捕风捉影万里捉虫: "云影"报告大曝光

发布：2010年04月17日 08:40 来源：加拿大都市报作者：李海涛

发布：2010年04月17日 08:40

来源：加拿大都市报作者：李海涛

多伦多大学一批研究人员，继2009年曝光了“追踪鬼网”（Tracking GhostNet）后，今年同期再次曝光“云影”（Shadows in the Cloud）报告，内容直指中国网络黑客袭击了达赖办公室的计算机系统，窃取了该办公室2009的全部电子邮件，完全掌握了达赖的行踪和全球与之联络的人员名单。此事马上成为各大媒体聚焦报道的话题。究竟这份“云影”报告的详细内容是什么？研究者凭借什么依据剑指中国？《加拿大都市报》记者专门采访了包括研究者在内的各方人士。

“云影”报告曝光后，中国外交部发言人姜瑜表示，“我们不时听到这样一些影射中国的指控，不知道这些人掌握了什么证据，或者他们的动机是什么。中国的政策是非常清楚的，我们坚决反对所有形式的网络犯罪，包括黑客攻击。”姜瑜还表示：报告的撰写机构从来没有向主管的部门提供过任何证据，或提出过协助调查的要求。如果研究人员提供证据，中国愿意展开调查。

在解构“云影”报告前，首先要了解研究者的背景。这次研究报告是由信息战观察员（Information Warfare Monitor）和影子服务器基金（Shadowserver Foundation）共同合作的成果。

寻找解铃人

《加拿大都市报》记者从所获得的资料了解到：信息战观察员是一个民间实验室，由多伦多大学蒙克学院国际研究中心和SecDev公司联合组成的一个研究机构。SecDev公司是位于渥太华的一个安全咨询机构，侧重于研究国家和地区之间的不安因素。影子服务器基金则是一群安全专家志愿者在2004年组建的机构，主要监控研究恶意软件和电子邮件的袭击。

过去十年，他们总结积累了一种专门针对网络袭击调查的方法，称之为融合调查法（fusion methodology），即综合大量类似性质的技术数据，从中分析、提取并得出有效结论。比如在实地调查中（field investigations），需要和计算机被袭人员进行长时间的面谈互动、共同分析、网络侦查和设备监控，从而获得第一手数据和数据。之后，他们会将获得的数据数据带回实验室进行技术分析，并结合国际局势、地缘政治、社会学、犯罪学、危机分析等理论，综合出一个比较实际可靠的结论，而并非一个理论上的空想。

在2009年发布的“追踪鬼网”调查中，指出黑客入侵达赖喇嘛办公室的计算机系统并盗取机密文件，报告公布以后，其中被点名的几个嫌疑网站随后都停止运行。因此研究人员在追踪鬼网行动6个月后，开始了一项更进一步的调查，这份名为“云影”的报告，就是这次调查结果的披露。

剑指重庆成都

《加拿大都市报》记者从该研究机构的网站上获得这份报告的完整内容，数据显示：2009年8月到12月期间，研究人员一直在达赖喇嘛位于印度的办公室进行实地调查，除了和工作人员面谈之外，还进行了数据收集和追踪工作，结果发现黑客不断把他们的一些文件数据传输到黑客的服务器上，与此同时还有几个非政府组织的计算机也同样被窃取数据（Common Ground和TennorNet）。经过追踪发现黑客服务器来自jdusnemsaz.com/119.84.4.43，其地理位置为中国重庆市。

令记者困惑的是，多大几名学者在上周召开的新闻发布会上，仅仅点了成都的名字，而没有提及重庆，这也是海内外新闻都说网络间谍来自成都。为了首先澄清准确地点，记者采访了蒙克学院国际研究中心总监，也是本次报告的主导者戴伯特（Ron Deibert），据他表示，他能够分清重庆和成都是两个不同的城市，“云影”报告实质上涉及到重庆和成都。

“云影”报告还指出，发现处于中国境内的这个服务器与著名的以亚洲为基地犯罪组织三合会（Triads）有关，报告还点明该组织与中国政府很紧密的关联。根据数据显示：三合会如今已经从传统犯罪领域延伸到高科技犯罪，比如制造计算机病毒软件和制造假信用卡等方面。

