反谍洲际追踪 中国军方背景黑客现形(下)
【看中国记者路克编译】彭博社7月26日(周四)发表了一篇题为“从欧盟到华府,与中国军方有关的黑客现形(Hackers Linked to China’s Army Seen From EU to D.C)”的文章,以下为译文:
(接上半部分)
部分控制
目前尚不清楚这些信息是如何被弄到网上的,但据该报告,当该核电站调查时发现,其一名资深的核策划人员的电脑,至少部分在黑客的控制之下。内部调查警告说,黑客们在试图“确定美国核能发电设施的运作、组织和安全。”
据该报告,虽然他们还发现了几个以前感染的证据,研究人员得出的结论是,他们在早期就发现了这一问题,没有数据被盗的“确实迹象”。
大约在那段时间,黑客们在向美国核设施发送含有恶意软件的电子邮件,六名Wiley Rein 律师事务所的人被召集开紧急会议。据熟悉该调查情况的人士,六个人均被告知,该公司已遭到攻击,他们都是被攻击的目标。
律师文件
他们当中有Alan Price 和Timothy Brightbill。这些公司的合作伙伴和该国最知名的国际贸易律师,他们处理过一系列主要针对中国的反倾销和不公平贸易案件。
Wiley Rein公司的总法律顾问Dale Hausman说,他不能发表黑客入侵对该公司或客户有何影响的评论。他说,该公司此后加强了其网络安全。
他说,“鉴于这种做法的性质,它几乎是一项生意成本。这并不令人惊讶。”
给配偶的电邮
一名熟悉调查案情的人士介绍,该公司致电联邦调查局(FBI),联邦调查局派遣了一个网络调查队。“评论组”黑客将偷走的数据进行了加密,这一招使人更难识别他们偷走了什么数据。联邦调查局成功进行了解码。
这些数据包括数千页的电子邮件和文件,从律师与其配偶间的私人聊天,到与客户的保密通信。
研究人员去年夏天观察黑客敲击的键说,他们无法看到绝大多数被偷走的是什么,但很明显,这些间谍完全控制了该公司的电邮系统。
跟随危机
在一次又一次犯案中,黑客的踪迹纵横交错,涉及不同的地缘政治事件及全球头条新闻。去年夏天,当新闻专注于欧洲的金融危机,黑客就跟上了。
那个时间恰好与欧盟理事会主席范龙佩(Van Rompuy)同意对希腊的第二次救助计划相吻合。在接下来的10天,比利时首相主持了谈判,包括德国总理默克尔,欧洲领导人达成共识。
虽然在这些会谈中谈到了对范龙佩和其工作人员的监视,研究人员说,记录显示了广范的攻击,不是定时针对某个特定事件。这相当于网络窃听,旨在收集数周或数月以来的大量情报。
“意义重大”
前总统布什的国土安全顾问Richard Falkenrath说,中国已经成功地将有关外国的经济和投资政策的决策与情报搜集相整合。
他说,“这对世界各地跟使用这样条款的国家打交道,都有着重大意义。”
2011年7月8日开始,黑客的访问已经建立,他们有超过10天的时间,多次进入安理会网络。日志表明,间谍总是在当地时间上午9点左右由已建立的路线来访问。他们控制安理会的交换服务器,这给了他们运行电邮系统的可能。从那里,黑客可以打开范龙佩和其他人的帐户。
每周电邮
针对一个又一个受害者,间谍对其电子邮件和附加文件进行加密并压缩。看起来遵循同样的套路,他们每次会盗取一个星期有价值的电子邮件。其他目标包括当时的经济顾问和内阁副组长奥迪尔雷诺 - 巴索,和欧盟反恐协调员。还不清楚在研究人员监控黑客行动开始之前,黑客已经潜伏在安理会网络有多久了,也不清楚黑客的活动从去年七月底后又持续了多久。
没有迹象显示黑客侵入安理会脱机系统里的秘密文件。 “绝密信息和其他敏感内部信息的处理是单独的,在专用网络上,该局新闻办公室在一份声明中说。
