《彭博商业周刊》报导,戴尔(Dell)知名的恶意软件研究部门总监乔・斯图尔特(Joe Stewart),通过长期追踪,揭密了一位名叫“张长河”的中国军方黑客的身份。
据《彭博商业周刊》报导,业内知名的网络安全专家、戴尔(Dell)恶意软件研究部门总监乔・斯图尔特(Joe Stewart)2011年开始捕捉来自中国的恶意软件,寻找对这些恶意软件的防范对策。
斯图尔特指出,互联网充斥着大量来自中国的恶意软件,这些恶意软件瞄准世界500强企业、高科技创业公司、政府机构、大使馆、大学、新闻机构、律师事务所等。在中国有巨大的人力资源在做这样的事情。
黑客露破绽
2011年3月, 斯图尔特发现了一个与众不同的恶意软件,于是开始调查和这些可疑代码相关的指令。他注意到自从2004年以来,用Tawnya Grilth 或Eric Charles名字注册的数十个指令,都列出了相同的Hotmail帐号。
斯图尔特通过技术手段发现,使用同一套恶意软件的多个黑客,注册地址都归中国最大的网络营运商之一—中国联通所有。斯图尔特跟踪许多黑客攻击时,不断接触到这些地址,因此他认为,中国两个最顶级的数码间谍组织在利用这些地址。
经过跟踪监视,斯图尔特在2012年1月找到了世界各地受黑客攻击的电脑,许多电脑属于越南、汶莱、缅甸等国政府,以及外国驻华使馆、石油公司、传媒机构、核安全机构等。斯图尔特说,他从未见过这样大规模攻击东南亚国家的黑客行动。
随后,斯图尔特又通过TawnyaGrilth及其注册的email地址jeno_1980@hotmail.com进行了更广泛的搜索。他又发现,一个email地址当中列出了xxgchappy的句柄。接着,从新的email中,他又找到了更多的线索,包括关于恶意软件网络论坛的帖子和一个域名为rootkit.com的网站。该网站是一个恶意软件的集散地。
接下来,斯图尔特发现了更不寻常的信息。其中一个域名竟是用作实体商务活动的,这一商务活动收费为客户在推特和脸书之类的社交网站,提供〝like〞(赞)这类的点击。斯图尔特在黑客论坛BlackHatWorld 上找到了名为Tawnya 的个人信息页面(profile) 。这个profile上在宣传一个网站和一个PayPal帐号,该帐户收费并把钱转到一个Gmail帐号。该帐号所有者姓〝张〞。斯图尔特很吃惊:黑客竟将他的私生活暴露到这种程度。最后,斯图尔特完成了一份长达19页的报告。
这份报告在安全领域引起了人们的兴趣,因为通常很难发现关于黑客身份的蛛丝马迹。
网络侦探接力
斯图尔特的工作激起了另一名网络侦探的浓厚兴趣,这位侦查者网名为Cyb3rsleuth。他认为,公开黑客身份会帮助政府对黑客采取行动,于是决心揭开这位张姓黑客的神秘面纱。
随着Cyb3rsleuth的继续追踪,通向这位神秘黑客世界的窗户更加敞亮了。 Cyb3rsleuth陆续在一个汽车论坛上发现了有关的帖子,在一个中国黑客网站上发现了一个帐号,还有个人照片,其中一张照片显示的是,在一个貌似旅游景点的地方,一名年轻男子和一位女子迎风站在一起,背景是一座宝塔(见以上网站截图)。
Cyb3rsleuth继续追踪这名黑客是怎样通过化名和与hotmail帐号有关的论坛,来收费提供社交网站点击服务的。 Cyb3rsleuth又偶然间发现,这名黑客还经营了另一份生意,这份生意还有具体的地点。根据企业名录和网上推销的帖子,这家公司名叫〝河南手机网〞(Henan Mobile Network),该公司是一个手机批发商。这家商店的网站是用Jeno Hotmail 帐号和Eric Charles 这一化名注册的。
Cyb3rsleuth从网上的中国技术企业名录中寻找,找到了这家公司的电话号码,联系人叫〝张先生〞,地址在河南省郑州市。这个企业名录还给出了3个QQ帐号,其中一个帐号使用了几个带xxgchappy句柄的email 地址。该账号中〝张先生〞的职业被列为〝教育〞。
Cyb3rsleuth再通过中国的搜索引擎搜索这个email,发现它也在Kaixin001.com网站上注册了,帐号属于郑州的〝张长河〞,个人页面头像是一朵盛开的莲花。 Cyb3rsleuth又发现了其他的QQ帐号与Changhe同音,但用的是不同的汉字。
Cyb3rsleuth在个人博客上公布了他的调查成果,他说他揭开了一个〝幽灵〞的真面目。
黑客神秘面纱揭开
〝张先生〞公开的手机生意地址是郑州市〝中原通讯数码城〞4层A402。〝中原通讯数码城〞是一座7层大楼,位于郑州中心火车站以南500米。大楼内都是出售电子产品的小商家。 《彭博商业周刊》的记者走访了第4层的店铺,里面的人说不认识〝张长河〞,也不知道〝河南手机网〞,A420以前的租户3年前就搬走了,店主很少来,不清楚他们做什么生意。
通过谷歌搜索的结果显示,2005年以来,〝张长河〞同他人一起写过几篇和电脑情报活动有关的文章。 2007年他还参与过高级黑客技术--窗口系统恶意软件(Windows rootkit)的研究。文章署名显示,〝张长河〞在解放军信息工程大学工作。该大学隶属解放军总参谋部。彭博社记者曾根据〝张长河〞QQ账户上的手机号联系到他本人,他承认是该大学的教师。