在原地潜伏顺藤摸瓜

“云影”研究结果发现，来自TennorNet的计算机就是侵入西藏流亡政府国会议员Serta Tsultrim计算机的元凶。Serta Tsultrim是藏文周报《Tibet Express》的编辑，也是藏人文化中心的总监和藏人记者协会的成员。正是因为他怀疑自己的计算机被侵入，才拉开了加拿大学者不远万里前去捉虫的行动。

据戴伯特介绍：达赖喇嘛办公室允许研究人员接触系统内的任何角落，主要侧重他们办公室的台式计算机，结果发现了黑客的服务器（jdusnemsaz.com/119.84.4.43）。研究人员从防火墙开始入手，发现另一台计算机也被侵入，顺藤摸瓜追踪的结果是同一个黑客服务器所为，虽然使用不同的域名，但使用的控制命令和手法都相似。

2009年“追踪鬼网”报告曝光后，报告所涉及的黑客网站因被曝光被抛弃不用，随着时间的推移那些域名都已经过期。研究人员重新利用这些域名注册了同名网站，目的是希望借助这些网站，监控了解是哪些人试图访问这些网址，结果相当惊奇，他们发现黑客曾经侵入的计算机，依然把机密文件传送到这些网址，研究人员从中得以了解黑客当时是如何远程操控那些被侵入的计算机。

研究结果还发现，从达赖喇嘛办公室的计算机系统被两种以上不同的病毒所侵入入手调查，继而找出两个以上网络间谍机构介入的痕迹，他们可以远程控制被侵入的计算机，随意窃取想要的文件。顺藤摸瓜，研究人员找到了这两个网址的IP，但却无法访问。另一个网址www.assam2008.net连IP都查不到，是一个新来替补的攻击者。

猜一猜谁在敲门？

研究人员根据调查所得勾勒出一张巨大的黑客分布网络，黑客第一层攻击利用电子邮件、社交网站、大公司的服务器发起，这样人们不容易察觉这属于恶意软件。根据调查显示：这些发出命令的主服务器多数位于中国大陆，而不是在其它国家的那种不稳定的免费网站服务器，这样设计的目的，估计能使黑客依赖的服务器更为保密、稳定和持久。

黑客一般使用比较普通的Word2003文檔和PowerPoint 2003文件作为附件，文件名起得也很别致，让人误以为是安全的文件。比如“中印边界”、“达赖2010时间安排表”、“中国应该打垮印度”等文件名，当不明事端者一旦打开就会中毒。研究者列举出两个发送病毒邮件的邮件地址，分别是[email protected]和[email protected]（与上述病毒文件无关）。

研究显示：黑客是从达赖办公室计算机中保留的两个非常敏感的文件盗窃，并非早先媒体所说的，黑客进入了他们的电子邮件系统直接盗取邮件。这两份文件分别是“当前信件”（218KB）和“2009年主要信件”（4,311KB）两份WORD文档，内含2009年从达赖喇嘛办公室发出的超过1,500封电子邮件，大部分是响应各种邀请和访问请求的信件，包含各地与达赖办有联系人员的信息，以及达赖与世界各地藏人的联系人，还有达赖的个人行程机密等。

黑客使用微软的CAB压缩方法把文件打包，分成100KB字节大小，用base64的传输方式把文件上传到黑客服务器。在这宗盗窃案例中，文件是被上传到c2etejs.com上，其IP地址为（119.84.4.43），这个IP地址与另一个黑客网址jdusnemsaz.com相同。

恢复被盗文件的过程，之前各媒体在报道时，表述相当模糊。戴伯特为此向《加拿大都市报》记者详细解释了这一过程。据戴伯特介绍，黑客盗取文件转移存储之后会将文件删除到垃圾桶，文件可以暂留很短的时间，黑客总是很快将其彻底删除。研究人员利用黑客的这个特点，得以恢复被盗文件，以此得知哪些文件被盗取，但却无法获知总共被盗了多少和什么文件。

根据Symantec信息实验室对采集的数据分析后统计，这类攻击28.2％来自中国大陆，21.1％来自罗马尼亚，13.8％来自美国。攻击者主要窃取拥有高密级文件人员的计算机，这些人员包括国防政策专家、外交官、人权活跃分子和研究人员等。

