欢迎加入中国茉莉花行动部落

我们来自同一个家园,那里毒草丛生。
我们来自同一个部落,那里毒蛇横行。
我们播种茉莉,为了呼吸自由的芳香。
我们移植鲜花,为了拥抱春天的曙光。

Monday, May 19, 2014

被美国通缉的总参黑客是如何暴露的?FBI涉嫌剽窃我的知识产权

原文网址:http://jasmine-action.blogspot.com/2014/05/fbi2011.html

美国FBI刚刚发布通缉令,通缉中国总参的五名军官。那么,这五名军官是如何被美国发现的呢?

说起来,这与我当年揭露总参间谍郭盈华、严文明、以及中国驻美国最大的特务头子唐宇华有很大关系。自2009年9月开始,我便发现郭盈华是中共总参61398部队军官,这个上海部队派严文明多次专程来美国纽约同郭盈华见面,每年付给郭盈华至少6万美金。我随后不久向FBI举报。FBI当时跟我说他们不便出面调查这个案件,因为他们通常只是调查那些涉及到上百万美元的案件。FBI虽说是不调查,但私下里还是在调查。他们几次给我出示照片,让我辨认是否是严文明。

我见FBI迟迟不公布调查结果,我便将我掌握的关于郭盈华伙同严文明、唐宇华等人如何对美国进行间谍渗透,以及如何在2010年开始对我所在的公司摩根斯坦利(Morgan Stanley)、以及花旗银行(Citigroup)进行网络袭击,在他们进行袭击之前,他们多次对我进行威胁恐吓,说是要用网络袭击我所在公司的方式让我失去工作,并让我永远都找不到工作。我当即将他们对我的威胁通报了我所在的公司摩根斯坦利。摩根斯坦利虽然采取了很多防范措施,但最终还是被中国军队骇客袭击,这次袭击发生在2011年2月初。见下面的新闻报道。


图1. 这是彭博通讯社在2011年3月1日发布的报道。报道宣称摩根斯坦利在2月间遭到来自中国黑客使用“极光”系列的袭击,而这种“极光”系列在目前还只能是几个军事大国的军队才能掌握和使用的技术。

随后,我便发文揭露中国61398部队对摩根斯坦利的网络袭击。见下面的链接:

61398部队是中国网络部队的部分证据(有图有真相)
http://jasmine-action.blogspot.com/2013/02/61398_20.html

总参间谍郭盈华联手中软公司对摩根斯坦利网络攻击
http://jasmine-action.blogspot.com/2013/02/blog-post_13.html

中共总参间谍郭盈华和中软公司策动了对摩根斯坦利和花旗的网络攻击!(中文版)
中文网址:http://jasmine-action.blogspot.com/2013/02/blog-post_13.html
英文网址: http://jasmine-action.blogspot.com/2013/02/why-and-how-morgan-stanley-and.html

在这些文章中,我列出了大量的证据,证明郭盈华和严文明是中共总参驻上海的61398部队的军官,他们伙同唐宇华一道对摩根斯坦利和花旗银行发动网络袭击。

我根据郭盈华曾经在上海住过的地址和工作单位,查出61398部队的一些信息,这包括61398部队的地址,部队某些官员发表的学术论文,在浙江大学以及其它大学定向招生的招生广告,还有同中国电信签订的免费使用光纤网络的合同影印件,以及61398部队的一些相关照片和发表的学术论文。

美国计算机安全公司 Mandiant 发布的报告(共76页)。见链接:

Exposing One of China’s Cyber Espionage Units
http://assets.sbnation.com/assets/2187805/Mandiant_APT1_Report.pdf

这个76页的报告中大量使用了我收集到的有关61398部队间谍活动的相关材料。这个报告的关于61398部队的描述主要是列在12-17页,这些大多是中文内容。这些中文信息,不是他们能够查得出来的。网上这类关于61398部队的中文信息很多,可他们偏偏就采用了我在网上发表的那几页内容。这几页基本上都是从我的博客中截取下来的。特别是那个同中国电信签订的合同,还有关于浙江大学的招生简章,就完全是我的博客中的内容。可Mandiant 发布的报告居然就没有提到我的博客,也没有给我任何reference或credit。看来,FBI和 Mandiant 公司还是仔细研读了我的网络文章了。只是,他们未免有剽窃嫌疑。


我在此后曾经给美国总统奥巴马、美国参众两院、以及罗杰斯等议员写过很多公开信,甚至多次去拜访他们的办公室,向他们递交我的公开信。下面的图片是我在2011年10月写的一封公开信。



我将这封公开信发表在我的博客上。但很快就被中共黑客给黑掉了,连我自己都无法进入。郭盈华还要求新泽西的法官托马斯·米勒(Thomas Miller)以法庭命令的方式,命令我将这类英文写出的公开信从网上删除。法官托马斯·米勒为此还多次派新泽西的侦探对我百般威胁恐吓,并两次将我抓进监狱。并几次让几个侦探到监狱中威胁恐吓我,威胁我说,如果不将这些公开信从网上撤下来,就会反复逮捕我。

我的这些公开信通常都引用议员罗杰斯(Congressman Rogers Smith)的一段话作为开场白。

现在看Mandiant AP1的报告,居然在第一页上也是引用罗杰斯议员的同样的一段话作为开场白!这也太没有创意啦!


