2015年9月24日星期四

中共军队黑客再曝光 成都军区78020部队

大陆直连看禁闻https://j.mp/jproxy

中共解放军总参谋部第61所下属的黑客部队(全部以“61”开头)已经广为世界所知。但美国网络安全公司ThreatConnect和谘询公司DGI共同发表的一份报告称,中共军队还存在其它的黑客部队,如成都军区78020部队就是其中之一。

一个中共黑客的轨迹

日报》报导说,明面上葛星是中共成都军区78020部队的一名政治研究者,曾在中国杂志上发表多篇有关泰国政治民主化议题的学术文章。ThreatConnect和DGI通过对其社交网络发言的分析表明,葛星居住在昆明,最近有了孩子,是一名山地车爱好者。他驾驶一辆白色大众高尔夫轿车,偶尔批评一下中共政府。此人似乎不像是个黑客。

但是,葛星在互联网上的其它活动却将他和一个专门攻击对美国具有战略意义目标的中共团体连在一起。ThreatConnect和DGI的报告指,葛星以及他所在的78020部队和一个名叫“Naikon”的黑客组织有直接关联。安全专家表示,在南海争端中许多反对中共的国家的政府网络曾被这个黑客团体成功入侵。

葛星被发现,是因为他违反了Naikon的一贯模式。为了盗窃情报而不被发现,Naikon使用了几百个特殊的互联网域名。大多数此类域名模仿目标国家的真实网址。但是“greensky27”的域名却很特立独行。

通过对“greensky27”域名5年的研究,研究者们发现,此域名频繁并长时间的访问中国城市昆明的网址。DGI里讲中文的分析师顺藤摸瓜,发现了使用“greensky27”网名并取得了该账号在昆明的社交网络记录。

通过对比Naikon网络中“greensky27”域名和社交网络的账号,研究者们发现了一个固定模式。比如2012年2月,黑客“greensky27”域名多次访问北京的互联网服务器。同一天,腾讯微博上的用户“greensky27”发微博说正在北京。同年11月,百度用户“greensky27”在百度发帖说生了个男孩。此后黑客“greensky27”的域名沉寂了一个多星期,和休假照顾老婆孩子吻合。

2013年,腾讯用户“greensky27”发布的照片称,他去云南玉溪县参拜了葛氏祠堂。葛星的全名、电话号码以及工作单位从此曝光。但是,他的军职和阶级仍不明。

葛星于2011年和2013年在工作时间拍摄的天际线证实他确实是在中共军队工作。这些照片显示,其拍摄地点是昆明市中心的军队大院内部。另一系列照片中有积雪覆盖的车辆、停车场和水塔,也被证实是在同一地点拍摄。《华尔街日报》记者最近的实地调查证明,该大院的确属于中共解放军78020部队。但该部队宣传办公室人员拒绝透露葛星是否在那里工作。

网名为“greensky27”的用户对自己的军队背景从不隐瞒。腾讯用户“greensky27”称,自己于1998年毕业于中国解放军国际关系学院。2014年,同一用户发布了一系列游览该大学南京校区的照片,并附言说“只贴不说,自己看”。几周后,他又发布了解放军火灾演练以及庆祝中共建军87周年活动的照片。自从葛星2012年有了之后,他的社交媒体发言转向家庭生活、天气和旅行。但在《华尔街日报》记者和葛星通话后不到一天,腾讯账户“greensky27”即被删除。

对黑客域名“greensky27”的分析发现,此人有正常的每周工作时间。这名黑客一般北京时间每天早上9点上线,然后在下午6点下线。在中国新年期间,此人一般不上线,但是也有例外。2012年中国新年(1月23日)期间,“greensky27”照例休假。但在一个菲律宾代表团同美国展开有关军事合作的对话曝光之后,“greensky27”突然在一天之后的1月27日再度活跃。

ThreatConnect的数据表明,2012年起,黑客域名“greensky27”频繁访问泰国的域名和网址。2014年5月美国司法部起诉了5名中共61398部队的黑客之后,其访问量开始下降。

葛星于2008年发表的两篇论文中,作者单位均为78020部队。该部队是成都军区的技术侦查部队,驻地在昆明。美国2049计划研究所执行主任斯托克斯(Mark Stokes)是中国军队在情报收集和网络间谍中角色的权威。他表示,中共解放军一共有20多个类似78020部队的建制,其功能为情报收集与分析以及计算机网络防御和攻击。

成都军区的职责之一是负责维护西藏安全,此外还有维护中共和越南、缅甸以及印度的边界。斯托克斯说,成都军区还有另一支类似78020部队的黑客组织,专门针对流亡西藏精神领袖达赖喇嘛身边的网络系统。他说,因此78020部队去收集有关南海的情报理所当然。

ThreatConnect和DGI发现,葛星在社交媒体上的用户名为“greensky27”。而黑客组织Naikon里,也有一个“greensky27”。在此报告发表前,ThreatConnect和DGI将其草稿交给了《华尔街日报》。今年8月,《华尔街日报》记者在和葛星的短暂通话中,证实“greensky27”确为葛星在社交媒体上的用户名,但葛星拒绝谈论他是否是ThreatConnect和DGI报告中的主人公。他在电话中威胁《华尔街日报》记者说,如果见报,他就报告警察。从此以后,葛星再没有接电话,也没有回复短信。ThreatConnect公司说,《华尔街日报》记者在和葛星通话后大约一小时,黑客组织Naikon中的用户“greensky27”就停用了,近来一直处于离线状态。

葛星的社交媒体发言表明他是一个山地车爱好者。昆明一个自行车俱乐部的创建人认出了葛星的照片,说他有时会加入该俱乐部在昆明地区的骑行活动。

像许多中国的户外运动爱好者一样,葛星在想到污染的天空时就流露出期盼的念头。在一张于78020部队大院内拍摄的天空照片中,葛星评论道:“今天空气质量一般。祝愿大家和平,世界安宁”。

中共黑客组织Naikon

Naikon这个名字来自该组织使用的一款恶意中的一段代码。该组织惯于使用精心打造的钓鱼电子邮件,诱使收件人打开其带有恶意软件的附件。俄国反病毒软件公司卡巴斯基实验室表示,Naikon过去使用的附件中,有老挝选美大赛佳丽拍摄的日历、有关战略话题的英文或本地语言新闻以及看上去像机密的备忘录等。卡巴斯基实验室称,Naikon使用这种被称之为“钓鱼”的技术,成功的打入越南、菲律宾以及其它南亚国家的政府、军队、媒体和能源公司网络。

供职于ThreatConnect公司的巴格尔(Richard Barger)说,和俄国黑客使用的恶意软件相比,Naikon的病毒还处于“石器时代”。但因为Naikon的对手不够老道,因此Naikon的成功率很高。

来源: 责任编辑:黄小渝

本文标签:, , , , , , , , , , , , , , , , , , , , , , , ,

没有评论:

发表评论