原文:Hackers Linked to China’s Army Seen From EU to D.C.
作者:Michael Riley and Dune Lawrence
日期:2012年7月26日
去年,黑客分秒不差的在布魯塞爾時間7月18日上午9時23分入侵了,並開始他們的任務。根據一部電腦對黑客活動的記錄,他們在僅僅14分鐘內,便挖出了
主理救助希臘這一微妙政治問題的關鍵人物—歐洲聯盟理事會主席赫爾曼·範龍佩(Herman Van Rompuy)的電郵。
在去年7月的10天時間內,黑客四度入侵理事會的電腦,藉以取得執掌歐盟經濟,安全和外交事務的官員中的11位的內部通信。這一直至最近才公報告的入侵,可能讓入侵者得以看到官員對困擾歐洲的金融危機的真正看法。
那些間諜自己也受到監視。約30北美私人保安研究人員一起暗中工作,追踪中國最大、最繁忙的黑客團伙之一。
美國情報部門戲稱這個他們觀察多年的黑客團隊為“拜占庭式的坦率”,在[電腦]安全圈子內,這個團隊則以其使用名為“意見”的隱藏網頁計算機代碼為入侵電腦的特有方式而有“意見組”之稱。
在去年近2個月的監測期間,研究人員說,看著數據從一個接著一個受害者—油田服務領域的領導哈里伯頓公司
(HAL)、華盛頓律師事務所威利馬勒律師事務所、加拿大一名涉及一宗敏感的中國引渡案件的裁判官、以至到加爾各答的煙草和技術集團國際貿易中心有限公司
(ITC)—流出,“黑客”的工作規模之巨使他們吃驚。
收集秘密
研究人員總共發現了20個受害者—其中許多機構擁有可以給力爭成為世上最大經濟體的中國帶來優勢的秘密。黑客的目標包括向該國出口商尋求貿易賠償的律師和準備在中國聲稱為其所有的海域鑽探的能源公司。
“市民聽到的—信用卡號碼被盜,有人入侵了LinkedIn(LNKD)—只是冰山一角,一些非保密的東西,主理該機構、在今年早些時候從聯邦調查局離職
前出任網絡部門前執行助理主任的肖恩·亨利 (Shawn Henry)
說:“我一直在潛艇內環繞著這座冰山。這是我們見過最大規模的美國專有數據抓取。這是一台機器。”
研究人員利用黑客的一個安全漏洞創建了一個數字日記,在入侵者躡手躡腳進入網絡、關閉防病毒系統、偽裝成系統管理員並掩蓋踪跡,使受害者幾乎無從發現他們的時候,記錄下黑客的一舉一動。
一舉一動
那些每一分每一秒的記錄展示了一個黑客組織前所未聞的工作日程和無情的攻擊。這組織是這樣的成功,以至成為聖安東尼奧空軍特別調查辦公室的網絡單位的專門追踪對象,一位熟知那單位的人如是說。
那些日誌既記錄了黑客對受害者電腦所下的指令,也揭示了一個人們認為比任何組織都要接近中國龐大黑客產業巔峰的群組那高度組織的努力。根據2008年維基解密公佈的外交電報,“拜占庭式的坦率”與中國軍方,即人民解放軍有關。兩名前情報官員核證了文件的內容。
黑客和間諜
在超過十年的時間內,以中國為基地的黑客對技術和數據的掠奪方法仍然藏於黑客和間諜的陰暗世界,大多數受害者也無人知曉。在美國只有少數擁有機密許可的調查員對情況了然於心。
國土安全部的國家網絡安全科前主任Amit Yoran說:“在我們可以用一種透明的方式來開展這一對話之前,要解決問題是很難的。”
Yoran現在任職的RSA信息安全公司,總部位於美國馬薩諸塞州貝德福德,在去年受到中國的黑客團隊入侵。 “我只是不肯定美國準備好了沒有,”他說。
美國情報官員用日益可怕的語言來提醒人們說,在最初只針對軍方和國防項目承包商的攻擊已經擴大為地圖炮式轟炸,沒有任何法人實體是安全的。
奧
巴馬總統在7月19日於華爾街日報發表的文章中在警告說,“我們國家受到的網絡威脅是我們面臨最嚴峻的經濟和國家安全挑戰之一。”在那之前10天,國家安
全局局長基思·亞歷山大(Keith
Alexander)在華盛頓發言說,網絡間諜構成“歷史上最大的財富轉移”,並指出全球公司在保護自己方面的開支為每年1萬億美元。
收集秘密
據一些要求不透露姓名,並拒絕透露更多細節的電腦安全專家所言,黑客侵入了各大石油公司的網絡以收集繪有石油儲藏資料的地質圖;侵入專利律師事務所的網絡,以取得他們客戶的商業秘密;而侵入投資銀行網絡則是為了獲取攸關國有企業環球業務的市場分析。