这是Mandiant的报告(APT1)第一页的开场白。

以后,根据我提供的这些线索,中国就有很多黑客继续上网揭露,随即挖掘出一些61398部队的一些具体的军官是如何参与对美国网络袭击的。

我这里不妨列出这样的一篇文章。注意,这篇文章中列出的许多图片,都是取自我原来发表的文章,特别是那些图片中所画出的红线,都是我当初上传照片是表明的。

美国FBI已经全面掌握了中国军队对美国进行网络袭击的证据,特别是中国军队攻击摩根斯坦利和花旗银行的线索。这两家银行遭受的网络袭击,所受损失惨重,经济损失及商誉损失高达几十亿美元,这是美国遭受的最大的网络袭击。

由于有我曾经举报唐宇华和郭盈华曾经多次威胁要网络袭击我的雇主摩根斯坦利,现在,这种威胁已经付诸行动。于是,FBI不得不出面将唐宇华逮捕归案。

唐宇华是中共驻北美最大特务头子。他认为网络袭击不属于间谍行为,是个人行为,构不成大罪,且攻击者身处中国大陆,美国拿他们没办法。于是,唐宇华竹筒倒豆子,将那些对摩根斯坦利和花旗银行进行网络袭击的中国黑客全盘托出。由于唐宇华的全面配合,美国遵守承诺,将唐宇华释放,送回中国。

 
从此,美国掌握了中国军队进行网络袭击的铁证。
 
既然说中国军队对摩根斯坦利和花旗银行的网络袭击是两期最大的、最恶劣、也是造成损失最大的袭击,美国为何不针对这两起事件,去起诉我所揭露的郭盈华和魏皓呢?我也纳闷。

但我仔细一想,我也就明白理解了美国的战略了。我猜想,那是因为我揭露这些网络袭击案件时,我指控这是中国军队对美国国土的战争行为。这就让美国政府有些难办了。如果承认这是战争行为,那就得用战争手段加以反击。美国还是不愿同中国开战,所以才尽量降低反击的声调,特别是尽量掩盖中国军队对摩根斯坦利和花旗银行的网络袭击。
 
但我相信,一旦美国下决心同中国开战,那么,中国军队对摩根斯坦利和花旗银行的网络袭击就会名正言顺地拿出来,作为开战的充分理由。

其它的,我就不必更多透露了。

刘刚

2014年5月20日

----------附录----------------

天朝“御用黑客”是如何暴露的?2013年2月25日

http://program-think.blogspot.com/2013/02/weekly-share-41.html

  2013-03-01 共 28664 人围观
http://www.freebuf.com/articles/others-articles/7509.html

最近2星期的热点话题是:天朝61398部队的御用骇客。今天转载一些网文和图片,八卦一下御用骇客被曝光的过程。
话说美国方面这次掌握的材料已经很充分了(看完本文,你会意识到这点)。但是天朝外交部摆出一副"死猪不怕开水烫"的架势,打死不承认。

★图片若干

在此次事件中,最有价值的信息,就是美国计算机安全公司 Mandiant 发布的报告(共76页,下载链接在"这里")。这份报告算是比较详细的,介绍了御用骇客的种种事迹和入侵手法。对网络安全有兴趣的同学,这份报告值得一读。
考虑到很多读者比较懒,俺贴出该报告的其中几张截图,再配上俺的简要解说。


◇中国电信授权61398部队接入上海005中心

这是中国电信的一个内部文件(截图下方是发现该文件的网址)。
里面明确提到了:61398部队隶属总参三部二局,位于高桥(上海浦东)。



◇御用骇客常用的工具

这是御用骇客收集用户口令的工具。



这是御用骇客收集 Windows 系统信息的批处理脚本。



◇御用骇客使用的 IP 地址

下面几张是美国方面监控到的,入侵美国公司所用的 IP 地址,有相当多的攻击来源,是来自于上海市浦东区高桥镇。




如果你看过俺写的《如何隐藏你的踪迹,避免跨省追捕》可能会觉得奇怪:这帮御用骇客难道不用代理吗?
俺来解释一下:
1.
御用骇客的人数很多,素质也是参差不齐。
人多了之后,难免会有人不遵守纪律。有些人估计是嫌麻烦,没做到 "入侵的全过程都通过代理"。
只要有 1% 的人出现疏忽,那么整个团队所在的位置就会被曝光。
2.
御用骇客跟民间骇客不同。民间骇客搞入侵,一旦暴露有可能会被抓。所以,有经验的民间骇客会更小心谨慎。而御用骇客是朝廷的人,不用担心被抓。因为缺乏心理上的顾虑,也就没有那么小心谨慎。

