北京——被控為中國軍隊充當黑客的汪東在一個社交媒體的頁面上寫道,他「胸無點志」,只希望「仗劍走天涯,痴漢」。他的綽號比他的名字更出名,叫做UglyGorilla(「丑猩猩」)。
另一名被告名為孫開亮,又稱傑克·孫(Jack Sun)。他成長於中國東部富裕的沛縣,出生於這裏的一個農民建立了漢朝,還被毛澤東視為偶像。
本周,前述兩人與其他三人一同受到了美國司法部的指控。司法部指控他們是中國某軍事單位的成員,該單位曾藉助黑客手段進入一些知名美國公司的電腦系統,竊取商業機密,估計是出於為中國公司謀利的目的。
關於他們的許多情況仍舊不得而知。但是,中國網站的資料,以及對中國國內外網絡安全專家及前黑客的採訪,都表明這些人與其他黑客有一些共同特點,還表明中國的黑客文化是一個複雜的混合體,其動機、僱主和效忠對象都在不斷發生變化。
許多直接為中共政府工作的黑客都是二三十歲的年輕男性,他們在從屬於中國人民解放軍的大學裏接受了訓練,後來又通過多種多樣的方式受到國家的僱傭。專家和前黑客說,直接為軍方工作的人通常都遵循朝九晚五的作息時間,工資也不高。部分軍方和政府僱員會兼職掙錢,利用業餘時間執行額外的黑客任務,向國有或私營企業售賣自己的技能。部分僱員屬於同一些網絡社交小組。
「他們的工作關係多種多樣,」紐約外交關係委員會(Council on Foreign Relations)研究中國及網絡戰的學者亞當·謝加爾(Adam Segal)說。「有些人民解放軍黑客會與國企簽約,為他們提供服務。涉及一些關鍵技術的時候,人民解放軍黑客可能會奉命對特定的外國企業發動攻擊。」
奧巴馬政府認為,以保護國家安全為目的的黑客行動與旨在獲取有助於企業競爭的商業機密的黑客行動不同,前者屬於正當行為,後者則是非法行為。中國和其他一些國家則指責稱,美國在這兩個方面都做得最為過分。
或許是為了報復美國的指控,中國的一個國家機構周四宣佈,將對在中國經營業務的互聯網公司進行更嚴格的審查。據中國國家通訊社新華社報道,中國的國家互聯網信息辦公室稱,政府將設立新程序來評估潛在的安全問題,評估對象是網絡技術,以及「與國家安全及公眾利益有關」的部門所使用的服務。
在周一公佈的起訴書中,美國指控王東、孫開亮和其他三人為中國人民解放軍61398部隊工作。根據弗吉尼亞州亞歷山大市的網絡安全公司Mandiant去年發佈的報告,61398部隊在上海郊區一棟12層的白色大樓里辦公。該部隊目前是中國最臭名昭著的涉嫌從事黑客活動的組織,西方的網絡安全圈子稱之為「注釋組」(Comment Crew)、「上海組」(Shanghai Group)或APT1。
其中一些成員活躍在中國的社交媒體中。網絡搜索顯示,汪東、孫開亮和另一名被告溫昕宇(音譯)是QQ群「吃着公家飯的窮人」的成員,QQ是一種網絡社交及通訊工具。
該群有24個成員,包括Mandiant報告提及的嫌疑黑客梅強,此人的別名是SuperHard(「超難」)。群里的另一個成員徐耀令與南京軍校中國人民解放軍理工大學的某人同名,後者曾寫過有關黑客及網絡安全的論文。
2004年,汪東化名「綠野」在中國一個官方軍事論壇發佈了一些帖子。他稱自己是一個「軍事愛好者」,並且發帖詢問,「我軍現在有沒有和美軍交手的能力?」論壇資料顯示他的英文名字為傑克·王(Jack Wang),還列出了一個郵箱地址。記者本周給該郵箱發了郵件,但沒有收到回復。眾所周知,汪東會在自己開發的惡意軟件上留下「ug」的記號。
一名前黑客表示,「我覺得他們是受過電腦技術培訓的士兵,並不是應召入伍的技術人員。」這名黑客稱自己曾為中國軍隊和安全機構做過防禦性工作。
「注釋組」並不是中國唯一的大型黑客組織,在中國,公司及罪犯的黑客行動與政府的黑客行動一樣普遍。甚至有人在貿易展覽、課堂及網絡論壇上宣傳黑客行動。
