【看中國記者林雅麗編譯】彭博社7月26日(週四)發表了一篇題為「從歐盟到華府,與中國軍方有關的黑客現形(Hackers Linked to China’s Army Seen From EU to D.C)」的文章,以下為譯文:
依據一份黑客活動的電腦記錄,去年布魯塞爾時間7月18日上午9點23分,黑客們開始了行動。在僅僅14分鐘的鍵盤快速操作中,他們挖走了歐盟理事會主席Herman Van Rompuy的電子郵件。他是領導歐洲微妙政治救助希臘的關鍵人物。
去年7月份有超過10天,黑客們四次返回歐盟理事會的計算機,獲取了11名歐盟經濟、安全和外交事務官員的內部通信。這些侵害可能令入侵者看到對歐洲金融危機不加掩飾的看法。
而這些間諜自己也在受到監視。約30名北美私人保安研究人員在一起秘密工作,追蹤一個在中國最大、最繁忙的黑客團夥。
美國情報部門多年的觀察發現,這一被戲稱為「拜佔庭式的坦率(Byzantine Candor)」的黑客團隊,在安全圈子內也被稱為「評論組」,因為他們侵入計算機的典型方式,是利用隱藏的被稱作「評論」的網頁代碼。
在去年近兩個月的監測中,研究人員們說,這些黑客攻擊規模之龐大令人吃驚,受害者一個接一個:從油田服務領域的領軍公司哈里伯頓(Halliburton Co. ),到華盛頓的威利馬勒律師事務所(Wiley Rein LLP);從加拿大涉及一個敏感的中國引渡案件的法官,到加爾各答的菸草公司(ITC)
收集的秘密
研究人員核實了20名受害者 – 他們當中很多機構都擁有可有助中國努力成為全球最大經濟組織的秘密。這些被攻擊目標包括在尋求商業起訴中國一些出口商的律師,及一家準備在中國聲稱的海域內準備鑽探的能源公司。
「通常公眾聽到的是 - 信用卡號碼被盜,有人攻擊了LinkedIn -這只是冰山的一角,非保密的東西」,前聯邦調查局執行助理主任Shawn Henry說,「我一直在坐潛艇圍繞著這座冰山。這是我們所見過的最大的、吸取美國專有數據的行動。這是一臺機器。」
研究人員利用了這些黑客的一個安全漏洞,創建了一個數字日誌,記錄下入侵者的一舉一動:他們躡手躡腳地進入網路,關閉防病毒系統,把自己偽裝成系統管理員,及掩蓋他們的蹤跡,令受害者無法查覺。
一舉一動
據一名熟悉在聖安東尼奧的空軍特別調查辦公室的人士消息,這些每一分鐘的記錄,展開了一個在日常事務中從未講述的故事,一個團體無情的猛烈攻擊能如此成功,令該辦公室的一個網路組致力於進行追蹤。
這些日誌 - 記錄了黑客給受害者電腦發出的命令 - 也揭示了該團體背後具有高度的組織性。據維基解密公布的一份2008年的外交電報,「拜佔庭式的坦率」與中國的解放軍有關。兩名前情報官員證實了該文件的實質內容。
黑客與間諜
中國搶劫技術和數據背後使用的方法,及絕大多數受害者,十多年來都處在一個黑客與間諜的陰暗世界。在美國,只有一個通過安全背景調查的調查者群體能完全知曉。
「直到我們可以用一種透明的方式對話,我們將很難解決這一問題」,前國土安全部的國家網路安全部門主任Amit Yoran說。
Yoran現在在為總部位於美國麻省的RSA信息安全公司工作。該公司去年遭到中國一些黑客團體的攻擊。他說,「我只是不知道,美國對此是否做好了準備。」
《華爾街日報》7月19日刊登的一篇文章中,歐巴馬總統警告說,「網路威脅是我們國家面臨的最嚴重的經濟和國家安全的挑戰之一。」國家安全局局長Keith Alexander十天前在華盛頓的一個講話中說:網路間諜構成了「歷史上最大的財富轉移」,並列舉了全球每年各公司用於自我保護的開銷是1萬億美元。
收穫的秘密
據要求匿名、並拒絕透露更多細節的計算機安全專家說,被收穫走的秘密包括:各大石油公司網路上標有石油儲備的地震地圖;專利律師事務客戶的商業秘密;可能影響到國企全球性企業的投資銀行的市場分析。
據政府調查人員和保安公司得來的消息,私人研究人員已確定了有10至20個中國的黑客團體,但稱他們的活動和規模有顯著不同。
與眾不同的「評論組」
