2014年5月19日星期一

美起诉中国黑客案例详解——美铝被“钓鱼”(附:美诉中国黑客是外交和司法手段的融合+遭美国起诉的五名中国黑客嫌疑人概况)

日产汽车首席执行长、美国铝业公司前董事会成员戈恩。

乍一看,有一封邮件似乎是发自日产汽车(Nissan Motor Co., 7201.TO)首席执行长戈恩(Carlos Ghosn)。他当时还是美国铝业公司(Alcoa Inc., AA)的董事会成员。

但周一启封的联邦政府起诉文件显示,戈恩的名字拼写有一个小错,而名为"2008年股东大会议程"的附件实际上含有电脑病毒,可使中国黑客窃取近3,000封邮件。
该文件提供了异常详尽的细节,谈到很多外国黑客通常不依赖复杂的黑客技术。文件称,这些黑客主要使用所谓"钓鱼"软件的老套路,引诱用户下载恶意软件,从而使外人得以侵入电脑。这些指控说明了美国企业一直面临的安全问题:至少有一名员工会点击病毒软件。

加州网络安全公司FireEye Inc.旗下Mandiant子公司主管曼迪亚(Kevin Mandia)说,这很不公平,只要一个终端用户打开附件,这些人就可以侵入网络。他表示,防范这种情况真的太复杂了。

周一被起诉的这些61398部队的中国军官曾在2012年将曼迪亚同事的电脑作为袭击目标,他们以曼迪亚的名字创建了一个在rocketmail.com的邮箱地址。邮件内文写道:下周找个时间开个会如何?需要敲定新闻稿的内容。详情请点这里。

周一在接受采访时曼迪亚将黑客们对其公司的企图作了一个"B"评级。

对于周一起诉文件中所指黑客部队,曼迪亚曾在2013年的一份报告中详细说明了该部队的意图。而当时中国对其报告轻描淡写,称其"既不专业,更不负责任"。

据FireEye研究人员表示,更老道的黑客有时还有一些更为先进的软件,但想要入侵电脑基本上还得靠伪装。去年冬季,中国的网络部队侵入了海外战争退伍军人协会(Veterans of Foreign Wars)网站,每当有美国军方人员访问该网站,那么其电脑就会感染病毒,从而使黑客可以对其进行监控。

政府和企业调查人员称,中国军队采用类似的手段将目标对准了不计其数的美国公司。在周一的起诉文件中,联邦官员详细描述了黑客如何伪装成U.S. Steel Corp首席执行长向20名员工发送邮件、从而侵入该公司电脑的情况。上述邮件包含一个允许黑客侵入网络的恶意软件链接,邮件主题是"会议邀请"。

中国外交部一发言人周一表示,这种指责纯属无中生有。中国外交部还敦促美国撤销起诉。

了解黑客手段的人士称,其他手法更高明的中国黑客部队也还会利用类似手段,但邮件伪造得更复杂。

法庭文件显示,这封表面看来由戈恩发出的电子邮件伪造的并不高明,这封邮件发给了大约19名美铝员工。这封邮件发出之际,美国这家规模最大的铝企刚开始与中国铝业股份有限公司(Aluminum Corp. of China, 简称:中国铝业)联手收购英澳矿业巨头力拓(Rio Tinto PLC)的一部分股份。美国官员们说,这让中国有了刺探美国伙伴情报的动力。

起诉书说,这封电子邮件是孙凯亮(音)伪造的,他使用的名字是"Jack Sun"。美铝的一名雇员打开这封邮件之后,附件在这台美铝的电脑上安装了恶意软件。这样一来,匿名的黑客就可以窃取美铝管理人员有关力拓的电子邮件,不过这一点在起诉书中并没有明确指出。起诉书并没有点名提到中国铝业,该公司也没有面临违法指控。

起诉书说,黑客们还窃走了863个电子邮件附件。

起诉书没有直接提及戈恩,但提到了一个名字首字母缩写为"C.G."的时任董事会成员的人士。根据证券机构的存档文件,当时,戈恩是董事会里唯一一个名字首字母缩写为"C.G."的人。

美铝和日产汽车的代表拒绝就这名董事会成员的身份发表评论。

这家总部位于匹兹堡的铝企并不是唯一一家被此类手段算计的公司。在CrowdStrike Inc.为各组织做网络安全咨询时,首席技术长阿尔佩罗维奇(Dmitri Alperovitch)说,该机构发现5%到10%的员工会点开几乎任何一封电子邮件。