由于解放军信息工程大学不能随意进入,〝张长河〞网络攻击的线索就此中断。
去年,斯图尔特蒐寻攻击俄罗斯、乌克兰政府机构的恶意软件时,发现有一个恶意软件反馈到一个在AlexaUp.info域名的指令。那儿注册用的付费姓名也是〝张长河〞。
斯图尔特认为,像张长河这样的黑客是中国更庞大黑客组织的一部分,因此〝人肉〞出更多这样的黑客也会更容易。他说,只要能够拿出足够的证据,中共当局最终就难以否认参与了这些活动。
Do you have any video of that? I'd love to find out some additional information.
回复删除my web-site :: caliplus reviews
At this moment I am going away to do my breakfast, afterward
回复删除having my breakfast coming again to read additional news.
Feel free to surf to my weblog :: http://vinelandnj.net/userinfo.php?uid=11131
hello there and thank you for your information – I have certainly picked
回复删除up something new from right here. I did however expertise several technical points using this web site, since I
experienced to reload the site many times previous to
I could get it to load properly. I had been wondering if your web hosting is
OK? Not that I am complaining, but slow loading instances times will very frequently affect your placement
in google and could damage your high quality score if ads and marketing with Adwords.
Well I'm adding this RSS to my e-mail and can look out for a lot more of your respective fascinating content. Ensure that you update this again soon.
my blog :: fast joint pain relief
Hi this is kind of of off topic but I was wondering if blogs use WYSIWYG editors
回复删除or if you have to manually code with HTML. I'm starting a blog soon but have no coding experience so I wanted to get guidance from someone with experience. Any help would be greatly appreciated!
My web page - venapro
Great post! We are linking to this great article on our website.
回复删除Keep up the good writing.
Also visit my web blog: alta white
I do not know whether it's just me or if everybody else experiencing issues with your site. It appears as though some of the written text in your content are running off the screen. Can somebody else please provide feedback and let me know if this is happening to them as well? This could be a problem with my web browser because I've had this
回复删除happen previously. Cheers
Feel free to visit my site male enlargement