某些替朝廷辩护的五毛会说,这是别国的黑客利用中国的肉鸡做跳板。
如果真的是这样,那就非常奇怪了:为啥别国的黑客碰巧都用了上海浦东区高桥镇的网段当肉鸡?而且碰巧高桥镇还驻扎着一个解放军的网络战部队?

◇被人肉的骇客之一:汪东(网名 Ugly Gorilla)

他暴露的主要问题在于,他使用了相同的邮箱(uglygorilla@163.com),相同的网名(UglyGorilla)注册了如下网站:
1. 中国军网
该网站隶属《解放军报》旗下。2004年,张召忠(赫赫有名的天朝战略忽悠局局长)做客该网站,接受网友的在线提问。当时汪东曾向张召忠在线提问,问题内容是关于"中国网络战"。
看来张召忠的忽悠能力很强啊。连御用骇客都成为他的粉丝了。
2. rootkit.com
这是国外知名的黑客网站,专门提供 "木马/后门" 等方面的资料。
该网站后来被大名鼎鼎的 "匿名黑客组织" 攻破并爆库,用户数据库中就有 uglygorilla@163.com,且注册该帐号的 IP 地址(58.246.255.28)来自上海浦东高桥。
3. www.pudn.com
国内开发人员网站,美国安全专家在该网站上查到了注册用户 UglyGorilla 的真名是 "汪东"。

另外,他还喜欢处处留名——在自己开发的木马工具中,写了如下签名:
“v1.0 No Doubt to Hack You, Writed by UglyGorilla, 06/29/2007”

细心的同学应该已经发现了,这句签名存在英语的语法错误。美国专家显然也发现这一点。他们还整理了一个清单,列出了入侵美国公司的木马软件中,存在的各种英语语法错误。截图如下:


下面两张图片,是 Mandiant 报告中关于 "汪东" 的部分。




关于 "汪东" 的案例,给大伙儿的教训就是:
如果你要从事有危险的网络活动,一定不要混用网络帐号(包括:邮箱、IM、网站用户名、等)。
比如俺这个 "编程随想" 的身份,涉及到的所有网络帐号(包括 G+、Twitter、等)都是单独的,跟俺日常使用的帐号完全隔离。
不光帐号隔离,连上网操作俺都是在不同的虚拟机中分别进行。

◇被人肉的骇客之二:DOTA



此人注册了很多邮箱(比如 dota.d001@gmail.com - dota.d015@gmail.com),主要用来伪造不同身份,搞社会工程学的入侵。(如果你没听说过 "社会工程学",可以看俺在 "这里" 的扫盲教程)

Mandiant 的报告提到说,由于创建的帐号太多,所以口令管理是一件麻烦事。DOTA 经常使用基于键盘布局的口令(比如 1qaz@WSX#EDC)。这种口令表面上复杂,其实强度不够。
很可能是因为 DOTA 的口令不够强,某些邮箱帐号被 Mandiant 的专家攻破了。下面是 DOTA 的某个 Gmail 邮箱的截图。
拿到 DOTA 的 Gmail 邮箱之后,DOTA 的很多入侵行为就显而易见了。


Mandiant 的报告还提到说,DOTA 除了使用基于键盘布局的口令,还使用了这个口令(2j3c1k)。Mandiant 的专家怀疑,2j3c1k 对应于中文 "2局3处1科"(61398部队隶属总参3部2局)。
另外,DOTA 注册邮箱使用了手机接收验证码,所以他的手机也被曝光了,号码是 159-2193-7229(中国移动上海号段)

关于 "DOTA" 的案例,给大伙儿的教训就是:
网络帐号的密码一定要强。你在不同网站使用的密码一定要不同,而且要让人看不出规律。
关于密码的设计,可以参考俺这篇博文《如何构造安全的口令/密码》

◇其它图片

下面这张是:61398部队的成员发表的信息安全相关论文


下面这张是:61398部队在浙江大学招收定向研究生


★网文若干

顺便再分享几篇与朝廷御用骇客相关的网文。(以下某些链接需翻墙)

彭博商业周刊:中国网络间谍被西方专家搜索曝光 @ BBC

揭秘中国网络战部队 @ 纽约时报

纽约时报称:中国军方是黑客袭击者 @ BBC

"匿名黑客组织"无意中帮助曝光中国黑客身份 @ solidot

No comments:

Post a Comment