天朝“御用黑客”王东顾春晖等是如何暴露的zz
原载于http://news.cecb2b.com/info/20140520/2303970.shtml,已经被删除。但是百度快照里还能找回来。
2014-05-20 10:22 网络安全攻防研究室
最近2星期的热点话题是:天朝61398部队的御用骇客。今天转载一些网文和图片,八卦一下御用骇客被曝光的过程。
话说美国方面这次掌握的材料已经很充分了(看完本文,你会意识到这点)。但是天朝外交部摆出一副”死猪不怕开水烫”的架势,打死不承认。
★图片若干
在此次事件中,最有价值的信息,就是美国计算机安全公司 Mandiant 发布的报告(共76页,下载链接在”这里“)。这份报告算是比较详细的,介绍了御用骇客的种种事迹和入侵手法。对网络安全有兴趣的同学,这份报告值得一读。
考虑到很多读者比较懒,俺贴出该报告的其中几张截图,再配上俺的简要解说。
◇中国电信授权61398部队接入上海005中心
这是中国电信的一个内部文件(截图下方是发现该文件的网址)。
里面明确提到了:61398部队隶属总参三部二局,位于高桥(上海浦东)。
◇御用骇客常用的工具 这是御用骇客收集用户口令的工具。
这是御用骇客收集 Windows 系统信息的批处理脚本。
◇御用骇客使用的 IP 地址
下面几张是美国方面监控到的,入侵美国公司所用的 IP 地址,有相当多的攻击来源,是来自于上海市浦东区高桥镇。
如果你看过俺写的《反侦察-网警你想如何抓到我》可能会觉得奇怪:这帮御用骇客难道不用代理吗?
俺来解释一下:
1.御用骇客的人数很多,素质也是参差不齐。人多了之后,难免会有人不遵守纪律。有些人估计是嫌麻烦,没做到 “入侵 的全过程都通过代理”。只要有 1% 的人出现疏忽,那么整个团队所在的位置就会被曝光。
2.御用骇客跟民间骇客不同。民间骇客搞入侵,一旦暴露有可能会被抓。所以,有经验的民间骇客会更小心谨慎。而御用骇客是朝廷的人,不用担心被抓。因为缺乏心理上的顾虑,也就没有那么小心谨慎。
某些替朝廷辩护的五毛会说,这是别国的黑客利用中国的肉鸡做跳板。
如果真的是这样,那就非常奇怪了:为啥别国的黑客碰巧都用了上海浦东区高桥镇的网段当肉鸡?而且碰巧高桥镇还驻扎着一个解放军的网络战部队?
◇被人肉的骇客之一:汪东(网名 Ugly Gorilla)
他暴露的主要问题在于,他使用了相同的邮箱([email protected]),相同的网名(UglyGorilla)注册了如下网站:
1. 中国军网
该网站隶属《解放军报》旗下。2004年,张召忠(赫赫有名的天朝战略忽悠局局长)做客该网站,接受网友的在线提问。当时汪东曾向张召忠在线提问,问题内容是关于”中国网络战”。
看来张召忠的忽悠能力很强啊。连御用骇客都成为他的粉丝了。
2. rootkit.com
这是国外知名的黑客网站,专门提供 "木马/后门" 等方面的资料。
该网站后来被大名鼎鼎的 “匿名黑客组织” 攻破并爆库,用户数据库中就有 [email protected],且注册该帐号的 IP 地址(58.246.255.28)来自上海浦东高桥。
3. www.pudn.com
国内开发人员网站,美国安全专家在该网站上查到了注册用户 UglyGorilla 的真名是 "汪东"。
另外,他还喜欢处处留名——在自己开发的木马工具中,写了如下签名:
v1.0 No Doubt to Hack You, Writed by UglyGorilla, 06/29/2007
细心的同学应该已经发现了,这句签名存在英语的语法错误。美国专家显然也发现这一点。他们还整理了一个清单,列出了入侵美国公司的木马软件中,存在的各种英语语法错误。截图如下:
下面两张图片,是 Mandiant 报告中关于 “汪东” 的部分。
关于 “汪东” 的案例,给大伙儿的教训就是:
如果你要从事有危险的网络活动,一定不要混用网络帐号(包括:邮箱、IM、网站用户名、等)。
比如俺这个 “编程随想” 的身份,涉及到的所有网络帐号(包括 G+、Twitter、等)都是单独的,跟俺日常使用的帐号完全隔离。
不光帐号隔离,连上网操作俺都是在不同的虚拟机中分别进行。
◇被人肉的骇客之二:DOTA
此人注册了很多邮箱(比如 [email protected] – [email protected]),主要用来伪造不同身份,搞社会工程学的入侵。(如果你没听说过 “社会工程学”,可以看俺在 “这里” 的扫盲教程)
