揭开中国黑客群体的面纱
美国司法部的海报
被控为中国军队充当黑客的汪东在一个社交媒体的页面上写道,他“胸无点志”,只希望“仗剑走天涯,痴汉”。他的绰号比他的名字更出名,叫做UglyGorilla(“丑猩猩”)。
另一名被告名为孙开亮,又称杰克·孙(Jack Sun)。他成长于中国东部富裕的沛县,出生于这里的一个农民(刘邦)建立了汉朝,还被毛泽东视为偶像。
本周,前述两人与其他三人一同受到了美国司法部的指控。司法部指控他们是中国某军事单位的成员,该单位曾借助黑客手段进入一些知名美国公司的电脑系统,窃取商业机密,估计是出于为中国公司谋利的目的。
关于他们的许多情况仍旧不得而知。但是,中国网站的资料,以及对中国国内外网络安全专家及前黑客的采访,都表明这些人与其他黑客有一些共同特点,还表明中国的黑客文化是一个复杂的混合体,其动机、雇主和效忠对象都在不断发生变化。
许多直接为中国政府工作的黑客都是二三十岁的年轻男性,他们在从属于中国军队的大学里接受了训练,后来又通过多种多样的方式受到国家的雇佣。专家和前黑客说,直接为军方工作的人通常都遵循朝九晚五的作息时间,工资也不高。部分军方和政府雇员会兼职挣钱,利用业余时间执行额外的黑客任务,向国有或私营企业售卖自己的技能。部分雇员属于同一些网络社交小组。
“他们的工作关系多种多样,”纽约外交关系委员会研究中国及网络战的学者亚当·谢加尔说。“有些中国军队黑客会与国企签约,为他们提供服务。涉及一些关键技术的时候,中国军队黑客可能会奉命对特定的外国企业发动攻击。”
奥巴马政府认为,以保护国家安全为目的的黑客行动与旨在获取有助于企业竞争的商业机密的黑客行动不同,前者属于正当行为,后者则是非法行为。中国和其他一些国家则指责称,美国在这两个方面都做得最为过分。
或许是为了报复美国的指控,中国的一个国家机构5月22日宣布,将对在中国经营业务的互联网公司进行更严格的审查。据通讯社新华社报道,中国的国家互联网信息办公室称,政府将设立新程序来评估潜在的安全问题,评估对象是网络技术,以及“与国家安全及公众利益有关”的部门所使用的服务。
在5月19日公布的起诉书中,美国指控王东、孙开亮和其他三人为中国人民解放军61398部队工作。根据弗吉尼亚州亚历山大市的网络安全公司Mandiant去年发布的报告,61398部队在上海郊区一栋12层的白色大楼里办公。该部队目前是中国最著名的涉嫌从事黑客活动的组织,西方的网络安全圈子称之为“注释组”(Comment Crew)、“上海组”(Shanghai Group)或APT1。
其中一些成员活跃在中国的社交媒体中。网络搜索显示,汪东、孙开亮和另一名被告温昕宇(音译)是QQ群“吃着公家饭的穷人”的成员,QQ是一种网络社交及通讯工具。
该群有24个成员,包括Mandiant报告提及的嫌疑黑客梅强,此人的别名是SuperHard(“超难”)。群里的另一个成员徐耀令与南京军校中国人民解放军理工大学的某人同名,后者曾写过有关黑客及网络安全的论文。
2004年,汪东化名“绿野”在中国一个官方军事论坛发布了一些帖子。他称自己是一个“军事爱好者”,并且发帖询问,“我军现在有没有和美军交手的能力?”论坛资料显示他的英文名字为杰克·王(Jack Wang),还列出了一个邮箱地址。记者本周给该邮箱发了邮件,但没有收到回复。众所周知,汪东会在自己开发的恶意软件上留下“ug”的记号。
一名前黑客表示,“我觉得他们是受过电脑技术培训的士兵,并不是应召入伍的技术人员。”这名黑客称自己曾为中国军队和安全机构做过防御性工作。
“注释组”并不是中国唯一的大型黑客组织,在中国,公司及罪犯的黑客行动与政府的黑客行动一样普遍。甚至有人在贸易展览、课堂及网络论坛上宣传黑客行动。
西方网络安全专家通常会着重关注与政府有关联的黑客。网络安全公司火眼(FireEye)的威胁情报组负责人达里恩·欣德隆德表示,该公司正在追踪至少25个“位于中国的活跃威胁组织”,其中22个都在以某种方式支持政府。火眼公司位于加利福尼亚州的米尔皮塔斯,于1月份收购了Mandiant。欣德隆德表示,至少有五个组织似乎与一个或多个军事组织有直接关联。他还表示,这只是一个保守的估计。
