核心提示:中國頂尖黑客團隊”評論組”的入侵活動範圍從石油公司、律師事務所、歐盟理事會到加拿大的移民裁判官和美國國務院以及美國軍方的系統,受害者數量眾多,所收集的信息對中國的經濟、金融、投資、政策具有重大的作用。

發表:2012年7月26日
作者:Michael Riley,Dune Lawrence
本文由”譯者“志願者翻譯併校對

Inline image 1
【數字追踪讓調查人員從黑客的視角來看中國的網絡間諜活動。圖片:Qilai Shen/彭博】

 去年,黑客分秒不差的在布魯塞爾時間7月18日上午9時23分入侵了,並開始他們的任務。根據一部電腦對黑客活動的記錄,他們在僅僅14分鐘內,便挖出了歐洲聯盟理事會主席赫爾曼·範龍佩(Herman Van Rompuy)的電郵,他是主理救助希臘這一微妙政治問題評論組的關鍵人物。

在去年7月的10天時間內,黑客四度入侵理事會的電腦,藉以取得11位執掌歐盟經濟,安全和外交事務的官員的內部通信。這一入侵直至最近才被报告,它可能讓入侵者得以看到官員對困擾歐洲的金融危機的真正看法。

那些間諜自己也受到監視。大约30名北美私人保安研究人員一起暗中工作,追踪中國最大、最繁忙的黑客團伙之一。

美國情報部門戲稱這個他們觀察多年的黑客團隊為”拜占庭坦率”,在電腦安全圈子內,這個團隊則以其使用名為”評論”的隱藏網頁計算機代碼入侵電腦而有”評論組”之稱。

在去年近2個月的監測期間,研究人員說,看著數據從一個接著一個受害者流出,其中有油田服務領域的領導者哈里伯頓公司 (HAL)、華盛頓威利馬勒律師事務所、加拿大一名涉及一宗敏感的中國引渡案件的裁判官、以至到加爾各答的煙草和技術集團國際貿易中心有限公司 (ITC),”黑客”的工作規模之巨大使他們吃驚。

Inline image 5
【”評論組”黑客以其活動範圍之廣和受害者數量之多而尤為突出,每個月的活動不少於20次。】
收集秘密

 研究人員總共發現了20個受害者——其中許多機構擁有的秘密可以給力爭成為世上最大經濟體的中國帶來優勢。黑客的目標包括向該國出口商尋求貿易賠償的律師和準備在中國宣稱擁有主權的海域鑽探的能源公司。

點擊查看彭博製作的黑客活動受害者表單

 “公众聽到的,如信用卡號碼被盜、有人入侵了LinkedIn(LNKD),那只是冰山一角,一些非保密的東西”,FBI網絡部門前執行助理主任肖恩·亨利 (Shawn Henry) 說:”我一直在暗暗地關注著這座冰山。這是我們見過最大規模的美國專有數據抓取。這是一台機器。”他在今年早些時候從聯邦調查局離職。

 研究人員利用黑客的一個安全漏洞創建了一個數字日記,記錄下黑客的一舉一動,包括入侵者躡手躡腳進入網絡、關閉防病毒系統、偽裝成系統管理員並掩蓋踪跡使受害者幾乎無從發現他們。

Inline image 2

【”評論組”因其標誌性地使用名為”評論”的隱藏html代碼侵入計算機而得名。這是紐約Pietro’s餐館網站的截圖,一個指令被隱藏在html代碼裡面。】

一舉一動

 那些每一分每一秒的記錄展示了一個黑客組織前所未聞的工作日程和無情的攻擊。這組織是這樣的成功,以至成為聖安東尼奧空軍特別調查辦公室的網絡單位的專門追踪對象,一位熟知那單位的人如是說。

那些日誌既記錄了黑客對受害者電腦所下的指令,也揭示了一個高度組織化的行動,其背後的群體相信比其他任何組織都更接近中國龐大黑客產業的巔峰。根據2008年維基解密公佈的外交電報,”拜占庭式的坦率”與中國軍方,即人民解放軍有關。兩名前情報官員證實了文件的內容。