此前,中國外交部已駁斥國家資助網絡間諜的指控為毫無根據,並表示如有這類事件曝光,政府將嚴厲打擊。被問及這個報導時,外交部援引早期的聲明,再次駁斥了。
根據政府調查員和安全公司透露,私人研究人員已經確認了10至20個中國黑客群組,他們彼此的活動和規模顯著不同。
群組間的差異
“意
見組”和同類組織的不同點在於其疾風暴雨的運作步伐。根據事故報告和調查員採訪所得,去年夏天的攻擊記錄反映了“意見組”那至少可追溯到2002年的征服
片段。單是位於加州米爾皮塔斯市的火眼公司(FireEye)便追踪了數百名過去三年中的受害者,並估計該集團已入侵了超過1000個組織,高級安全研究
員Alex Lanstein 說。
從律師事務所、投資銀行、石油公司、藥品製造商和高科技製造商等被盜的信息,其數量之巨,以至網絡情報官員要說這可能對美國和歐洲經濟造成長期危害。
“地震將臨”
自2009年以來至少兩次已經被不明身份的中國黑客團隊入侵的杜邦公司,其於[去年]九月卸任的首席安全官Ray Mislock說:“我們現在看到的是該活動的震顫,但地震要來了” 。
“長期喪失可以創造經濟實力的知識是一個成功企業無法承受的,”他說。
即使那些離線的都不安全。 印度最大捲菸製造商ITC的負責人,65歲的Y.C. Deveshwar,是個不使用電腦的商人。去年“意見”黑客還是進入了集團的巨大網絡,找出Deveshwar 個人助手使用的電腦,成功偷了他寶貴的文件。
根據日誌,那些盜賊在2011年7月5日取得的文件包括Deveshwar的家庭地址,稅務登記,會議紀要,以及發給其他公司高層的信件,如位於倫敦的英
美煙草公司(BAT)的主席Richard Burrows 和該公司的總裁Nicandro
Durante。那些黑客試圖打開一個題為“YCD信件集”的檔案,但不成功,於是他們設立了一個程式,在Deveshwar的助手下一次登入時竊取密
碼。
保持沉默
當彭博社在今年五月聯繫那公司時,其發言人Nazeeb Arif 說,ITC對黑客入侵並不知情,那表示黑客在ITC的網絡出入自如可能一年有多了。Deveshwar 在一份聲明中說,在那電腦上保存的檔案 “沒有和公司有關的機密文件”。
那些發現網絡被入侵的公司大多保持安靜,公眾、股東和客戶因而意識不到問題的嚴重性。彭博接觸的10個“意見組”受害者當中,那些得知黑客入侵的選擇不公開披露,而三家受害機構則說,在本報接觸他們之前,他們對被黑客入侵並不知情。
這個取材自研究員日誌的“意見組”記錄,也依據在職及前任情報官員、受害者、以及十多名美國網絡安全專家的採訪,那些安全專家當中有許多在獨立追踪那個群組。
私家偵探
提供電腦記錄誰的研究人員要求不公開姓名,理由是那些包括受害者名字的數據很敏感。他是個由20個機構派員組成的協作的一份子,其他成員來自私營保安公
司、大學、互聯網服務供應商和被盯上的公司,包括國防承包商和製藥公司。該小組的成員包括一些領域內的頂尖專家,亦即一些曾調查以美國政府、大型企業和達
賴喇嘛等知名政治目標為對象的網絡間碟個案的人。
由於對企業和非政府團體的攻擊在過去五年激增,私人安全專家加入了黑客狩獵,他們說,他們正在逐步趕上著手處理這問題已經十年的美國反間諜機構。
間諜工具
根
據安全專家的說法,“意見組”的一個特有手法是入侵不令人生疑的公共網站,從而將指令發送到受害者電腦,使以家長對象的網站變為外國間諜工具,同時也允許
該組監測有關網站有否被識破。被“意見組”下手的包括一位南德州高中教師所有,寫著“電腦棒呆了”的網站,和愛達荷州博伊西城外飆車場的網站。
在計算機技術公司戴爾電腦(DELL)的分公司,亞特蘭大的Dell SecureWorks任職的研究員Joe
Stewart,在去年發現了“意見組”黑客所用軟件的一個漏洞,為拼圖加上了重要的一塊。那個漏洞使本來旨在掩飾的竊取數據的最終目的地的設計失效,相
反地,它好幾百次顯露了黑客把被竊數據送往上海一個互聯網協議(IP)地址。
和軍方有關?