没有迹象表明这种情况会在近期内发生转变。

曼迪亚说,他在去年的一份报告中详述了61398部队的战术,之后这一黑客团队稍微有些收敛。了解该团队运作的人士说,但几个月之后,该团队又开始将美国企业作为攻击目标。

Danny Yadron
【附录】

遭美国起诉的五名中国黑客嫌疑人概况

美国司法部周一宣布起诉五名中国军方人员,指控他们侵入美国钢铁、太阳能和核能企业以及一个行业组织,窃取商业机密和其他信息。本文列出了这五名人员的概况。AP

王东(音)


王东(Jack Wang)的网名是"UglyGorilla",他被控在2010-2012年之间的调查期内曾是中国人民解放军61398部队的军人。美国联邦调查局(FBI)称王东控制着被入侵电脑。

黄振宇(音)


黄振宇的网名是"hzy_lhx"。他是一名电脑程序员,他被指控制着其他人使用的域名账号。根据美国的起诉书,这些域名账号可用来将受到恶意软件感染的目标电脑上的信息传回给黑客。

孙凯亮(音)


孙凯亮使用的英文名是Jack Sun,据称在调查初期阶段拥有上尉军衔,被发现通过发送含有恶意软件的邮件感染目标电脑,一旦目标电脑感染病毒就对其加以控制。

顾春晖(音)


顾春辉使用的网名是"KandyGoo"。他被控测试过恶意邮件信息,还通过控制别人使用的域名账户将从目标电脑上窃取的信息传回到黑客手中。


文欣宇(音)


网名是"WinXYHappy"和"Win_XY",他被指控制着被入侵电脑。

Devlin Barrett

——华尔街日报,网友推荐

美诉中国黑客是外交和司法手段的融合

克劳塞维茨(Carl von Clausewitz)有一句名言:战争是政治通过另一种手段的继续。那么显然,诉讼也是另一种政治手段。

法律专家说,美国起诉五名中国军官从事黑客活动,这是美国通过刑事司法体系,而不是外交、政治或军事渠道对别国实施惩罚的一个非同寻常的案例。

根据国际法,一国可采取对抗措施惩罚别国的不法行为。在有些案例中,一国还可以起诉在本国之外计划犯罪或实施犯罪的外国人。

美国司法部(U.S. Department of Justice)起诉五名中国军官的案例是上述这两种手段的融合,十分少见。

天普大学(Temple University)法律教授霍利斯(Duncan B. Hollis)说,这是一次法律行动,同样也是一次外交行动。霍利斯是国际法和外事法律专家。

他对《华尔街日报》法律博客(Law Blog)专栏表示,美国并没有直接对中国说,美国认为你们的网络间谍活动违反了国际法,而是诉诸于美国的刑事司法体系。

法律界学者称,美国司法部似乎完全有权提起这些诉讼。

美国海军军事学院(United States Naval War College)国际法研究院(Study of International Law)斯托克顿研究中心主管施米特(Michael Schmitt)对法律博客专栏说,黑客行动可能是中国解放军军官从中国发起的,这一事实并不妨碍美国对这些个人行使司法权。

国际法允许一国起诉在其境外从事某种行为的外籍个人,前提是外籍个人被指控的行为在该国境内造成了"实质影响"。联邦检察机关可以辩称,此次诉讼就属于这种情况,因为被指控的网络犯罪的受害者是美国企业和一个工会组织。

不过,中国基本不可能将涉嫌黑客攻击的军官移交法庭受审。但霍利斯表示,起诉书能达到其他目的。

据《华尔街日报》巴雷特(Devlin Barrett)和戈尔曼(Siobhan Gorman)的报道,起初,奥巴马政府曾寻求公开加大对中国的施压力度,要求中国停止针对美国企业的网络间谍活动。

但据霍利斯称,在去年前美国国家安全局(National Security Agency)承包商雇员斯诺登(Edward Snowden)曝光了美国政府的网络间谍活动后,中方明确表示,就美国提出的网络间谍指控,他们并不赞同。

据霍利斯称,在斯诺登引发的争议过去后,美国竭力试图使其他国家分清旨在保护国家安全的政府黑客攻击与中国被指控从事的工业或经济黑客攻击之间的区别。他还说,此次诉讼就是为实现这一目的而采取的一次政治行动。

中国外交部称美方的起诉没有根据,已敦促美方撤销所谓起诉。外交部发言人秦刚就此事回应称,美方蓄意捏造事实,严重违反国际关系基本准则,损害中美合作与互信。

Jacob Gershman 


没有评论:

发表评论

页面