社交平台是黑客的最好掩体

“云影”报告还显示：黑客利用大家常用的网络社交平台发起攻击，把病毒放在Google网页上用于下载。研究者总共发现黑客使用3个Twitter账户、5个Yahoo Mail账户（[email protected]；[email protected]；[email protected]；[email protected]；[email protected]）、12个Google团体账户、8个Blogspot博客、9个百度博客、1个Google网页和16个在blog.com的博客作为攻击界面。黑客这么做的目的是：如果直接从服务器发来信息则很容易被防火墙挡住，社交平台则是很好的掩护。

然而发出命令的服务器需要具有稳定性、可控性，在网络攻击中处于核心位置，黑客一般选择自己比较信任可控的服务器作为命令发源地。以下是研究人员发现的服务器地址：c2etejs.com；erneex.com；idefesvn.com；jdusnemsaz.com；peose.com； indexnews.org；lookbytheway.net；microsoftnews.net；tibetcommunication.com；. intoplink.com；indexindian.com。所有这些域名服务器IP地址都在中国大陆。

无间道锁住成都黑客Lost33

根据“云影”报告所述：研究人员只是恢复了一些被盗的文件，不能确定黑客在侵入后做了什么。但追踪到黑客使用的服务器IP地址，在先后两次调查中，发现有一个域名lookbytheway.net一直在发起攻击，其注册邮件是[email protected]。该邮件主人还拥有另一个邮件名为lost33，是中国两个著名黑客论坛（Xfocus, Isbase）的常客，与另外两个黑客网站NSfocus和Eviloctal也有联系，属于中国黑客的成员。

研究人员在lost33的博客中发现了他另一个博客，化名为damnfootman。研究人员用中国聊天平台QQ与他网聊，他承认是[email protected]的主人。报告指出他与被称之为“中国特洛伊木马教父”的Glacier和Sunwear有关联。这名男子出生于1982年7月24日，居住在中国四川的成都市，就读成都的电子科技大学。他使用电子邮件散发病毒，使用的IP地址都在成都。研究人员追踪到涉及的几间公寓，曾经在成都当地报纸上发布过出租广告。

有趣的是，自诩为“红客”的中国黑客组织，是中国2005年成立的最大的黑客组织，其新的头领就曾是成都电子科技大学的学生。

据行内人介绍：成都之所以一直被外界所关注，是因为成都是中国军队总参谋部一个电子侦察部队（研究所）的所在地，主要职责是收集雷达、电子信号情报。

“云影”报告指出，中国有一个非常强大的黑客群体，过去多次对海外发动攻击，与中国政府有一种模糊的关系，经常配合中国政府的时事动向，攻击中国政府的“敌人”。当然，研究者承认，一方面没有证据显示他们受到政府的指使；另方面也并不意味着他们与政府无关。

“云影”报告认为：中国情报收集策略是在全球范围不放过任何小的情报，他们拥有由学生、旅行者、教师、在海外工作人员组成的庞大情报网，对任何不起眼的情报都加以收集。他们的情报机构分门别类，分属政府、军队和党的系统，彼此之间也互相竞争。黑客为了生存也希望与这些机构合作。他们之间的错综关系，超出研究者的想象和理解。

研究者承认：中国军队也组建了网络军队，但据最近的研究显示，他们与黑客组织关系是最小的。目前发现的有限案例显示，中国安全机关与黑客有一定的联系，但是证据有限且难以核实。

研究者相信，无论是中国军方还是安全机构，都希望把黑客攻击作为其国家网络战的一个部分。由于官方对黑客也难以控制，中国军方曾反对利用这些非国有的黑客参与军方行动。中国把西藏问题看作是内政，因此中国公安部对藏人机密数据更感兴趣。

来自加拿大方面的反响

由于“云影”报告是由位于多伦多的研究者发表，《加拿大都市报》记者希望能获得中国驻多伦多方面的官方态度，为此采访了中国驻多伦多总领馆新闻领事霍明武，霍明武领事表示多伦多总领馆对此不作评论，与中国外交部发言人的观点相同，请记者参照外交部的评论。

加拿大安全情报局（CSIS）发言人鲍耶（Marc Boyer）在接受本报记者采访时表示，他们不会对多伦多大学这份报告作出评论，这是一份独立的调查报告。他指出，加拿大安全情报局也一直关注来自网络的袭击，他们有专门的部门和人员调查此类威胁，但是不会公布调查结果。他希望记者和加拿大公安部（Public Safety）取得联系，因为公安部也一直关注网络犯罪的动向。