那個位置和維基解密公佈的[美國]國務院2008年電文內的情報吻合。有關電文把那個群組鎖定在上海,並將之和中國軍方聯繫。私營公司的研究員還沒能得出那種關聯。據兩個前情報專家的講法,該電報所做結論的依據,包括美國自己的間諜活動,仍屬機密。
Lanstein說,“意見組”的偽裝雖然隨著時間推移而改變—比如日誌顯示組內一些經驗不足的黑客重複犯錯—那個組的特點是明確無誤的。“意見組”使用的代碼和工具是不公開的,任何使用那些的人必然是加入了黑客的行列。
在2008年10月,維基解密公佈概述了該組織活動的外交電報時,“意見組”曾搜查國防承包商和國務院的網絡,以及密集入侵美軍系統。在去年那次洩漏之後, 指代中國黑客隊伍的機密暗號改變了。
在一個名為黑幕鼠的行動中,網絡安全專家已把“意見組”和一系列成了頭條新聞的黑客入侵—如2008年競選總統的奧巴馬和約翰·麥凱恩、以及去年加州聖克拉的安全公司McAfee紀錄的72個受害者等—連上關係。
入侵核設施
兩位分析攻擊專家說,其他此前沒公開歸因於“意見組”的攻擊包括自2011年12月開始針對北美天然氣生產商的行動,在4月時由國土安全部發出的警告列明細節;在另一宗案件中,黑客首先偷取核能管理公司的通訊用戶聯繫人列表,然後向他們發出藏有間諜軟件的偽造電子郵件。
據一位熟知細節但要求不透露姓名的人說,在那一事例中,“意見組”成功闖入了至少一個核設施的計算機網絡,聖巴巴拉北面霍斯格理斷層(Hosgri fault)旁的代阿布洛峽谷核電站。
根據彭博社獲得的一份內部報告指出,該核電廠的事故管理團隊在去年八月看到一個網絡安全專業人員之間流傳的匿名互聯網帖子之後,聲稱確認了一個中國黑客群組使用的網域,其中包括一個可能和代阿布洛核電廠運營商太平洋煤氣和電力公司有關。
部分失控
目前還不清楚有關信息如何上載到互聯網,但根據該報告,核電廠在調查時發現一位資深核電廠策劃者的電腦至少是部分處於黑客的控制下。該內部調查警告說,黑客試圖“掌握美國核能發電設施的運作,組織和安全資料。”
根據該報告,研究人員的結論是,他們已及早發現了入侵,並且“沒有堅實的跡象”顯示數據被竊,儘管他們還發現了幾個先前的感染證據。
PG&E公司的發言人Blair Jones以核電廠安全為由拒絕對此發表評論。
大約在黑客發送附有惡意軟件的電子郵件到美國核設施的時候,Wiley
Rein律師事務所內有六人加入到匆匆召開的會議。據一位知悉有關調查的人說,會議室內有一名操守監察主任,還有該公司信息技術團隊的一名成員。那六個人
得知律師事務所被駭了,而他們當中每一個都是目標。
律師的文件
那六人當中包括該律師事務所的合伙
人,Alan Price和Timothy
Brightbill,他們是[美國]國內最知名的國際貿易律師,處理了一系列針對中國的反傾銷和不公平貿易的重大訴訟個案,其中之一是5月時對中國太陽
能電池製造商的訴訟,判決結果是向中國出口的貨品徵收3億美元以上的關稅,使之成為美國史上規模最大的反傾銷案件之一。
Wiley Rein的總顧問Dale Hausman表示不能評論有關入侵對公司或其客戶有何影響。他說,在揭發事件之後,律師事務所已加強了網絡安全。
他說,“考慮到行業的性質,它[黑客入侵]幾乎是營業成本。這並不令人驚訝”。
給配偶的電郵
據知悉調查的人說,該律師事務所在研究人員通知之後,向聯邦調查局報案。聯邦調查局派遣了一個網絡調查隊。 “意見組”黑客把偷走的數據加密,是一種使人難以確定什麼資料被盗的做法。然而,聯邦調查局成功將之解碼。
這些數據包括數以千頁計的電子郵件和文檔,由律師與配偶的閒話家常到與客戶之間的保密通信都有。那人說,被盗的數據列印出來堆成一疊的話,比一套百科全書還要高。
去年夏天看著黑客按鍵的研究人員說,大部份被偷走的東西他們無法看到,但很明顯,間諜完全控制了律師事務所的電子郵件系統。黑客日誌還包含聯邦調查局如何