西方網絡安全專家通常會着重關注與政府有關聯的黑客。網絡安全公司火眼(FireEye)的威脅情報組負責人達里恩·欣德隆德(Darien Kindlund)表示,該公司正在追蹤至少25個「位於中國的活躍威脅組織」,其中22個都在以某種方式支持政府。火眼公司位於加利福尼亞州的米爾皮塔斯,於1月份收購了Mandiant。欣德隆德表示,至少有五個組織似乎與一個或多個軍事組織有直接關聯。他還表示,這只是一個保守的估計。
戴爾公司(Dell)旗下的SecureWorks公司的研究人員喬·斯圖爾特(Joe Stewart)表示,截至去年,在他追蹤的2.5萬個可疑網絡域中,「注釋組」(Comment Crew)和被他稱為「北京組」(Beijing Group)的一個團隊佔據了「很大一部分」。他說「北京組」使用了一個專用的IP位址段,可以追溯到中國聯通(China Unicom)在北京的網絡。中國聯通是該國提供互聯網服務的三大國有電信企業之一。
「有諜報活動是從那裏發出的,」斯圖爾特說。不過他補充說,他沒有見到「北京組」與中國聯通或其他國有實體合作的證據。
一名男子在接聽中國聯通一位發言人的手機後,表示拒絕發表評論。
「注釋組」和「北京組」針對的目標有重疊,例如,二者都關注外國公司和政府機關。不過,斯圖爾特說,「北京組」也會關注「某些類型的活動人士」,包括藏人和維吾爾人流亡團體。他還說,世界上已知的300個惡意軟件家族中,多數都歸咎於他們。
從2006年末開始,西方網絡安全專家發現,企業受到的在線諜報攻擊激增。在那以前,攻擊的目標主要是政府部門或政府承包商。專家表示,企業受到的第一波情報攻擊中,很大部分可以追溯到中國,具體可以追溯到「注釋組」。大約一年之後,「北京組」出現了。
斯圖爾特表示,一個較小的團隊發起的攻擊似乎關注於越南的目標。該團隊的攻擊被追溯到了位於雲南省會昆明的IP位址,因而被稱為「昆明組」(Kunming Group)。「昆明組」利用惡意軟件和所謂的「魚叉式釣魚攻擊」(spear-phishing attack),試圖引誘受害者點擊越南語的消息和連結。
目前還不清楚「昆明組」到底想要得到什麼。不過最近幾年,由於南海上的領土爭端,中國與越南之間的緊張關係不斷升級。本月,中國把一個石油鑽井平台移到了越南附近,越南爆發了抗議。越南也在與國外的石油公司合作,從而對那片海域進行勘探和開採。
網絡安全專家說,奧巴馬政府一直專注於揭露企業間諜活動,但是涉嫌為中共政府服務的黑客們,卻攻破了大批外國政府機構的網絡。
例如,火眼公司表示,該機構觀察到了針對中華民國政府機構,以及一名印度教授的間諜攻擊活動,該名教授持親西藏立場。火眼公司將攻擊者稱作「十強幫」(Shiqiang Gang)。去年9月,中國大陸的一個組織還對日本的政府機構和企業實施了攻擊,方法是向日本的媒體網站植入指令,從而感染用戶。
火眼公司的行政總裁欣德隆德說,在判斷黑客是國家僱員還是私人承包商時,他的同行們會關注多種因素。一個因素是黑客使用的安全手法:軍方的黑客不會那麼馬虎大意。另一個是攻擊目標:如果黑客的各個攻擊目標大相逕庭,那可能是一個承包商。最近幾個月,火眼發現一名黑客攻擊了外國的國防和航空企業,然後又攻擊了一家在線娛樂公司。欣德隆德說,這名黑客似乎就來自一家私人承包商。
目前還沒有一種行之有效的方法,能夠讓中國的黑客部隊懸崖勒馬。2013年初,美國的官員們希望,Mandiant發佈的報告以及奧巴馬政府對中國網絡間諜活動的強烈譴責,可以讓「注釋組」停止活動。但欣德隆德說,他們沉寂了一段時間,在五個月後就再次浮出水面。現在,其攻擊活動已經回到了2013年以前的水平。
「他們正在使用相似的戰術,但實施攻擊的網絡設施已經改變,」欣德隆德說,「他們的工具只是略作修改。總體上來說,大多數改動都很小。」
