌似旅游景点的地方,一名年轻男子和一位女子迎风站在一起,背景是一座宝塔(见以上网站截图)。
Cyb3rsleuth继续追踪这名黑客是怎样通过化名和与hotmail账号有关的论坛,来收费提供社交网站点击服务的。 Cyb3rsleuth又偶然间发现,这名黑客还经营了另一份生意,这份生意还有具体的地点。根据企业名录和网上推销的帖子,这家公司名叫“河南手机网”(Henan Mobile Network),该公司是一个手机批发商。这家商店的网站是用Jeno Hotmail 账号和Eric Charles 这一化名注册的。
Cyb3rsleuth从网上的中国技术企业名录中寻找,找到了这家公司的电话号码,联系人叫“张先生”,地址在河南省郑州市。这个企业名录还给出了3个QQ账号,其中一个账号使用了几个带xxgchappy句柄的email 地址。该账号中“张先生”的职业被列为“教育”。
Cyb3rsleuth再通过中国的搜索引擎搜索这个email,发现它也在Kaixin001.com网站上注册了,账号属于郑州的“张长河”,个人页面头像是一朵盛开的莲花。 Cyb3rsleuth又发现了其他的QQ账号与Changhe同音,但用的是不同的汉字。
Cyb3rsleuth在个人博客上公布了他的调查成果,他说他揭开了一个“幽灵”的真面目。
黑客神秘面纱揭开
“张先生”公开的手机生意地址是郑州市“中原通讯数码城”4层A402。“中原通讯数码城”是一座7层大楼,位于郑州中心火车站以南500米。大楼内都是出售电子产品的小商家。 《彭博商业周刊》的记者走访了第4层的店铺,里面的人说不认识“张长河”,也不知道“河南手机网”,A420以前的租户3年前就搬走了,店主很少来,不清楚他们做什么生意。
通过谷歌搜索的结果显示,2005年以来,“张长河”同他人一起写过几篇和电脑情报活动有关的文章。 2007年他还参与过高级黑客技术–窗口系统恶意软件(Windows rootkit)的研究。文章署名显示,“张长河”在解放军信息工程大学工作。该大学隶属解放军总参谋部。彭博社记者曾根据“张长河”QQ账户上的手机号联系到他本人,他承认是该大学的教师。
由于解放军信息工程大学不能随意进入,“张长河”网络攻击的线索就此中断。
去年,斯图尔特蒐寻攻击俄罗斯、乌克兰政府机构的恶意软件时,发现有一个恶意软件反馈到一个在AlexaUp.info域名的指令。那儿注册用的付费姓名也是“张长河”。
斯图尔特认为,像张长河这样的黑客是中国更庞大黑客组织的一部分,因此“人肉”出更多这样的黑客也会更容易。他说,只要能够拿出足够的证据,中共当局最终就难以否认参与了这些活动。