旧金山——那封电子邮件的附件,看起来仿佛是法国图卢兹一家瑜伽馆的宣传册,图卢兹是欧洲航空航天工业的中心。但是一打开这份文件,黑客就可以绕过受害者的网络安全防护,窃取严格保密的卫星技术。
加利福尼亚欧文网络安全公司Crowdstrike的研究人员说,这个虚假的瑜伽宣传册其实是中国一支秘密部队用来实施黑客攻击的狡猾诱饵之一。他们的攻击目标是欧洲、美国和日本的政府部门、防务承包商,以及航天和卫星产业的研究机构的网络。这些机构的网络被系统性地攻破已经有七年时间。
美国司法部最近指控5名中国军人对美国企业实施网络攻击。仅几周后,Crowdstrike又于周一发布了一份新报告,其中提供了更多证据,进一步说明了中国从外国受害者那里窃取商业秘密和军事机密的范围和野心。
《纽约时报》能够独立证实这份报告的部分内容。该报告认为,数十家公共和私营行业机构所受到的攻击,与上海的一群黑客有关。因为这些黑客的攻击目标常常是高尔夫球会的参会人员,所以他们被Crowdstrike称作“推杆熊猫”(Putter Panda)。根据对六名现任和前任美国官员的采访,美国国家安全局(National Security Agency,简称NSA)及其合作伙伴认定这些黑客属于61486部队。
这些官员称,NSA及其合作伙伴目前正在对中国的20多个黑客团体进行追踪,其中超过一半都隶属于中国人民解放军。他们会攻入公共部门和私营部门的机构,其中包括卫星、无人机、核武器部件制造商,包括科技和能源企业,也包括研究机构。
研究人员称,61486部队有时会与61398部队成员分享计算资源并进行交流。后者也属于解放军,其成员是上个月的指控关注的焦点。
Crowdstrike的联合创始人乔治·库尔茨(George Kurtz)说,“看看我们在中国追踪的所有团体就知道,上次的指控只是冰山一角。”
此次报告中揭露的攻击事件是首次公之于众,攻击至今仍在持续。与此同时,美中两国之间就网络间谍活动而产生的冲突也在不断加剧。
数年来,网络间谍活动使两国关系越来越紧张。但是去年,当美国网络安全公司Mandiant确认外国公司所受到的数以千计的攻击都来自61398部队时,双方的矛盾变得更加尖锐。司法部上个月在指控中提到了这支部队的5名成员,而且首次指出了一些受害者。其中包括美国铝业公司(Alcoa)、西屋电气(Westinghouse Electric)和美国钢铁公司(United States Steel Corporation)。
作为回应,中国官方谴责了美国的控告,并否认了这些指控。中方援引最近披露的消息表示,美国也在从事网络间谍活动;中国还宣布了一系列报复措施,比如要对美国科技企业施行新的审查程序,这些举动都增强了双方展开贸易战的可能性。
事实证明,控告61398部队成员的决定产生了争议,即使在奥巴马政府内部也是如此。几乎可以肯定,这些士兵根本不会踏进美国的法庭。而美国官员也担心,这样做会使与中国交涉行为准则变得更加困难。
这个新曝光的部队也面临着同样的问题。这个部队的行动,与此前有成员被起诉的部队一样,对美国的基础设施也构成了巨大威胁。
Crowdstrike的调查显示,61486部队成员采取了一些措施来隐藏他们的来源,例如通过被攻破的外国网站来实施攻击。但是他们却留下了关于自身身份和地点的数码痕迹。由于Crowdstrike与客户签订了保密协议,所以报告没有指明攻击目标是哪些公司。
调查人员表示,黑客所使用的工具是在以中国时区计算的工作时间内研发的。而且网络记录显示,在一次行动中,黑客在实施攻击时还使用了与61398部队成员一样的IP地址。Crowdstrike的威胁情报总监亚当·迈耶斯(Adam Meyers)说,使用这个地址同时发动攻击的现象表明,61398部队和61486部队很可能在进行合作。
CrowdStrike由安全软件公司迈克菲(McAfee)的两名前高管创立,属于新一代的电脑安全公司,专门从事被称为“计算机侦破”的调查工作。
该公司并不回应黑客的攻击行动,而是设法探究黑客的身份及他们使用的手法。该公司还经常受雇调查黑客是如何侵入网络的,并研究该如何防范再次被黑客侵入。该公司去年发布了多份关于全球黑客行动的报告。
该公司的调查显示,为了攻击受害者,这些黑客将专门定制的恶意软件伪装成了含有PDF附件的电子邮件,其中包括航空航天和卫星产业展会的邀请函,招聘信息,在一个案例中,邮件里附带的是图卢兹一家瑜伽馆的宣传册。
一旦受害者点击了诱饵文件,就会无意间将恶意程序下载到电脑里,进而攻击者打开通路,使他们得以进入受害者的网络,查看受害者连接到的其他设备和网络,并最终盗取商业秘密,以及卫星及航空航天技术的设计方案。
Crowdstrike的研究人员表示,该公司数十家航天和卫星产业的客户受到了攻击。他们在调查这些客户受到的攻击时,最终追溯到了这一黑客团体。研究人员表示,受害企业可能有数百家,乃至数千家。
研究人员表示,攻击者有时候会疏忽,在注册攻击中用到的网站时,使用了注册个人博客或社交网络帐号时的电子邮件地址。在一次攻击时,攻击者利用一个网络域名启动了远程访问工具(RAT),而该域名的注册邮箱属于一个曾就读于上海交通大学信息工程学院的人。外界很早就怀疑这所中国名牌大学是政府招募黑客一个基地。
上海交通大学的代表没有回复要求置评的多份传真。
在另一个案例中,与攻击中用到的域名相关的网络记录中,反复出现一个邮箱地址。某人利用该邮箱在中国门户网站新浪网注册了个人博客,这名35岁的注册人标明自己的职业是军人。这名军人没有答复置评请求,但Crowdstrike的研究人员在安全论坛上发现了他与两个假名分别为ClassicWind和Linxder的黑客之间的对话,后两人已被证实系61398部队成员。
这名35岁的军人在自己的Picasa相册里,展示了参加军事训练、与身穿军装的朋友庆祝生日,以及宿舍的照片。宿舍照片背景中的解放军军帽非常显眼。在名为“办公室”的相册中,有几幅照片显示了上海的一栋白色大楼,四周都是卫星天线和宿舍式的住宅。Crowdstrike的研究人员认为,这是61486部队的驻地。
《纽约时报》走访了该部队的驻地,位置在上海市中心的闸北区北部。标记显示这里是“军事禁区”。大楼入口处有士兵把守,周围的高墙上装有铁丝网,还有一条护城河,以及遮掩军事卫星天线的树木。从附近的地标建筑观看时,发现大楼里都是军事人员,挂满了军队爱国口号。
弗吉尼亚州阿灵顿的国防研究机构2049项目研究所(Project 2049 Institute)的军事分析师怀疑,61486部队为中国的太空监控网络提供支持,并与政府资助的机构北京遥感信息研究所保持着密切联系。该研究所的网站显示,其任务是研究“遥感信息机理、对地观测前沿理论”,但并没有展示任何证据。
Crowdstrike认为该公司的报告提供了最终的证据。迈耶斯在评价航天和卫星产业的客户遭到61486部队攻击的证据时表示,“我们发现了枪支、子弹和尸体。”
“这个问题会得到更多重视,”Crowdstrike的库尔茨说。“但中国并没有放缓攻击的步伐。他们仍然在奋力前行。”