欧盟针对系统被攻破做了什么还不清楚。范龙佩的发言人德克·德靠山,拒绝对此事发表评论。另一位在欧盟理事会新闻办公室的官员也拒绝评论。在去年七月下旬加入欧盟安全团队的研究人员被提供了信息,这将有助于查明黑客的踪迹,一名研究人员说道。
“不知道”
外事首席顾问Zoltan Martinusz是彭博社找到的两名受害人之一,他说,“我没有这方面的知识。”另一位官员没有被授权讨论内部安全,也不想泄露自己的姓名,他获悉,去年已有黑客访问了他的电子邮件。
研究人员说,记录显示,黑客如何使用相同的简单攻击线。通过带有恶意软件的电子邮件,他们迅速通过网络,获取加密的口令,破解编码脱机,然后返模仿该组织自己的网络管理员。黑客出入这个网络,有时甚至超过1个月。
用这种方法,就躲避了该组织花费数百万美元的网络案例保护。
220个文件
2011年6月29日,黑客选定同在一个地方的所有数据,共220个文件,包括PDF、电子表格、照片和该组织对中国的整个工作计划。日志显示,当他们完成后,又将其分成几个加密压缩文件,使得转移这些数据离开网络时,不会太招眼。
身为IRI的发言人莉萨·盖茨证实,她的组织遭到黑客攻击,出于对工作组的工作人员安全的关切,她拒绝评论其计划在中国的影响。拨款文件记录了包括支持中国独立候选人的活动,那些人经常遭到中国当局的骚扰。
针对这些黑客工作的描述,日志也显示,即使涉及敏感的政府网络,他们可以对事件做出灵活的反应。黑客去年7月18日访问了加拿大移民难民局的网络,黑客的目标是Leeann King的计算机,她是温哥华的移民评判。
早些时间,Leeann King因暂时释放了身处长期引渡案中的赖昌星,而在将近一周的时间内占据了新闻的头条。赖昌星1999年逃往加拿大,其后一直被中国当局追捕。
侵入法院帐户
公司总部位于美国弗吉尼亚州阿灵顿的Cyber Squared公司独立跟踪表明,他们获得了一些与研究人员相同的黑客活动记录,他们监测到黑客迅速打入King的帐户。黑客开始通过获取多伦多计算机访问权限,然后将用户密码进行解密,最终获得IRB温哥华的网络访问权限。
董事会的一位发言人梅丽莎·安德森说,官员除了对此类事件进行全面调查以外,无可奉告。赖昌星最终上诉失败,于2011年7月23日被遣送回中国。他被逮捕、审判,中国法院今年5月判处他终身监禁。
控制网络
据该组织的一名成员说,目前还不清楚研究人员联系了多少家机构,但这些案件中,只有一家受害公司已知道被入侵。哈里伯顿公司的官员表示,他们意识到入侵,并与联邦调查局合作。这家公司发言人拒绝对此事发表评论。
去年夏天,黑客入侵痕迹指向了一些不大可能的地点,其中包括离纽约大中央车站2街区的Pietro意大利餐厅。这个餐厅开业于1932年,在暗淡、老式饭厅里,客人可以选择28美元的扁蛤蜊酱(红色或白色)。黑客组织在去年某个时候,停止利用该餐厅网站与被黑的网络沟通,火眼(FireEye)公司的Lanstein发现,黑客们留下的痕迹依然存在。
“丑陋的大猩猩”
他说,餐厅网站的网页代码中隐藏的是一个简单命令:ugs12。他解释说,这个命令会让一些受害者计算机休眠12分钟,然后再回来。 “UG”代表“丑陋的大猩猩,安全专家认为这是该黑客组织中一个性情急躁成员的特别绰号,任何人可以看到,黑客来过这里,Lanstein说道。
当他被告知他的网站已成为中国黑客团队全球基础设施的一部分时,餐厅老坂 Bruckman开玩笑说,“我们做的不错,黑客都想来我们这!”
Bruckman说,他对网站被攻破一无所知。几位朋友,大约于半年前告诉他,访问该网站时遇到困难,但他从来没有想通问题是什么。
稍后,Bruckman抽着烟,一本正经地说,“想想所有这些努力和信息将会付诸东流。真是一种浪费,你知道我的意思吗?“
(译文有删节,点击看原文)