戴尔公司旗下的SecureWorks公司的研究人员乔·斯图尔特表示,截至去年,在他追踪的2.5万个可疑网络域中,“注释组”(Comment Crew)和被他称为“北京组”(Beijing Group)的一个团队占据了“很大一部分”。他说“北京组”使用了一个专用的IP地址段,可以追溯到中国联通在北京的网络。中国联通是该国提供互联网服务的三大国有电信企业之一。
“有谍报活动是从那里发出的,”斯图尔特说。不过他补充说,他没有见到“北京组”与中国联通或其他国有实体合作的证据。
一名男子在接听中国联通一位发言人的手机后,表示拒绝发表评论。
“注释组”和“北京组”针对的目标有重叠,例如,二者都关注外国公司和政府机关。不过,斯图尔特说,“北京组”也会关注“某些类型的活动人士”,包括藏人和维吾尔人流亡团体。他还说,世界上已知的300个恶意软件家族中,多数都归咎于他们。
从2006年末开始,西方网络安全专家发现,企业受到的在线谍报攻击激增。在那以前,攻击的目标主要是政府部门或政府承包商。专家表示,企业受到的第一波情报攻击中,很大部分可以追溯到中国,具体可以追溯到“注释组”。大约一年之后,“北京组”出现了。
斯图尔特表示,一个较小的团队发起的攻击似乎关注于越南的目标。该团队的攻击被追溯到了位于云南省会昆明的IP地址,因而被称为“昆明组”(Kunming Group)。“昆明组”利用恶意软件和所谓的“鱼叉式钓鱼攻击”(spear-phishing attack),试图引诱受害者点击越南语的消息和链接。
目前还不清楚“昆明组”到底想要得到什么。不过最近几年,由于南海上的领土争端,中国与越南之间的紧张关系不断升级。本月,中国把一个石油钻井平台移到了越南附近,越南爆发了抗议。越南也在与国外的石油公司合作,从而对那片海域进行勘探和开采。
网络安全专家说,奥巴马政府一直专注于揭露企业间谍活动,但是涉嫌为中国政府服务的黑客们,却攻破了大批外国政府机构的网络。
例如,火眼公司表示,该机构观察到了针对台湾政府机构,以及一名印度教授的间谍攻击活动,该名教授持亲西藏立场。火眼公司将攻击者称作“十强帮”(Shiqiang Gang)。去年9月,中国大陆的一个组织还对日本的政府机构和企业实施了攻击,方法是向日本的媒体网站植入指令,从而感染用户。
火眼公司的首席执行官欣德隆德说,在判断黑客是国家雇员还是私人承包商时,他的同行们会关注多种因素。一个因素是黑客使用的安全手法:军方的黑客不会那么马虎大意。另一个是攻击目标:如果黑客的各个攻击目标大相径庭,那可能是一个承包商。最近几个月,火眼发现一名黑客攻击了外国的国防和航空企业,然后又攻击了一家在线娱乐公司。欣德隆德说,这名黑客似乎就来自一家私人承包商。
目前还没有一种行之有效的方法,能够让中国的黑客部队悬崖勒马。2013年初,美国的官员们希望,Mandiant发布的报告以及奥巴马政府对中国网络间谍活动的强烈谴责,可以让“注释组”停止活动。但欣德隆德说,他们沉寂了一段时间,在五个月后就再次浮出水面。现在,其攻击活动已经回到了2013年以前的水平。
“他们正在使用相似的战术,但实施攻击的网络设施已经改变,”欣德隆德说,“他们的工具只是略作修改。总体上来说,大多数改动都很小。”黄安伟 2014年05月23日 《纽约时报》
网络间谍战,中美各执一词
61398部队位于上海的总部(中)
美国政府对中国人民解放军最有名的网络战机构——名为61398部队,黑客圈子则称其为“注释组”(Comment Crew)——的一些成员提出了指控,由此转用刑事司法体系来加强自己的论点,即美国虽然每天都在从事以国家安全为目的的间谍活动,但这种活动与中国军方以盈利为目的的商业间谍活动有很大的不同。
中方称这种不同是美国人的编造,目的是谋取商业优势。他们认为,寻找商业秘密是构建国家安全的一部分,对一个正在崛起的经济大国来说尤其如此。与此同时,尽管美国官员不愿承认,但华盛顿的观点在全世界的支持者确实比较少。比如,法国曾因从事国家支持的商业间谍活动而臭名昭著,此事发生在中国掌握这种形式的间谍活动之前很久。此外,如果愿意的话,中国领导人有充足的机会进行报复,让美国公司的日子更加难熬。