令「評論組」與眾不同的是它瘋狂的運作頻率。據事故報告和對調查人員的採訪,去年夏天的攻擊記錄代表了「評論組」外侵的片段,他們的外侵可以追溯到至少2002年。一名資深安全研究員Alex Lanstein說,僅位於美國加州的火眼公司(FireEye),在過去三年就追蹤到數百名受害者,並估計「評論組」已攻擊了1000多家組織。
網路情報官員說,信息被從律師事務所、投資銀行、石油公司、藥品製造商和高科技製造商的網路中盜走,數量之大,可能會對美國和歐洲的經濟造成長期危害。
「地震來臨'
九月份卸任的前杜邦公司首席安全官Ray Mislock說,「我們現在看到的是這些活動的震顫,但地震正在來臨。」杜邦自2009年以來,至少被中國不明的黑客團體攻擊過兩次。
他說,「一個成功的企業無法承受長期知識的流失,那是其創造經濟的實力」。
即使不上線也不安全。負責印度最大的菸草製造商ITC、65歲的商人Y.C. Deveshwar不使用電腦。去年,「評論組」黑客仍然成功地設法偷走了他的寶貴文件,他們專門攻擊了Deveshwar私人助理使用的機器。
據日誌顯示,2011年7月5日,黑客訪問了一系列文件,其中包括Deveshwar的家庭地址、稅務登記和會議紀要,及給資深高管的信。他們試圖打開一個題為「YCD信函」的文件,沒有成功,於是黑客設立了一個在其助手下次登錄時能竊取密碼的程序。
保持安靜
當彭博社5月份聯繫該公司時,該公司發言人Nazeeb Arif說,ITC沒有意識到這種入侵,這令這些黑客可以在一年多里在ITC的網路上通行。Deveshwar在一份聲明中說,「公司沒有秘密的相關文件」保存在那台電腦裡。
發現其網路被徵用的公司,通常都會保持安靜,不讓公眾、股東和客戶意識到問題的嚴重性。彭博社接觸了10個「評價組」攻擊的受害者,那些獲悉自己中招的公司選擇不公開披露,其中3家公司說,直到彭博社與他們聯絡前,他們都不知道自己已遭到黑客入侵。
間諜工具
據安全專家說,「評論組」的一個標誌是劫持低調的公共網站,來向受害者電腦發送命令,將這些媽媽和流行網站變成外國的間諜工具,但如果能發現這些網站,也能令「評論組」自身受到監視。
為戴爾(DELL)工作的研究員Joe Stewart,去年發現了被「評論組」黑客利用的一個軟體漏洞。該漏洞原本被用來掩蓋發送數據的最終目的地,但這一錯誤反而揭開了在數百個實例中,數據被送往上海的網際網路IP地址。
與軍方有關?
這些地址與維基解密公布的一份2008年美國國務院電報中的情報相吻合,即該黑客組織位於上海,並與中國的軍方有關。商業研究人員還沒有作出這樣的聯繫。據兩名前情報專家稱,該電報的結論仍屬機密。
Lanstein說,雖然「評論組」的偽裝隨著時間的推移在變,日誌顯示:例如,該團體中一些經驗不足的黑客在重複犯同樣的錯誤,這明確無誤的表明這些特徵來自單一的一個團體。他說,「評論組」使用的代碼和工具是非公開的,任何使用者必是該黑客團體的成員。
2008年10月,當維基解密公布的外交電報概述了該組織的活動時,「評論組」襲擊了國防承包商和國務院的網路,也特別入侵了美軍系統。去年在維基解密的公布後,這些中國黑客組織改變了其秘密代碼名稱。
網路安全專家已發現該組織與一系列引人注目的黑客行動有關,從歐巴馬和馬侃2008年在加州聖克拉拉的總統競選記錄,到加州網路安全公司McAfee去年記錄的72名受害者。
攻破核電站網路
兩名分析該攻擊的專家稱,此前不公開歸因於該組織的其它攻擊,包括一個始於2011年12月針對北美天然氣製造商的行動,詳細記錄在美國國土安全部發布的一個4月份警報中。在另一起案件中,黑客首先盜取了一家核管理通訊用戶的聯繫人列表,然後給他們發送含間諜軟體的偽造電子郵件。
在該實例中,據熟悉該案一名要求匿名的人士透露,該黑客團體至少一次成功闖入了加州暗黑峽谷核電站(Diablo Canyon nuclear plant)計算機網路設施。
去年八月,該工廠的管理團隊看到一個一直在網路安全專業人員中流傳的匿名的網路帖子。據彭博社獲得的一份內部報告,該帖子聲稱能確認正在被一個中國的黑客團體利用的網路域名,其中一個可能與暗黑峽谷核電站運營商-太平洋煤氣電力公司的鏈接有關。
(閱歷下半部分)
(譯文有刪節,點擊看原文)