Mandiant 的报告提到说,由于创建的帐号太多,所以口令管理是一件麻烦事。DOTA 经常使用基于键盘布局的口令(比如 1qaz@WSX#EDC)。这种口令表面上复杂,其实强度不够。
很可能是因为 DOTA 的口令不够强,某些邮箱帐号被 Mandiant 的专家攻破了。下面是 DOTA 的某个 Gmail 邮箱的截图。
拿到 DOTA 的 Gmail 邮箱之后,DOTA 的很多入侵行为就显而易见了。
Mandiant 的报告还提到说,DOTA 除了使用基于键盘布局的口令,还使用了这个口令(2j3c1k)。Mandiant 的专家怀疑,2j3c1k 对应于中文 “2局3处1科”(61398部队隶属总参3部2局)。
另外,DOTA 注册邮箱使用了手机接收验证码,所以他的手机也被曝光了,号码是 159-2193-7229(中国移动上海号段)
关于 “DOTA” 的案例,给大伙儿的教训就是:
网络帐号的密码一定要强。你在不同网站使用的密码一定要不同,而且要让人看不出规律。
◇其它图片
下面这张是:61398部队的成员发表的信息安全相关论文
下面这张是:61398部队在浙江大学招收定向研究生
91ri.org:
若论网络信息战,众所周知美国在这一方面的战斗力在世界可谓无出其右。美国自己一直在不遗余力地发展本国的信息作战部队。2005年3月美国《国防战略报
告》明确将网络空间和陆、海、空、航天定义为同等重要的、需要美国维持决定性优势的五大空间;2012年3月时美国决定加紧其网络支援部队的组建工作,按
照计划,美国将在六大战区作战司令部组建网络支援部队。美国家安全局和网络司令部司令基思·亚历山大对此曾表示“网络司令部的能力将是有效威慑的关键组成
部分。”
图:美军网络战指挥中心
不仅如此,在信息战中同美国对其他国家也存在着不对称优势。今天国际互联网的前身阿帕网正是美国出于军事角度考虑而组建的计算机网络;而支撑国际互
联网运转的13个根服务器中,不仅主根服务器设在美国,12个副根服务器中有9个也设在美国。特别是管理根服务器的ICANN是向美国商务部负责,其他国
家的法律对它无任何约束。在去年12月举行的国际电信世界大会上,美国纠集25个国家反对在推动所有国家平等管理互联网的新版《国际电信规则》上签字。美
加州共和党议员约翰?杜立特甚至说:“美国发明了互联网。它是我们送给世界的礼物,美国的纳税人为其提供了资金,联合国想拿走这个礼物,以增加其权力的举
动必须被阻止。”
同时:该公司最后结论是,它自己也不能肯定一定就是61398干的,只给出了两个可能,一是apt1是身份更加隐蔽的团队,二是61398是apt1。
注:本文观点不带表本网站,文章仅供学习请勿作他用。
参考文章:
http://www.freebuf.com/articles/others-articles/7509.html
http://program-think.blogspot.com/2013/02/weekly-share-41.html
本文由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理,转载请注明出处。
菜,要辣的才过瘾!
5月19日,美方捏造事实,以所谓网络窃密为由宣布起诉5名中国军官,此举严重违反国际关系基本准则,损害中美合作与互信。中方已在第一时间向美方提出抗议,敦促美方立即纠正错误、撤销所谓起诉。
中国政府在网络安全问题上的立场是一贯的、明确的。中国是网络安全的坚定维护者,中国政府和军队及其相关人员从不从事或参与通过网络窃取商业秘密活动。美方对中方人员的指责纯属无中生有,极其荒唐。
长期以来,美方有关部门对外国政要、企业、个人进行大规模、有组织的网络窃密和监听、监控活动,这已是路人皆知。中国是美方网络窃密和监听、监控的严重受害者。根据公开披露的大量信息,美方有关机构一直对中国政府部门、机构、企业、大学、个人进行网络侵入和监听、监控。中方就此多次向美方提出严正交涉。我们再次强烈敦促美方作出清楚的解释,立即停止此类活动。
鉴于美方对通过对话合作解决网络安全问题缺乏诚意,中方决定中止中美网络工作组活动。中方将根据形势发展,对美方所谓起诉作出进一步反应。
菜,要辣的才过瘾!
很多时候,我们侥幸的绝处逢生;很多时候,希望再现,可是我们已经坠落山崖;希望也许给了我们坚持的理由,绝望却让我们得以重生。