黑客和間諜

 在十多年的時間裡,以中國為基地的黑客對技術和數據的掠奪方法仍然藏於黑客和間諜的陰暗世界,大多數受害者也無人知曉。在美國只有少數擁有機密許可的調查員對情況了然於心。

 國土安全部的國家網絡安全科前主任Amit Yoran說:”在我們可以用一種透明的方式來開展這一對話之前,要解決問題是很難的。”

 Yoran現在任職RSA信息安全公司,總部位於美國馬薩諸塞州貝德福德,在去年受到中國的黑客團隊入侵。 “我只是不肯定美國準備好了沒有,”他說。

美國情報官員用日益极端的語言來提醒人們,最初只針對軍方和國防項目承包商的攻擊已經擴大為大量密集轟炸,沒有任何机构實體是安全的。

Inline image 9
【”拜占庭坦率”與一系列高端黑客活動有關,這些活動之前從未被認為是某一個特定群體所為,包括多年來對國防承包商Qinetiq的攻擊。】

 奧巴馬總統在7月19日於《華爾街日報》發表的文章中警告說:”我們國家受到的網絡威脅是我們面臨最嚴峻的經濟和國家安全挑戰之一。”在那之前10天,國家安全局局長基思·亞歷山大(Keith Alexander)在華盛頓發言說,網絡間諜構成”歷史上最大的財富轉移”,並指出全球公司在保護自己方面的開支為每年1萬億美元。

收穫秘密

 據一些要求不透露姓名的電腦安全專家所言,黑客侵入了各大石油公司的網絡以收集繪有石油儲藏資料的地質圖;侵入專利律師事務所的網絡,以取得他們客戶的商業秘密;而侵入投資銀行網絡則是為了獲取攸關國有企業環球業務的市場分析。他们拒絕透露更多細節。

此前,中國外交部已駁斥國家資助網絡間諜的指控為毫無根據,並表示如有這類事件曝光,政府將嚴厲打擊。被問及這個報導時,外交部援引早期的聲明,再次予以駁斥。

根據政府調查員和安全公司透露,私人研究人員已經確認了10至20個中國黑客群組,他們彼此的活動和規模顯著不同。

群組間的差異

 “評論組”和同類組織的不同點在於其疾風暴雨的運作步伐。根據事故報告和調查員採訪所得,去年夏天的攻擊記錄反映了”評論組”的征服片段,至少可追溯到2002年。單是位於加州米爾皮塔斯市的火眼公司(FireEye)便追踪了數百名過去三年中的受害者,並估計該集團已入侵了超過1000個組織,高級安全研究 員Alex Lanstein 說。

 律師事務所、投資銀行、石油公司、藥品製造商和高科技製造商等被盜的信息數量巨大,以至網絡情報官員說這可能對美國和歐洲經濟造成長期危害。

 “地震將臨”

 杜邦公司自2009年以來已經至少兩次被不明身份的中國黑客團隊入侵,其於去年九月卸任的首席安全官Ray Mislock說:”我們現在看到的是該活動的震顫,但地震要來了” 。

“一個成功的企業無法承受長期喪失可以創造經濟實力的知識,”他說。

即使那些離線的都不安全。 印度最大煙草製造商ITC的負責人、65歲的Y.C. Deveshwar是個不使用電腦的商人。去年”評論組”黑客還是進入了集團的巨大網絡,找出Deveshwar 個人助手使用的電腦,成功偷了他寶貴的文件。

Inline image 8
【在研究人員追踪到的一次黑客活動中,間諜侵入了有影響力的印度商人Y.C. Deveshwar領導的科技和煙草公司ITC的網絡。】
 根據日誌,那些盜賊在2011年7月5日取得的文件包括Deveshwar的家庭地址,稅務登記,會議紀要,以及發給其他公司高層的信件,如位於倫敦的英美煙草公司(BAT)的主席Richard Burrows 和該公司的總裁Nicandro Durante。那些黑客試圖打開一個題為”YCD信件集”的檔案,但不成功,於是他們設立了一個程式,在Deveshwar的助手下一次登入時竊取密碼。

