谁是遭美指控的中国黑客?
上周,五名中国人士因偷窃网络商业机密遭到美国当局指控。这5名人事或许是接受过黑客培训的中国军方人士,并隶属于中国最臭名昭著的黑客组织61398组。据《纽约时报》报道,这一黑客组织以及其他与中国政府密切相关的黑客组织的秘密工作对象为国外企业和政府机构。
Last week, five Chinese were indicted by the US authorities for having committed corporate espionage through cyberspace. These hackers might be military soldiers who have received technology training and belong to the most infamous hacking group—Unit 61398. According to the NYTimes, the secret targets of this hacking group, along with many others that are linked to the Chinese government, are foreign corporations and government agencies.
被控为中国军队充当黑客的汪东在一个社交媒体的页面上写道,他“胸无点志”,只希望“仗剑走天涯,痴汉”。他的绰号比他的名字更出名,叫做UglyGorilla(“丑猩猩”)。
另一名被告名为孙开亮,又称杰克·孙(Jack Sun)。他成长于中国东部富裕的沛县,出生于这里的一个农民建立了汉朝,还被毛泽东视为偶像。
上周,前述两人与其他三人一同受到了美国司法部的指控。司法部指控他们是中国某军事单位的成员,该单位曾借助黑客手段进入一些知名美国公司的电脑系统,窃取商业机密,估计是出于为中国公司谋利的目的。
关于他们的许多情况仍旧不得而知。但是,中国网站的资料,以及对中国国内外网络安全专家及前黑客的采访,都表明这些人与其他黑客有一些共同特点,还表明中国的黑客文化是一个复杂的混合体,其动机、雇主和效忠对象都在不断发生变化。
许多直接为中国政府工作的黑客都是二三十岁的年轻男性,他们在从属于中国人民解放军的大学里接受了训练,后来又通过多种多样的方式受到国家的雇佣。专家和前黑客说,直接为军方工作的人通常都遵循朝九晚五的作息时间,工资也不高。部分军方和政府雇员会兼职挣钱,利用业余时间执行额外的黑客任务,向国有或私营企业售卖自己的技能。部分雇员属于同一些网络社交小组。
“他们的工作关系多种多样,”纽约外交关系委员会 (Council on Foreign Relations)研究中国及网络战的学者亚当·谢加尔(Adam Segal)说。“有些人民解放军黑客会与国企签约,为他们提供服务。涉及一些关键技术的时候,人民解放军黑客可能会奉命对特定的外国企业发动攻击。”
奥巴马政府认为,以保护国家安全为目的的黑客行动与旨在获取有助于企业竞争的商业机密的黑客行动不同,前者属于正当行为,后者则是非法行为。中国和其他一些国家则指责称,美国在这两个方面都做得最为过分。
或许是为了报复美国的指控,中国的一个国家机构周四宣布,将对在中国经营业务的互联网公司进行更严格的审查。据中国国家通讯社新华社报道,中国的国家互联网信息办公室称,政府将设立新程序来评估潜在的安全问题,评估对象是网络技术,以及“与国家安全及公众利益有关”的部门所使用的服务。
在周一公布的起诉书中,美国指控王东、孙开亮和其他三人为中国人民解放军61398部队工作。根据弗吉尼亚州亚历山大市的网络安全公司Mandiant去年发布的报告,61398部队在上海郊区一栋12层的白色大楼里办公。该部队目前是中国最臭名昭著的涉嫌从事黑客活动的组织,西方的网络安全圈子称之为“注释组”(Comment Crew)、“上海组”(Shanghai Group)或APT1。
其中一些成员活跃在中国的社交媒体中。网络搜索显示,汪东、孙开亮和另一名被告温昕宇(音译)是QQ群“吃着公家饭的穷人”的成员,QQ是一种网络社交及通讯工具。
该群有24个成员,包括Mandiant报告提及的嫌疑黑客梅强,此人的别名是SuperHard(“超难”)。群里的另一个成员徐耀令与南京军校中国人民解放军理工大学的某人同名,后者曾写过有关黑客及网络安全的论文。
