外媒罕見曝光一中共軍方黑客真實身份

Facebook

【新唐人2013年2月16日訊】(新唐人記者韋青一綜合報導)《彭博商業周刊》14日報導,戴爾(Dell)知名的惡意軟件研究部門總監喬·斯圖爾特(Joe Stewart)和另一位網絡偵探,通過長期追踪,揭密了一位中國軍方黑客的真實身份。這位名叫「張長河」的黑客,能自由侵入駐華使館、外國政府、駐華大型企業和媒體等的網站。斯圖爾特認為,像「張長河」這樣的黑客是中共更龐大黑客組織的一部分。

據《彭博商業周刊》報導,業內知名的網絡安全專家、戴爾(Dell)惡意軟件研究部門總監喬·斯圖爾特(Joe Stewart)2011年開始捕捉來自中國的惡意軟件,尋找對這些惡意軟件的防範對策。

斯圖爾特指出,互聯網充斥著大量來自中國的惡意軟件,這些惡意軟件瞄準世界500強企業、高科技創業公司、政府機構、大使館、大學、新聞機構、律師事務所等。在中國有巨大的人力資源在做這樣的事情。

黑客露破綻

2011年3月, 斯圖爾特發現了一個與眾不同的惡意軟件,於是開始調查和這些可疑代碼相關的指令。他注意到自從2004年以來,用Tawnya Grilth 或Eric Charles名字註冊的數十個指令,都列出了相同的Hotmail帳號。

斯圖爾特通過技術手段發現,使用同一套惡意軟件的多個黑客,註冊地址都歸中國最大的網絡營運商之一—中國聯通所有。斯圖爾特跟蹤許多黑客攻擊時,不斷接觸到這些地址,因此他認為,中國兩個最頂級的數碼間諜組織在利用這些地址。

經過跟蹤監視,斯圖爾特在2012年1月找到了世界各地受黑客攻擊的電腦,許多電腦屬於越南、汶萊、緬甸等國政府,以及外國駐華使館、石油公司、傳媒機構、核安全機構等。斯圖爾特說,他從未見過這樣大規模攻擊東南亞國家的黑客行動。

隨後,斯圖爾特又通過TawnyaGrilth及其註冊的email地址jeno_1980@hotmail.com進行了更廣泛的搜索。他又發現,一個email地址當中列出了xxgchappy的句柄。接著,從新的email中,他又找到了更多的線索,包括關於惡意軟件網絡論壇的帖子和一個域名為rootkit.com的網站。該網站是一個惡意軟件的集散地。

接下來,斯圖爾特發現了更不尋常的信息。其中一個域名竟是用作實體商務活動的,這一商務活動收費為客戶在推特和臉書之類的社交網站,提供「like」(贊)這類的點擊。斯圖爾特在黑客論壇BlackHatWorld 上找到了名為Tawnya 的個人信息頁面(profile) 。這個profile上在宣傳一個網站和一個PayPal帳號,該帳戶收費並把錢轉到一個Gmail帳號。該帳號所有者姓「張」。斯圖爾特很吃驚:黑客竟將他的私生活暴露到這種程度。最後,斯圖爾特完成了一份長達19頁的報告。

這份報告在安全領域引起了人們的興趣,因為通常很難發現關於黑客身份的蛛絲馬跡。

網絡偵探接力

斯圖爾特的工作激起了另一名網絡偵探的濃厚興趣,這位偵查者網名為Cyb3rsleuth。他認為,公開黑客身份會幫助政府對黑客採取行動,於是決心揭開這位張姓黑客的神秘面紗。

隨著Cyb3rsleuth的繼續追踪,通向這位神秘黑客世界的窗戶更加敞亮了。 Cyb3rsleuth陸續在一個汽車論壇上發現了有關的帖子,在一個中國黑客網站上發現了一個帳號,還有個人照片,其中一張照片顯示的是,在一個貌似旅遊景點的地方,一名年輕男子和一位女子迎風站在一起,背景是一座寶塔(見以上網站截圖)。

Cyb3rsleuth繼續追踪這名黑客是怎樣通過化名和與hotmail帳號有關的論壇,來收費提供社交網站點擊服務的。 Cyb3rsleuth又偶然間發現,這名黑客還經營了另一份生意,這份生意還有具體的地點。根據企業名錄和網上推銷的帖子,這家公司名叫「河南手機網」(Henan Mobile Network),該公司是一個手機批發商。這家商店的網站是用Jeno Hotmail 帳號和Eric Charles 這一化名註冊的。

Cyb3rsleuth從網上的中國技術企業名錄中尋找,找到了這家公司的電話號碼,聯繫人叫「張先生」,地址在河南省鄭州市。這個企業名錄還給出了3個QQ帳號,其中一個帳號使用了幾個帶xxgchappy句柄的email 地址。該賬號中「張先生」的職業被列為「教育」。

Cyb3rsleuth再通過中國的搜索引擎搜索這個email,發現它也在Kaixin001.com網站上註冊了,帳號屬於鄭州的「張長河」,個人頁面頭像是一朵盛開的蓮花。 Cyb3rsleuth又發現了其他的QQ帳號與Changhe同音,但用的是不同的漢字。

Cyb3rsleuth在個人博客上公佈了他的調查成果,他說他揭開了一個「幽靈」的真面目。

黑客神秘面紗揭開

「張先生」公開的手機生意地址是鄭州市「中原通訊數碼城」4層A402。「中原通訊數碼城」是一座7層大樓,位於鄭州中心火車站以南500米。大樓內都是出售電子產品的小商家。 《彭博商業周刊》的記者走訪了第4層的店鋪,裏面的人說不認識「張長河」,也不知道「河南手機網」,A420以前的租戶3年前就搬走了,店主很少來,不清楚他們做什麼生意。

通過谷歌搜索的結果顯示,2005年以來,「張長河」同他人一起寫過幾篇和電腦情報活動有關的文章。 2007年他還參與過高級黑客技術–窗口系統惡意軟件(Windows rootkit)的研究。文章署名顯示,「張長河」在解放軍信息工程大學工作。該大學隸屬解放軍總參謀部。彭博社記者曾根據「張長河」QQ賬戶上的手機號聯繫到他本人,他承認是該大學的教師。

由於解放軍信息工程大學不能隨意進入,「張長河」網絡攻擊的線索就此中斷。

去年,斯圖爾特蒐尋攻擊俄羅斯、烏克蘭政府機構的惡意軟件時,發現有一個惡意軟件反饋到一個在AlexaUp.info域名的指令。那兒註冊用的付費姓名也是「張長河」。

斯圖爾特認為,像張長河這樣的黑客是中國更龐大黑客組織的一部分,因此「人肉」出更多這樣的黑客也會更容易。他說,只要能夠拿出足夠的證據,中共當局最終就難以否認參與了這些活動。

相關文章