保持安靜

 當彭博在今年五月聯繫那公司時,其發言人Nazeeb Arif 說,ITC對黑客入侵並不知情,這說明黑客在ITC的網絡出入自如可能一年有多。Deveshwar 在一份聲明中說,在那電腦上保存的檔案 “沒有和公司有關的機密文件”。

那些發現網絡被入侵的公司大多保持沉默,公眾、股東和客戶因而意識不到問題的嚴重性。彭博接觸的10個”評論組”受害者當中,那些得知黑客入侵的選擇不公開披露,而三家受害機構則說,在本報接觸他們之前,他們對被黑客入侵並不知情。

這個取材自研究員日誌的”評論組”記錄,也依據在職及前任情報官員、受害者、以及十多名美國網絡安全專家的採訪,那些安全專家當中有許多在獨立追踪那個群組。

私家偵探

提供電腦記錄誰的研究人員要求不公開姓名,理由是那些包括受害者名字的數據很敏感。他是由20個機構派員組成的協作組的一份子,其他成員來自私營保安公司、 大學、互聯網服務供應商和被盯上的公司,包括一家國防承包商和一家製藥公司。該小組的成員包括一些領域內的頂尖專家,他們擁有網絡間諜調查經驗,這些間諜活動的目標包括美國政府、大型企業和達賴喇 嘛等知名政治人物。    

由於對企業和非政府團體的攻擊在過去五年激增,私人安全專家加入了對黑客的追尋,他們說,他們正在逐步趕上著手處理這問題已經十年的美國反間諜機構。

間諜工具

 根據安全專家的說法,”評論組”的一個特有手法是入侵不令人生疑的公共網站,进而將指令發送到受害者電腦,使家庭網站變為外國間諜工具,同時也讓該組監測有關網站有否被識破。被”評論組”下手的包括一位南德州高中教師所有、寫著”電腦棒呆了”的網站,和愛達荷州博伊西城外飆車場的網站。

 安全公司Dell SecureWorks位於亞特蘭大,是計算機技術公司戴爾電腦DELL的分公司,其研究員Joe Stewart在去年發現了”評論組”黑客所用軟件的一個漏洞,為這個拼圖加上了重要的一塊。那個漏洞原本的設計目的是掩飾竊取數據的最終目的地,但它反而好幾百次顯露了黑客把被竊數據送往上海一個互聯網協議(IP)地址。

Inline image 7
【上海长顺路的荣广大厦是一个商业建筑,用这个地址注册的多个IP地址与中國的主要黑客群體有關,其所襲擊的受害者從政府領導人到大公司。圖片:Liza Lin/彭博。】

和軍方有關?

那個位置和維基解密公佈的美國國務院2008年電文內的情報吻合。有關電文把那個群組鎖定在上海,並將之和中國軍方聯繫。私營公司的研究員還沒能得出那種關聯。據兩個前情報專家的講法,該電報所做結論的依據,包括美國自己的間諜活動,仍屬機密。

Inline image 4
【美國國務院外洩的電報確認”拜占庭坦率”總部在上海,並與中國人民解放軍直接相關。】

 Lanstein說,”評論組”的偽裝雖然隨著時間推移而改變——比如日誌顯示組內一些經驗不足的黑客重複犯錯——那個組的特點是明確無誤的。”評論組”使用的代碼和工具是不公開的,任何使用它們的人必然是加入了黑客的行列。

到2008年10月,維基解密公佈了概述出該小組活動的外交電報,此時”評論組”已襲擊過國防承包商和國務院的網絡,並密集入侵美軍系統。在去年這次洩漏之後,指代中國黑客隊伍的機密暗號改變了。

網絡安全專家已把”評論組”和一系列成了頭條新聞的黑客入侵聯繫在一起,範圍從2008年奧巴馬和約翰·麥凱恩的總統競選運動,到去年McAfee紀錄的72個受害者,這家加州聖克拉拉的安全公司將其稱為黑幕鼠行動。

入侵核設施

 兩位分析攻擊的專家說,其他此前沒公開歸因於” 評論組”的攻擊包括自2011年12月開始針對北美天然氣生產商的行動,4月時由國土安全部發出警告,列明細節;在另一宗案件中,黑客首先偷取核能管理公司的通訊用戶聯繫人列表,然後向他們發出藏有間諜軟件的偽造電子郵件。