2004年,汪东化名“绿野”在中国一个官方军事论坛发布了一些帖子。他称自己是一个“军事爱好者”,并且发帖询问,“我军现在有没有和美军交手的能力?”论坛资料显示他的英文名字为杰克·王(Jack Wang),还列出了一个邮箱地址。记者本周给该邮箱发了邮件,但没有收到回复。众所周知,汪东会在自己开发的恶意软件上留下“ug”的记号。
一名前黑客表示,“我觉得他们是受过电脑技术培训的士兵,并不是应召入伍的技术人员。”这名黑客称自己曾为中国军队和安全机构做过防御性工作。
“注释组”并不是中国唯一的大型黑客组织,在中国,公司及罪犯的黑客行动与政府的黑客行动一样普遍。甚至有人在贸易展览、课堂及网络论坛上宣传黑客行动。
西方网络安全专家通常会着重关注与政府有关联的黑客。网络安全公司火眼(FireEye)的威胁情报组负责人达里恩·欣德隆德(Darien Kindlund)表示,该公司正在追踪至少25个“位于中国的活跃威胁组织”,其中22个都在以某种方式支持政府。火眼公司位于加利福尼亚州的米尔皮塔斯,于1月份收购了Mandiant。欣德隆德表示,至少有五个组织似乎与一个或多个军事组织有直接关联。他还表示,这只是一个保守的估计。
戴尔公司(Dell)旗下的SecureWorks公司的研究人员乔·斯图尔特(Joe Stewart)表示,截至去年,在他追踪的2.5万个可疑网络域中,“注释组”(Comment Crew)和被他称为“北京组”(Beijing Group)的一个团队占据了“很大一部分”。他说“北京组”使用了一个专用的IP地址段,可以追溯到中国联通(China Unicom)在北京的网络。中国联通是该国提供互联网服务的三大国有电信企业之一。
“有谍报活动是从那里发出的,”斯图尔特说。不过他补充说,他没有见到“北京组”与中国联通或其他国有实体合作的证据。
一名男子在接听中国联通一位发言人的手机后,表示拒绝发表评论。
“注释组”和“北京组”针对的目标有重叠,例如,二者都关注外国公司和政府机关。不过,斯图尔特说,“北京组”也会关注“某些类型的活动人士”,包括藏人和维吾尔人流亡团体。他还说,世界上已知的300个恶意软件家族中,多数都归咎于他们。
从2006年末开始,西方网络安全专家发现,企业受到的在线谍报攻击激增。在那以前,攻击的目标主要是政府部门或政府承包商。专家表示,企业受到的第一波情报攻击中,很大部分可以追溯到中国,具体可以追溯到“注释组”。大约一年之后,“北京组”出现了。
斯图尔特表示,一个较小的团队发起的攻击似乎关注于越南的目标。该团队的攻击被追溯到了位于云南省会昆明的IP地址,因而被称为“昆明组”(Kunming Group)。“昆明组”利用恶意软件和所谓的“鱼叉式钓鱼攻击”(spear-phishing attack),试图引诱受害者点击越南语的消息和链接。
目前还不清楚“昆明组”到底想要得到什么。不过最近几年,由于南海上的领土争端,中国与越南之间的紧张关系不断升级。本月,中国把一个石油钻井平台移到了越南附近,越南爆发了抗议。越南也在与国外的石油公司合作,从而对那片海域进行勘探和开采。
网络安全专家说,奥巴马政府一直专注于揭露企业间谍活动,但是涉嫌为中国政府服务的黑客们,却攻破了大批外国政府机构的网络。
例如,火眼公司表示,该机构观察到了针对台湾政府机构,以及一名印度教授的间谍攻击活动,该名教授持亲西藏立场。火眼公司将攻击者称作“十强帮”(Shiqiang Gang)。去年9月,中国大陆的一个组织还对日本的政府机构和企业实施了攻击,方法是向日本的媒体网站植入指令,从而感染用户。
火眼公司的首席执行官欣德隆德说,在判断黑客是国家雇员还是私人承包商时,他的同行们会关注多种因素。一个因素是黑客使用的安全手法:军方的黑客不会那么马虎大意。另一个是攻击目标:如果黑客的各个攻击目标大相径庭,那可能是一个承包商。最近几个月,火眼发现一名黑客攻击了外国的国防和航空企业,然后又攻击了一家在线娱乐公司。欣德隆德说,这名黑客似乎就来自一家私人承包商。
目前还没有一种行之有效的方法,能够让中国的黑客部队悬崖勒马。2013年初,美国的官员们希望,Mandiant发布的报告以及奥巴马政府对中国网络间谍活动的强烈谴责,可以让“注释组”停止活动。但欣德隆德说,他们沉寂了一段时间,在五个月后就再次浮出水面。现在,其攻击活动已经回到了2013年以前的水平。
“他们正在使用相似的战术,但实施攻击的网络设施已经改变,”欣德隆德说,“他们的工具只是略作修改。总体上来说,大多数改动都很小。”