解碼甚麼資料被盜的線索。他們公開了黑客用來加密文件的簡單密碼:123!@#,華盛頓聯邦調查局發言人保羅·布列松 (Paul
Bresson),拒絕評論。
危機追蹤
從一個個的個案可見,黑客的動態和地緣政治事件和全球頭條新聞縱橫交錯。去年夏天,歐洲金融危機的消息成為全球焦點,其進口推動中國崛起為經濟大國的時候,黑客行動了。
那正好是歐盟理事會主席範龍佩事務非常繁重的時候。歐盟各成員國財長未能在7月11日就對希臘第二次救助計劃取得一致意見;接下來的10天,輕微禿頂的比利時前首相主持談判,勉力使包括德國總理安格拉·默克爾在內的歐洲領導人達成共識。
雖然對範龍佩及其工作人員的監視在這些會談中間發生,研究人員說,記錄顯示大量的攻擊並不只針對特定的事件。他們說,這相當於是一個網絡版的竊聽裝置,旨在收集數週—以至數月—的大量情報。
“意義重大”
前總統布什的國土安全部副參謀Richard Falkenrath說,通過情報蒐集,中國已經成功整合與外國經濟和投資政策有關的決策。
“那對世界各地就有關決策應對中國都是有重大影響的,”他說。
由2011年7月8日開始,黑客便已經建立進入點,他們在10天內多次潛入入安理會網絡。日誌顯示間諜有一個既定的套路,他們總是在當地時間上午9點左右進入網絡。他們會控制安理會的交換服務器,從而能夠全面操控電郵系統。然後,黑客只需要打開範龍佩和其他人的帳戶。
一星期的電郵
間
諜從一個受害者移到下一個,抓取電子郵件及其附件,將大量的材料壓縮加密,並按日期編目。他們每一次都抓取一星期的電郵,看來是依指定動作行事。他們的其
他目標包括當時的經濟顧問兼會議副組長奧迪爾 雷諾-巴索(Odile
Renaud-Basso)和歐盟反恐協調專員。在研究人員開始監控之前,黑客能夠進入安理會網絡的時間有多長,他們的活動在去年七月底之後又持續了多
久,現在還不清楚。
沒有跡象顯示黑客侵入了歐盟理事會儲藏秘密文件的離線系統。理事會新聞辦公室在一份回應有關黑客聲明中說,“機密信息和其他敏感的內部信息是在專用的網絡上分開處理的”。那些連接到互聯網,處理電郵的網絡,“並不是設計用來處理機密資料的。”
歐盟怎樣處理黑客入侵並不清楚。範龍佩的發言人Dirk De Backer拒絕評論此事,歐盟理事會新聞辦公室的一位官員也一樣。其中一位研究人員說,歐盟安全團隊的一位成員在七月下旬加入研究人員小組,並取得有助查明黑客踪跡的信息。
“不知道”
時任對外事務首席顧問的Zoltan Martinusz是彭博接觸的兩名願意回應的受害人之一,他說,“我不知道這個。”另一個官員則沒有得到授權討論內部安全事項,他要求不要透露姓名,說他去年獲悉他的電郵有其他人看過。
研究人員說,記錄顯示黑客一貫運用相同、簡單的攻擊方式:由附有惡意軟件的電郵開始,他們迅速通過網絡,獲取加密的密碼,在線下破解編碼,然後返回網絡,偽裝成那機構自己的網絡管理員。有時候,黑客可以連續幾個月暗中出入各個網絡。
這種方法繞過了各機構總計花了數百萬美元花費設置的防護系統。
安全系統被關
當
間諜潛入總部位於華盛頓、諮詢委員會成員包括前國務卿亨利·基辛格和前財政部長羅伯特·魯賓的非牟利機構國家安全公司 (National
Security Inc.) 的網絡匆匆發掘資料時,
日誌顯示他們關閉了那系統的Symantec防毒軟件。六月時,該集團的總裁小亨利韓丁說他對黑客入侵並不知情,確認了日誌上顯示被駭的工作人員電腦用戶
名稱,他的名字也在其中。
那些記錄顯示黑客的失誤,以及他們的聰明把戲。他們用網絡管理員的身份,把國際共和研究所—一個推廣民主的非牟利組織—的主席和其他七名職員的電腦上的內容,整合到一台機器上。
220份文件
把所有數據放在同一個地方之後,黑客在2011年6月29日選出220份文件,包括PDF、試算表、照片和該組織有關中國的整個工作計劃。日誌顯示,“意見組”在完事之後把那些文件壓縮到幾個加密的檔案夾,使那些數據在離開網絡時不會太明顯。