據一位熟知細節但要求不透露姓名的人說,在那一事例中,”評論組”成功闖入了至少一個核設施的計算機網絡,聖巴巴拉北面霍斯格理斷層(Hosgri fault)旁的代阿布洛(Diablo)峽谷核電站。

根據彭博社獲得的一份內部報告指出,該核電廠的事故管理團隊在去年八月看到一個在網絡安全專業人員之間流傳的匿名互聯網帖子,聲稱確認了中國黑客群組使用的網域,其中一個可能和代阿布洛核電廠運營商太平洋煤氣和電力公司有關。

Inline image 6
【”評論組”成功闖入加州代阿布洛峽谷核電廠的計算機網絡。】

部分失控

 目前還不清楚有關信息如何上載到互聯網,但根據該報告,核電廠在調查時發現一位資深核電廠规划师的電腦至少是部分處於黑客的控制下。該內部調查警告說,黑客試圖”掌握美國核能發電設施的運作,組織和安全資料。”

 根據該報告,研究人員的結論是,他們已及早發現了入侵,並且”沒有堅實的跡象”顯示數據被竊,儘管他們還發現了幾個之前感染的證據。

太平洋煤氣和電力公司(PG&E)的發言人Blair Jones以核電廠安全為由拒絕對此發表評論。

大約在黑客發送附有惡意軟件的電子郵件到美國核設施的時候,Wiley Rein律師事務所內有六人加入到匆匆召開的會議。據一位知悉有關調查的人說,會議室內有一名操守監察主任,還有該公司信息技術團隊的一名成員。那六個人被告知律師事務所被黑了,而他們就是目標。

律師的文件

 那六人當中包括該律師事務所的合伙人,Alan Price和Timothy Brightbill,他們是美國最知名的國際貿易律師,處理了一系列針對中國的反傾銷和不公平貿易的重大訴訟個案,其中之一是5月時對中國太陽能電池製造商的訴訟,判決結果是对中國出口货物徵收3億美元以上的關稅,使之成為美國史上規模最大的反傾銷案件之一。

 Wiley Rein的總顧問Dale Hausman表示不能就有關入侵對公司或其客戶有何影響发表评论。他說,在揭發事件之後,律師事務所已加強了網絡安全。

他說,”考慮到行業的性質,耗費的成本幾乎相當於經營業務的成本。這並不令人驚訝”。

給配偶的電郵

 據知悉調查的人說,該律師事務所在得到研究人員的通知之後,向聯邦調查局報案。聯邦調查局派遣了一個網絡調查隊。 “評論組”黑客把偷走的數據加密,這是一種使人難以確定什麼資料被盗的做法。然而,聯邦調查局成功將之解碼。

這些數據包括數被盜數據包括數以千頁計的電子郵件和文檔,由律師與配偶的閒話家常到與客戶之間的保密通信都有。那人說,被盗的數據列印出來堆成一疊的話,比一套百科全書還要高。
 去年夏天看著黑客按鍵的研究人員說,大部份被偷走的東西他們無法看到,但很明顯,間諜完全控制了律師事務所的電子郵件系統。黑客日誌還包含聯邦調查局如何解碼甚麼資料被盜的線索。他們公開了黑客用來加密文件的簡單密碼:123!@#,華盛頓聯邦調查局發言人保羅·布列松 (Paul Bresson)拒絕評論。

危機追蹤

從一個個的個案可見,黑客的動態和地緣政治事件和全球頭條新聞縱橫交錯。去年夏天,歐洲金融危機的消息成為全球焦點,黑客行動了,歐洲的進口推動中國崛起為經濟大國。

那正好是歐盟理事會主席範龍佩事務非常繁重的時候。歐盟各成員國財長未能在7月11日就對希臘第二次救助計劃取得一致意見;接下來的10天,這位輕微禿頂的比利時前首相主持談判,勉力使包括德國總理安格拉·默克爾在內的歐洲領導人達成共識。

