研究员发现黑客使用服务器IP地址
星岛日报记者李海涛/中国把西藏问题看作是高度敏感,因此中国公安部对藏人机密资料更感兴趣。据戴伯特介绍,达赖喇嘛办公室允许研究人员接触系统内的任何角落,结果发现了黑客的服务器(jdusnemsaz.com/119.84.4.43)。
研究还发现,达赖喇嘛办公室的电脑系统被两种以上不同的病毒所侵入,研究人员找出两个以上网络间谍机构介入的痕迹,他们可以远程控制被侵入的电脑,随意窃取想要的文件。顺藤摸瓜,研究人员找到了这两个网址的IP地址,但却无法访问。另一个网址www.assam2008.net连IP都查不到,是一个新来替补的攻击者。
研究人员发现,黑客从达赖办公室电脑中保留的两个非常敏感的文件盗走,这并非早先媒体所说的,黑客进入了他们的电子邮件系统直接盗取邮件。这两份文件分别是“当前信件”(218KB)和“2009年主要信件”(4,311KB)两份文档,内含2009年从达赖喇嘛办公室发出的超过1,500封电邮,大部分是回应各种邀请和访问请求的信件,包含各地与达赖办有联系人员的信息,以及达赖与世界各地藏人的联系人,还有达赖的个人行程机密等。
根据“云影”报告所述,研究人员追踪到黑客使用的服务器IP地址,在先后两次调查中,发现有一个域名lookbytheway.net一直在发起攻击,其注册邮件是[email protected]。该邮件主人还拥有另一个邮件名为lost33,是中国两个著名黑客论坛(Xfocus, Isbase)的常客,与另外两个黑客网站NSfocus和Eviloctal也有联系,属于中国黑客的成员。
“云影”报告指出,中国有一个非常强大的黑客群体,过去多次对海外发动攻击,与中国政府有一种模糊的关系,经常配合中国政府的时事动向,攻击中国政府的“敌人”。当然,研究者承认,一方面没有证据显示他们受到政府的指使;另方面也并不意味着他们与政府无关。云影”报告认为:中国情报收集策略是在全球范围不放过任何小的情报,他们拥有由学生、旅行者、教师、在海外工作人员组成的庞大情报网,对任何不起眼的情报都加以收集。
多大研究员曝光黑客报告.指达赖办公室去年全部电邮遭窃
记者 李海涛
多伦多大学一批研究人员,继2009年曝光了“追踪鬼网”(Tracking GhostNet)后,今年同期再次曝光“云影”(Shadows in the Cloud)报告,内容直指中国网络黑客入侵了达赖办公室的电脑系统,窃取了该办公室2009年的全部电子邮件,完全掌握了达赖的行踪和全球与之联络的人员名单。
此事马上成为各大媒体聚焦报道的话题。究竟这份“云影”报告的详细内容是什么?研究者凭藉什么依据剑指中国?详细报道请参阅今日出版的《加拿大都市报》。
研究报告多方合作完成
在解构“云影”报告前,首先要了解研究者的背景。这次研究报告是由信息战观察员(Information Warfare Monitor)和阴影服务器基金(Shadowserver Foundation)共同合作的成果。信息战观察员是一个民间实验室,由多伦多大学蒙克学院国际研究中心和SecDev公司联合组成的一个研究机构。SecDev公司是位于渥太华的一个安全谘询机构,侧重于研究国家和地区之间的不安定因素。影子服务器基金则是一群安全专家志愿者,在2004年组建的机构,主要监控研究恶意软件和电子邮件的袭击。
在2009年发布“追踪鬼网”调查中,指出黑客入侵达赖喇嘛办公室的电脑系统并盗取机密文件,报告公布以后,其中被点名的几个嫌疑网站随后都停止运行。因此研究人员在追踪鬼网行动6个月后,开始一项更进一步的调查,这份名为“云影”就是这次调查结果的披露。
研究人员于2009年8月到12月期间,一直在达赖喇嘛位于印度的办公室进行实地调查,除了和工作人员面谈之外,还进行了数据收集和追踪工作,结果发现黑客不断把他们的一些文件数据传输到黑客的服务器上(Common Ground和TennorNet),与此同时还有几个非政府组织的电脑也同样被窃取资料。经过追踪发现黑客服务器来自jdusnemsaz.com/119.84.4.43,其地理位置为中国重庆市。
“云影”报告还指出,发现处于中国境内的这个服务器与著名的以亚洲为基地犯罪组织三合会(Triads)有关,报告还点明该组织与中国政府很紧密的关联。根据资料显示,三合会如今已经从传统犯罪领域延伸到高科技犯罪,比如制造电脑病毒软件和制造假信用卡等方面。“云影”研究结果发现,来自TennorNet的电脑就是侵入西藏流亡政府国会议员Serta Tsultrim电脑的元凶。Serta Tsultrim是藏文周报《Tibet Express》的编辑,也是藏人文化中心的总监和藏人记者协会的成员。正是因为他怀疑自己的电脑被侵入,才启动了加拿大学者不远万里前去“捉虫”的行动。
社交平台成黑客最好掩体
记者 李海涛
“云影”报告还显示,黑客利用大家常用的网络社交平台发起攻击,把病毒放在Google网页上用于下载。研究者总共发现黑客使用3个Twitter账户、5个Yahoo Mail账户([email protected];[email protected];[email protected];[email protected];[email protected])、12个Google团体账户、8个Blogspot博客、9个百度博客、1个Google网页和16个在blog.com博客作攻击界面。黑客这么做的目的是:如直接从服务器发来信息则很容易被防火墙挡住,社交平台则是很好掩护。
研究人员根据调查所得勾勒出一张巨大的黑客分布网络,黑客第一层攻击利用电子邮件、社交网站、大公司的服务器发起,这样人们不容易察觉这属于恶意软件。根据调查显示:这些发出命令的主服务器多数位于中国大陆,而不是在其他国家的那种不稳定的免费网站服务器,这样设计的目的,估计能使黑客依赖的服务器更为保密、稳定和持久。
发出命令的服务器需要具有稳定性、可控性,在网络攻击中处于核心位置,黑客一般选择自己比较信任可控的服务器作为命令发源地。以下是研究人员发现的服务器地址:c2etejs.com;erneex.com;idefesvn.com;jdusnemsaz.com;peose.com; indexnews.org;lookbytheway.net;microsoftnews.net;tibetcommunication.com;.intoplink.com;indexindian.com。所有这些域名服务器IP地址都在中国大陆。黑客一般使用较普通的Word2003文档和PowerPoint 2003文件作为附件,文件名起得也很别致,让人误以为是安全的文件。当不明事端者一旦打开就会中毒。