加拿大公安部新闻发言人查鲍纽（David Charbonneau）接受本报记者采访时表示，这个报告是独立机构所为，他们对内容也表示认同。公安部一直致力于和各种机构合作防范网络袭击和犯罪，包括国内国际执法机构，共享资源调查和抵御网络袭击事件。

查鲍纽表示，他们的确一直关注网络犯罪的动向，但是比较侧重网络经济和儿童色情犯罪的预防。比如如何防止身份数据被盗、防治网络金钱诈骗、如何防止孩子在网上被色情罪犯诱骗等。他们在2007年推出一份加拿大人网络习惯的调查报告，指出加拿大人防范意识较差，对通过电子邮件发来的不明附件不够警惕。

加拿大政府在预防网络犯罪方面也非常重视，包括在2010年2月修改《刑法》以针对那些盗窃他人身份、发送垃圾邮件等不法行为，皇家骑警负责全国范围此类犯罪的调查和执法。同时设立CyberTip.ca网站，方便国民举报网络犯罪线索。还建立了加拿大网络案件反应中心（Canadian Cyber Incident Response Centre），研究完善国家网络安全战略计划，以确保加拿大网络安全。

在个人保护方面，他建议用户经常更新系统软件、使用防火墙、使用最新的杀毒软件。在不用计算机的时候最好关闭电源，家庭无线网络一定要加密登陆，计算机内的重要文文件最好另外存放，不要放置在计算机中。在使用在线服务的时候，最好经常更换密码，不要选择计算机记住密码的功能。对未知发送者的电子邮件一律删除，对熟人带有不明附件的邮件，最好核实确认后再打开。慎用网络需要提供个人信息的服务，不要随意给出个人年龄、住址、电话、等个人信息。如果发现明显的网络诈骗和攻击，一定要和当地警队取得联系。

《多伦多星报》读者评论

在中国黑客没有政府的支持不可能搞这么大，中国就像一个疯狂的世界，卖给我们外表看上去很好的却有毒的灵丹妙药，赚走我们的钱。如果我们不警醒，早晚会只剩下内衣，一切都是中国制造。支持9/反对0

对我来说共产主义只不过是高压政权的代名词，除非中国百姓有自由表达权和选举权，否则再换也是同样的高压政权，那时候在讨论中国的事情也不迟。我真正担心的是，加拿大有越来越多被中共洗脑的中国人，在这儿他们也很向着中国政府。支持11/反对1

我不知道中国和伊斯兰社会哪个威胁大，但是我知道二战之后全球民主国家走到一起了，我们漠视这种威胁是要付出沉重代价的，这是民主对抗专制的问题。支持10/反对2

无论何时只要是中国公司的事物都会掺杂中国政府的意志，他们任何时候都是在我们对立面，我们随时都不能忘记这一点。支持12/反对1

以前我们很满足，现在中国已经拥有我们了。以前我们把一些工作外包给中国，虽然降低了物价，但是现在已经倾斜，我们必须依赖中国的廉价物品而生存。中国在试图控制更多的东西，我们必须尽快孤立它，选择另一个地方购买商品物资，不如就在我们北美。同意10/反对2

我印象加拿大有专门的网络安全法，是1年前发布的。政府也联合一些私人安全机构在关注此事，很高兴这篇文章揭示了这个问题，可以警醒市民小心来自网络的威胁，随时随地都会发生。我们需要更多类似的研究报告，只有知道得更多，才能有效防范。支持8/反对0

《环球邮报》读者评论

如果美国国土安全部、中央情报局、克格勃、摩萨德和加拿大情报局没有这么做，就说明他们没有尽职。支持139/反对18

看起来中国已经在“制造一切”了，甚至包括我们计算机里的核心部件，谁知道什么秘密的“呼叫中国”的功能已经安装好了。支持149/反对18

达赖及其流亡政府队中国来说就是恐怖组织，就像中央情报局要针对拉登一样。中国有间谍，难道美国、加拿大、英国、以色列、日本、俄国就干净吗？支持26/反对68

这些多伦多大学的白痴，不断重复同样的话题，只不过想吸引眼球，随便想想都知道，全球的情报机构都在做这种事情，加拿大情报局也有这些人员。谍报历来就有，只不过现在换换方式，有什么大惊小怪的。支持26/反对20