Inline image 3

【去年夏天,歐元區國家長時間爭論救助希臘和歐盟的未來之時,黑客侵入歐盟理事會主席赫曼·範龍佩及其顧問的電腦。】

雖然對範龍佩及其工作人員的監視在這些會談中間發生,研究人員說,記錄顯示大量的攻擊並不只針對特定的事件。他們說,這相當於是一個網絡版的竊聽裝置,旨在收集數週—以至數月—的大量情報。

 “意義重大”

 前總統布什的國土安全部副參謀Richard Falkenrath說,通過情報蒐集,中國已經成功整合與外國經濟和投資政策有關的決策。

“那對世界各地就有關決策應對中國都是有重大影響的,”他說。

 由2011年7月8日開始,黑客便已經建立進入點,他們在10天內多次潛入歐盟理事會網絡。日誌顯示間諜有一個既定的套路,他們總是在當地時間上午9點左右進入網絡。他們會控制理事會的交換服務器,從而能夠全面操控電郵系統。然後,黑客只需要打開範龍佩和其他人的帳戶。

一星期的電郵

 間諜從一個受害者移到下一個,抓取電子郵件及其附件,將大量的材料壓縮加密,並按日期編目。他們每一次都抓取一星期的電郵,看來是依指定動作行事。他們的其他目標包括當時的經濟顧問兼會議副組長奧迪爾 雷諾-巴索(Odile Renaud-Basso)和歐盟反恐協調專員。在研究人員開始監控之前,黑客进入理事會網絡的時間有多久,或者說他們的活動在去年七月底之後又持續了多久,現在還不清楚。

 沒有跡象顯示黑客侵入了歐盟理事會儲藏秘密文件的離線系統。理事會新聞辦公室在一份回應有關黑客的聲明中說,”機密信息和其他敏感的內部信息是在專用的網絡上分開處理的”。那些連接到互聯網,處理電郵的網絡,”並不是設計用來處理機密資料的。”

 歐盟怎樣處理黑客入侵並不清楚。範龍佩的發言人Dirk De Backer拒絕評論此事,歐盟理事會新聞辦公室的一位官員也一樣。其中一位研究人員說,歐盟安全團隊的一位成員在七月下旬加入研究人員小組,並取得有助查明黑客踪跡的信息。

 “不知道”

 時任對外事務首席顧問的Zoltan Martinusz是彭博接觸的兩名願意回應的受害人之一,他說,”我不知道這個。”另一個官員則沒有得到授權討論內部安全事項,他要求不要透露姓名,說他去年獲悉他的電郵有其他人看過。

 研究人員說,記錄顯示黑客一貫運用相同、簡單的攻擊方式:由附有惡意軟件的電郵開始,他們迅速通過網絡,獲取加密的密碼,在線下破解編碼,然後返回網絡,偽裝成那機構自己的網絡管理員。有時候,黑客可以連續幾個月暗中出入各個網絡。

 這種方法繞過了各機構總計花了數百萬美元花費設置的防護系統。

安全系統被關

當間諜潛入非牟利機構國家安全公司(National Security Inc.)管理層的網絡匆匆發掘資料時,日誌顯示他們關閉了系統的Symantec防毒軟件。國家安全公司總部位於華盛頓,其諮詢委員會成員包括前國務卿亨利·基辛格和前財政部長羅伯特·魯賓。六月,該集團的總裁小亨利韓丁說他對黑客入侵並不知情,確認了日誌上顯示被黑的工作人員電腦用戶名稱,他的名字也在其中。

記錄不僅顯示黑客的失誤,也有他們的聰明把戲。他們用網絡管理員的身份,把國際共和研究所——一個推廣民主的非牟利組織——的主席和其他七名職員的電腦上的內容,整合到一台機器上。

220份文件

把所有數據放在同一個地方之後,黑客在2011年6月29日選出220份文件,包括PDF、試算表、照片和該組織有關中國的整個工作計劃。日誌顯示,”評論組”在完事之後把那些文件壓縮到幾個加密的檔案夾,使那些數據在離開網絡時不會太明顯。

研究所發言人Lisa Gates證實她的組織遭到黑客入侵,但以憂慮工作人員和合作伙伴的安全為由拒絕評論事件對其中國項目的影響。一份撥款文件介紹該研究所的活動,當中包括支持經常受到中國當局騷擾的獨立候選人。