美国司法部长小埃里克·H·霍尔德重申了“我们的间谍活动不是为了美国企业”这一观点。这项指控的内容包括61398部队涉嫌窃取了有关核电站的商业秘密,以及美国一家太阳能公司的内部信息。有关核电站的秘密能让中国公司省去数年的设计工作,美国的那家太阳能公司则正在对中国的竞争对手进行商业投诉。
“受到指控的这些黑客行为似乎别无目的,只是为了让中国的国有企业和其他利益集团获利,代价则是美国企业遭受损害,”霍尔德说,“这是美国政府明确谴责的一项策略。正如奥巴马总统在许多场合说过的那样,我们收集情报不是为了让美国公司或美国商界获得竞争优势。”
根据去年公布的证据,几乎可以肯定的是,注释组的目标包括一些与中国国有企业直接竞争的公司,而这些中国国有企业不光为中国人民解放军提供了资助,经常还会让中国军方领导人获利。不过,这些公司绝不是中国间谍活动的唯一目标:出于不同理由,国防部长办公室、制造新型联合攻击战斗机的公司、对外关系委员会、阿斯彭研究所和《纽约时报》都被中国黑客组织列为了目标。
然而,美国能抱怨的范围很有限,因为美国自身也把中国的一些类似机构列为了目标——理由同样暧昧不明。因此,向中国国家主席习近平提起这个问题时,奥巴马只是强调了商业间谍活动,称使用国家情报工具获取商业优势的举动会造成大得多的危害。他说,美国可能会竭力了解中国的核武库,或是北京方面在中日领土争端当中的意图,但却不会从中国电信窃取信息来帮助AT&T。
检方的重点是最明显的商业案件,或许是因为美国认为,这种案件可以支持奥巴马总统的中心论点,即知识产权具有神圣的特性。
“这不是他们随便从后兜里掏出来的东西,”凯文·曼迪亚说,“这是压力合乎逻辑的升级。”去年,他所在的机构、火眼(FireEye)旗下的Mandiant公司编制了首份有关61398部队的公开报告。
但是,美国此举还有一个目的,那就是夺回美国去年因前国家安全局(NSA)承包商雇员爱德华·J·斯诺登泄密事件而失去的优势。斯诺登泄露的文件表明,奥巴马在谈论中方网络行为时所说的清晰界限其实往往比较模糊。
早在斯诺登带着大批文件走出NSA驻夏威夷办事处之前,事实就已经十分明显,那就是美国也免不了要从事商业间谍活动,前提是这些活动并不服务于特定公司的直接利益。
例如,需要支持贸易谈判的时候,美国经常从事以商业优势为目的间谍活动;20世纪90年代,克林顿政府为与日本达成协议而在一次重大谈判当中陷入僵局,美国便对日本谈判代表的豪华轿车进行了窃听。当时,最大的受益者将是美国汽车行业的三巨头和少数零部件供应商。人们普遍相信,美国还在以情报工作支持与欧洲和亚洲贸易伙伴的现行贸易谈判。但是,按照几届民主党和共和党政府的观点来看,这种做法理应受到抨击。
公司也可能成为目标。斯诺登泄露的文件表明,美国政府对华为的服务器进行了深度窥探,后者是中国最成功的互联网和通讯公司之一。文件清楚地表明,NSA想知道华为究竟是不是人民解放军的一个前线阵地,它是否对监控美国公司感兴趣。但是,此举还有一个目的,那就是进入华为的系统,并利用这些系统来监视购买华为设备的国家。
华为官员称,他们不明白这与美国对中国的指责有何重大不同。
但是,情报圈内人士并不认同这种逻辑。“我对此次控告表示欢迎,因为我国政府借此驳斥了我们与中国一样的错误观点,”曾担任NSA和中央情报局负责人的麦克尔·V·海登说。他还说,“这样做很冒险,但我们此前毫无进展。”
这样做确有风险,因为中国已宣布将停止中美两国就互联网行为准则举行的小型对话,至少是暂时停止。
这些对话本已困难重重。4月,美国国防部长查克·哈格尔前往北京,强烈呼吁在中美两国之间建立一个关于网络策略的新沟通渠道。美国官员已经向中国介绍了美国的网络安全概况,并且强调,NSA并没有把它搜集到的信息交给苹果、微软或谷歌。
美国之所以这样做,是希望促使中方向华盛顿提交一份关于中国人民解放军某些部队的类似报告,这些部队据信是美国企业和政府网络所受攻击的主谋。截至目前,中方还没有作出礼尚往来的回应。
相反,中方否认解放军实施了网络行动。去年年初,《纽约时报》发表了一篇关于61398部队的文章,文章详细讲述了该部队的一些行动,北京方面的回应是愤怒的否认。之后数周,该部队按兵不动。
接着,该部队卷土重来——它通过不同的服务器进行活动,针对的则往往是同一些美国公司。
2014年05月20日 《纽约时报》