研究所發言人Lisa Gates證實她的組織遭到黑客入侵,但以憂慮工作人員和合作伙伴的安全為由拒絕評論事件對其中國項目的影響。一份撥款文件介紹該研究所的活動,當中包括支持經常受到中國當局騷擾的獨立候選人。
作為對工作中黑客的一份記錄,日誌也顯示了他們靈活應變的能力,即使涉及敏感的政府網絡也一樣。去年7月18日,黑客進入加拿大移民和難民局的網絡,目標是溫哥華的境事務審裁官Leeann King的電腦。
在那之前不到一星期,Leeann King把處在長期引渡鬥爭最後日子的中國國民賴昌星暫時釋放,成了頭條新聞。自從賴昌星於1999年逃往加拿大之後,中國當局一直在要求引渡,聲稱他經營的走私團伙淨賺了數十億美元。
打開法院帳戶
在
“意見組” 黑客迅速的侵入Leeann King 的帳戶時,總部位於維吉尼亞州阿靈頓的Cyber Squared
Inc.公司在獨立追踪他們,並發現一些和研究人員記錄一致的活動。開始時他們只是登入了在多倫多的電腦,黑客抓取了用戶密碼並將之解密,從而進入了移民
和難民局在溫哥華的網絡,最終,日誌顯示,他們找到了Leeann King的電腦。從開始到結束,只用了不到5小時的時間。
移民和難民局的一位發言人Melissa Anderson說,除了表示任何這一類的事件都會全面調查之外,官員對事件沒有其他評論。賴昌星最終在2011年7月23日被送回中國。在最終上訴失敗後,他被逮捕,審判,並於今年5月被中國法院判處終身監禁。
控制網絡
在
每一個個案中,黑客都能在他們搜掠的網絡如入無人之境。目前還不清楚研究人員聯繫了多少家受害機構,而其中一位研究人員說,在這些案件中,只有一個受害人
是已經知道黑客入侵的,哈里伯頓石油公司(Halliburton)的發言人表示他們知道有關入侵,並正與聯邦調查局合作。
該上市公司的發言人Marisol Espinosa拒絕評論此事。
去
年夏天的踪跡[把研究員]導向一些看來不大可能的地點,包括和紐約中央車站幾條街之隔、自1932年開業至今的Pietro意大利餐廳。客人到那暗淡的老
式餐廳用膳,可以用28美元點(紅色或白色)蛤蜊醬扁意粉。在去年的某個時候,“意見組”不再止使用那餐廳的網站來與入侵網絡溝通。發現黑客在那裡留下足
印的是火眼公司的Lanstein。他說,痕跡至今依在。
“醜陋的大猩猩”
他說,在餐廳網站的網頁代碼內
隱藏的是一個指令:ugs12。他解釋說,這是一個向某一受害者網絡中被侵佔電腦下達休眠12分鐘,然後恢復工作的指令。“UG”是“Ugly
Gorilla” (醜陋的大猩猩)的縮寫,安全專家認為這是“意見組”一個性情特別急躁的成員所用的綽號,是用來告訴其他人黑客在那裡的暗號。
餐廳合伙人Bill Bruckman在得知他的網站成為中國黑客團隊全球基礎的一部分時開玩笑說,“我們出色得連黑客都想要我們!”“嘿,把我的名字公開吧—什麼事都是好事兒,”他說。
Bruckman說,他知道對黑客入侵一無所知。大約半年前幾位朋友告訴他訪問該網站時遇到困難,但他說他從來沒有想通問題是什麼。
稍後在室外,Bruckman抽著煙,補充了一句更嚴肅的話。
“想一下所有那些將會付諸東流的努力和資訊。真是浪費,你懂我的意思嗎?”
要聯繫本故事記者:在華盛頓的Michael Riley 可電郵至michaelriley@bloomberg.net; 在紐約的Dune Lawrence 可電郵至dlawrence6@bloomberg.net
要聯繫負責這篇報導的編輯:Melissa Pozsgay的電郵是: mpozsgay@bloomberg.net ; Michael Hytha 的是mhytha@bloomberg.net
Permalink | Leave a comment »
from kriz cpec's posterous http://kriz-cpec.posterous.com/151058258