作為對工作中黑客的一份記錄,日誌也顯示了他們靈活應變的能力,即使涉及敏感的政府網絡也一樣。去年7月18日,黑客進入加拿大移民和難民局的網絡,目標是溫哥華的移民事務審裁官Leeann King的電腦。

在那之前不到一星期,Leeann King把處在長期引渡鬥爭最後日子的中國國民賴昌星暫時釋放,成了頭條新聞。自從賴昌星於1999年逃往加拿大之後,中國當局一直在要求引渡,聲稱他經營的走私團伙淨賺了數十億美元。

打開法院帳戶

在”評論組” 黑客迅速侵入Leeann King 的帳戶時,總部位於維吉尼亞州阿靈頓的Cyber Squared Inc.公司在獨立追踪他們,並發現一些和研究人員記錄一致的活動。開始時他們只是登入了在多倫多的電腦,黑客抓取了用戶密碼並將之解密,從而進入了移民和難民局在溫哥華的網絡,最終,日誌顯示,他們找到了Leeann King的電腦。從開始到結束,只用了不到5小時的時間。

移民和難民局的一位發言人Melissa Anderson表示任何這一類的事件都會全面調查,但除此之外對事件沒有其他評論。賴昌星最終在2011年7月23日被送回中國。在最終上訴失敗後,他被逮捕,審判,並於今年5月被中國法院判處終身監禁。

控制網絡

在每一個個案中,黑客都能在他們搜掠的網絡如入無人之境。目前還不清楚研究人員聯繫了多少家受害機構,而其中一位研究人員說,在這些案件中,只有一個受害人是已經知道黑客入侵的。哈里伯頓石油公司(Halliburton)的發言人表示他們知道有關入侵,並正與聯邦調查局合作。

該上市公司的發言人Marisol Espinosa拒絕評論此事。

去年夏天的踪跡指向一些看來不大可能的地點,包括和紐約中央車站幾條街之隔、自1932年開業至今的Pietro意大利餐廳。客人到那暗淡的老式餐廳用膳,可以用28美元點(紅色或白色)蛤蜊醬扁意粉。在去年的某個時候,”評論組”不再止使用那餐廳的網站來與入侵網絡溝通。發現黑客在那裡留下足印的是火眼公司的Lanstein。他說,痕跡至今依在。

“醜陋的大猩猩”

他說,在餐廳網站的網頁代碼內隱藏的是一個指令:ugs12。他解釋說,這是一個向某一受害者網絡中被侵佔電腦下達休眠12分鐘,然後恢復工作的指令。 “UG”是”Ugly Gorilla” (醜陋的大猩猩)的縮寫,安全專家認為這是”評論組”一個性情特別急躁的成員所用的綽號,是用來告訴其他人黑客在那裡的暗號。

餐廳合伙人Bill Bruckman在得知他的網站成為中國黑客團隊全球基礎的一部分時開玩笑說:”我們出色得連黑客都想要我們!”他說:”嘿,把我的名字公開吧—什麼事都是好事兒。”

 Bruckman說,他對黑客入侵一無所知。大約半年前幾位朋友告訴他訪問該網站時遇到困難,但他說他從來沒有想通問題是什麼。

稍後在室外,Bruckman抽著煙,補充了一句更嚴肅的話。

 “想一下所有那些將會付諸東流的努力和資訊。真是浪費,你懂我的意思嗎?”

聯繫本報導記者:華盛頓,Michael Riley,可電郵至michaelriley@bloomberg.net;紐約,Dune Lawrence,可電郵至dlawrence6@bloomberg.net

聯繫本報導編輯:Melissa Pozsgay的電郵是: mpozsgay@bloomberg.net;Michael Hytha 的是mhytha@bloomberg.net

本文版权属于原出版公司及作者所有。©译者遵守知识共享署名-非商业性使用-相同方式共享 3.0许可协议。
译文遵循CC3.0版权标准。转载务必标明链接和“转自译者”。不得用于商业目的。点击这里查看和订阅《每日译者》手机报。穿墙查看译者博客、书刊、音频和视频

本文由自动聚合程序取自网络,内容和观点不代表数字时代立场

定期获得翻墙信息?请电邮订阅数字时代