Google.Translate

2015年9月24日 星期四

中共軍隊黑客再曝光 成都軍區78020部隊

(記者海寧編譯報導)
中共解放軍總參謀部第61所下屬的黑客部隊(全部以「61」開頭)已經廣為世界所知。但美國網絡安全公司ThreatConnect和諮詢公司DGI共同發表的一份報告稱,中共軍隊還存在其它的黑客部隊,如成都軍區78020部隊就是其中之一。
一個中共黑客的軌跡
《華爾街日報》報導說,明面上葛星是中共成都軍區78020部隊的一名泰國政治研究者,曾在中國雜志上發表多篇有關泰國政治民主化議題的學術文章。ThreatConnect和DGI通過對其社交網絡發言的分析表明,葛星居住在昆明,最近有了孩子,是一名山地車愛好者。他駕駛一輛白色大眾高爾夫轎車,偶爾批評一下中共政府。此人似乎不像是個黑客。
但是,葛星在互聯網上的其它活動卻將他和一個專門攻擊對美國具有戰略意義目標的中共軍隊黑客團體連在一起。ThreatConnect和DGI的報告指,葛星以及他所在的78020部隊和一個名叫「Naikon」的黑客組織有直接關聯。安全專家表示,在南海爭端中許多反對中共的國家的政府網絡曾被這個黑客團體成功入侵。
葛星被發現,是因為他違反了Naikon的一貫模式。爲了盜竊情報而不被發現,Naikon使用了幾百個特殊的互聯網域名。大多數此類域名模仿目標國家的真實網址。但是「greensky27」的域名卻很特立獨行。
通過對「greensky27」域名5年的研究,研究者們發現,此域名頻繁並長時間的訪問中國城市昆明的網址。DGI裡講中文的分析師順藤摸瓜,發現了使用「greensky27」網名並取得了該賬號在昆明的社交網絡記錄。
通過對比Naikon網絡中「greensky27」域名和社交網絡的賬號,研究者們發現了一個固定模式。比如2012年2月,黑客「greensky27」域名多次訪問北京的互聯網服務器。同一天,騰訊微博上的用戶「greensky27」發微博說正在北京。同年11月,百度用戶「greensky27」在百度發帖說生了個男孩。此後黑客「greensky27」的域名沉寂了一個多星期,和休假照顧老婆孩子吻合。
2013年,騰訊用戶「greensky27」發布的照片稱,他去雲南玉溪縣參拜了葛氏祠堂。葛星的全名、電話號碼以及工作單位從此曝光。但是,他的軍職和階級仍不明。
葛星於2011年和2013年在工作時間拍攝的天際線證實他確實是在中共軍隊工作。這些照片顯示,其拍攝地點是昆明市中心的軍隊大院內部。另一系列照片中有積雪覆蓋的車輛、停車場和水塔,也被證實是在同一地點拍攝。《華爾街日報》記者最近的實地調查證明,該大院的確屬於中共解放軍78020部隊。但該部隊宣傳辦公室人員拒絕透露葛星是否在那裡工作。
網名為「greensky27」的用戶對自己的軍隊背景從不隱瞞。騰訊用戶「greensky27」稱,自己於1998年畢業於中國解放軍國際關係學院。2014年,同一用戶發布了一系列遊覽該大學南京校區的照片,並附言說「只貼不說,自己看」。幾週後,他又發布了解放軍火灾演練以及慶祝中共建軍87週年活動的照片。自從葛星2012年有了兒子之後,他的社交媒體發言轉向家庭生活、天氣和旅行。但在《華爾街日報》記者和葛星通話後不到一天,騰訊賬戶「greensky27」即被刪除。
對黑客域名「greensky27」的分析發現,此人有正常的每週工作時間。這名黑客一般北京時間每天早上9點上線,然後在下午6點下線。在中國新年期間,此人一般不上線,但是也有例外。2012年中國新年(1月23日)期間,「greensky27」照例休假。但在一個菲律賓代表團同美國展開有關軍事合作的對話曝光之後,「greensky27」突然在一天之後的1月27日再度活躍。
ThreatConnect的數據表明,2012年起,黑客域名「greensky27」頻繁訪問泰國的域名和網址。2014年5月美國司法部起訴了5名中共61398部隊的黑客之後,其訪問量開始下降。
葛星於2008年發表的兩篇論文中,作者單位均為78020部隊。該部隊是成都軍區的技術偵查部隊,駐地在昆明。美國2049計劃研究所執行主任斯托克斯(Mark Stokes)是中國軍隊在情報收集和網絡間諜中角色的權威。他表示,中共解放軍一共有20多個類似78020部隊的建制,其功能為情報收集與分析以及計算機網絡防禦和攻擊。
成都軍區的職責之一是負責維護西藏安全,此外還有維護中共和越南、緬甸以及印度的邊界。斯托克斯說,成都軍區還有另一支類似78020部隊的黑客組織,專門針對流亡西藏精神領袖達賴喇嘛身邊的網絡系統。他說,因此78020部隊去收集有關南海的情報理所當然。
ThreatConnect和DGI發現,葛星在社交媒體上的用戶名為「greensky27」。而黑客組織Naikon裡,也有一個「greensky27」。在此報告發表前,ThreatConnect和DGI將其草稿交給了《華爾街日報》。今年8月,《華爾街日報》記者在和葛星的短暫通話中,證實「greensky27」確為葛星在社交媒體上的用戶名,但葛星拒絕談論他是否是ThreatConnect和DGI報告中的主人公。他在電話中威脅《華爾街日報》記者說,如果見報,他就報告警察。從此以後,葛星再沒有接電話,也沒有回復短信。ThreatConnect公司說,《華爾街日報》記者在和葛星通話後大約一小時,黑客組織Naikon中的用戶「greensky27」就停用了,近來一直處於離線狀態。
葛星的社交媒體發言表明他是一個山地車愛好者。昆明一個自行車俱樂部的創建人認出了葛星的照片,說他有時會加入該俱樂部在昆明地區的騎行活動。
像許多中國的戶外運動愛好者一樣,葛星在想到污染的天空時就流露出期盼的念頭。在一張於78020部隊大院內拍攝的天空照片中,葛星評論道:「今天空氣質量一般。祝願大家和平,世界安寧」。

中共黑客組織Naikon
Naikon這個名字來自該組織使用的一款惡意軟件中的一段代碼。該組織慣於使用精心打造的釣魚電子郵件,誘使收件人打開其帶有惡意軟件的附件。俄國反病毒軟件公司卡巴斯基實驗室表示,Naikon過去使用的附件中,有老撾選美大賽佳麗拍攝的日曆、有關戰略話題的英文或本地語言新聞以及看上去像機密的備忘錄等。卡巴斯基實驗室稱,Naikon使用這種被稱之為「釣魚」的技術,成功的打入越南、菲律賓以及其它南亞國家的政府、軍隊、媒體和能源公司網絡。
供職於ThreatConnect公司的巴格爾(Richard Barger)說,和俄國黑客使用的惡意軟件相比,Naikon的病毒還處於「石器時代」。但因為Naikon的對手不夠老道,因此Naikon的成功率很高。

來源轉自:
【2015年09月24日訊 責任編輯:黃小渝】
(注意:帖內文或圖片中可能含有厭惡性簡體字;本站維護中華文化,堅決行使正體字。版權歸著者所有。)
【其他.相關】:

沒有留言: