古开元是黑客,还是被黑客?不过古开元火了!

趋势科技公布了一份关于“Luckycat”黑客攻击的案例研究报告(PDF)。Luckycat行动针对的目标是印度军事研究机构、日本国防承包商和西藏活跃人士。趋势的研究人员跟踪到黑客来自中国。他们通过黑客注册命令控制服务器使用的电子邮件,最终跟踪到了一位四川大学的前研究生、现腾讯员工“古开元(Gu Kaiyuan)”。研究人员人肉出他的网名dang0102/scuhkr,QQ号码:19013788(古校友),而QQ号码:2888111是古本人的,在黑客论坛XFocus发表的帖子,在四川大学蓝色星空站招募2到4名实习黑客(要求“为人正直”)的帖子,他还在一份黑客杂志发表了多篇有关后门和shellcode文章。这位黑客被发现使用了盗版的XP操作系统(“深度”定制版),用Tor和Tunnelier隐藏痕迹,使用FoxMail和Supermailer邮件软件。据《纽约时报》报导,古于2003年到2006年在四川大学学习,硕士论文主题是计算机攻击和预防策略。NYT联系了古,但他拒绝发表评论。研究人员并没有发现古与政府的直接联系,但认为他的攻击目标选择透露了政府背景。更新:古开元在博客上说报导不实,表示黑客的QQ属于他的一个校友,称他是帮助导师招募实习生。<!-- more -->

事件回顾

美媒披露黑客攻击内幕直指川大毕业生

3月 30 日消息,据国外媒体报道,一系列针对日本、印度公司和和藏人团体的计算机攻击活动,最近被纽约时报披露,据悉这些攻击活动被认为是一名中国大学毕业生所为。

根据一份由总部位于东京的计算机安全公司 Trend Micro 发布的报告显示,这些攻击的发起者被锁定为一些网络昵称,根据相关在线记录显示,这些昵称的所有者为四川大学毕业生古开元(音),同时该大学拥有计算机网络防护方面的政府资金援助。

根据这些记录可见古开元现在似乎为腾讯雇员。报告指出,他可能已经招募大学生为其从事计算机攻击和防御方面的研究。

但研究人员并不认为这些攻击活动是政府雇佣的黑客所为,而其他安全专家表示,综合考虑此次攻击的技术水平和攻击目标,很难不将其同国家行为联系到一起。

华盛顿方面研究机构的前外交和计算机安全方面专家 James A. Lewis 表示:“他们攻击藏人团体的事实表明有中国政府方面参与,因为一般来说中国黑客的个人行为目标都是有商业价值的数据,而非政治团体。”

华盛顿的中国大使馆和纽约的中国总领馆都没有评论此事。

Trend Micro 公司的报告介绍此次攻击至少有 233 台 PC 机受到波及,包括印度军方研究机构和海运公司,日本的航天、能源、工程方面的公司,以及至少 30 台属于藏人团体的计算机。这次攻击活动已经持续至少 10 个月,并且仍在进行中。

报告提到专家们跟踪记录攻击所使用服务器登记的邮件地址,这些邮件地址与 QQ 号码有关,这些 QQ 号码对应若干昵称。其中一个昵称为“scuhkr”,专家认为可能是“Sichuan University hacker”(四川大学黑客)的缩写。报告提到四川大学信息安全学院的计算机网络防御研究项目始于 2005 年。

纽约时报发现这些昵称属于古开元,根据相关记录显示,古开元于 2003 至 2006 年就读四川大学,期间发表过若干篇作者署名为“scuhkr”和“Gu Kaiyuan”的关于黑客方面的文章。纽约时报还找到古开元通过大学在线论坛发布招聘工作的信息,留下的电话等联系方式均为腾讯。对此纽约时报联系了在腾讯工作的古开元,但他表示无可奉告。

腾讯方面对此亦无评论。

此次攻击技术原理同影子网络(Shadow Network)相似,这样的攻击曾于 2009 年发生,当时攻击的目标是印度政府以及达赖喇嘛的私人电子邮件。Trend Micro 公司的研究人员发现这次攻击与 2009 年的攻击具有相同的服务器。

进行上次影子网络攻击的黑客被认为来自中国四川电子科大,该校的计算机网络防御研究同样接受政府资助。同时中国军方的网络侦查机构也位于成都。

一些安全专家认为中国政府雇佣民间的黑客进行攻击活动。例如今年早些时候,戴尔的 SecureWorks 部门安全专家 Joe Stewart 发现一起针对越南政府和石油勘探公司的攻击活动的邮件地址属于一家中国的互联网公司。

Trend Micro 公司报告提到的攻击活动的细节,最早是两周前由赛门铁克公司记录的。

Trend Micro 公司研究人员表示这起攻击事件是三个月前发现的,当时他们收到两起恶意软件攻击的报告,一起在日本,另一起在西藏,通过进一步调查发现两起事件源自同一些服务器,接下来几个月,他们发现超过 90% 的恶意软件幕后都指向这些服务器。

每起攻击都使用相同的手段,利用电子邮件吸引受害者打开一个链接。印度方面收到印度弹道导弹防御计划的邮件,藏人团体收到内容涉及自杀报道以及位于纽约的藏人基金招募工作的邮件,日本方面则收到有关核泄露测量的邮件。

每封邮件都包含附件,只要点击附件所包含的链接就会在受害者的计算机中建立后门并连接到攻击的服务器。据悉黑客是利用了微软的 office 和 Adobe 软件的安全漏洞。一旦连接建立,黑客可使用远程控制工具获取敏感文件,同时安装键盘记录程序,记录受害者浏览网络时使用的各种帐号和密码。

Trend Micro 公司研究人员没有透露这些受害者的具体名称,但表示他们已经提醒受害者即时修补系统。

印度国防部发言人 Sitanshu Kar 表示没有收到上述攻击事件的内部报告。纽约的日本领事馆副总领事 Fumio Iwai 拒绝评论此事。

截止到本周四,负责攻击活动的服务器仍在运行中,受害的计算机仍然泄露信息。

Trend Micro 公司研究员 Nart Villeneuve 表示:“这不是孤立的攻击事件,攻击已经持续很久,危害一直存在,并且有日益严重的趋势。”

  美媒诬陷腾讯员工参与黑客攻击当事人澄清

美国纽约时报 3 月 29 日报道称,通过人肉搜索找出了过去十个月对印度和日本军方及商业机构的电脑网络发动数百次攻击的“嫌疑人”古开元。

古开元为腾讯公司员工,对自己在大洋彼岸成为知名“黑客”非常惊讶,并在微博上发表澄清:“该报记者徐研在本月 29 日发表文章,文中指我曾参与一起攻击入侵行为。文章所指依据与事实不符--黑客控制服务器 QQ 号码为我校友所有,非我本人。我个人并未参与任何黑客行为,特此声明。”

纽约时报称,因参与调查的趋势科技公司分析人员通过分析一起黑客攻击—luckycat 事件,找到了黑客控制肉鸡的服务器。又在控制服务器的一组域名中,找到了一个域名 clbest.greenglassint.net,并通过域名找到了该域名的注册邮箱 19013788@qq.com。其后搜索该邮箱的 QQ 号码,发现该号码曾与另一个号码 2888111(古开元本人使用)共同出现在四川大学 BBS 上的一个帖子中。并据此判断古开元参与了此次黑客攻击。

腾讯公司 QQ 安全中心随后也发布微博指出纽约时报的人肉逻辑存在严重错误,同时力挺“躺中也中枪”的同事,向他送去慰问。

古开元个人微博(http://t.qq.com/p/t/50239089186580):

关于纽约时报不实报道的澄清--该报记者徐研在本月 29 日发表文章,文中指我曾参与一起攻击入侵行为。文章所指依据与事实不符--黑客控制服务器 QQ 号码为我校友所有,非我本人。我个人并未参与任何黑客行为,特此声明。

QQ 安全中心微博(http://t.qq.com/p/t/24317020028327):

  1. 腾讯反对任何黑客网络攻击行为。 2.这次报道存在严重的逻辑错误,所谓证据指向的是古开元的一个校友,而非他本人。古开元未参与过任何黑客攻击。 3.我们呼吁媒体客观报道,而不应捕风捉影对无辜当事人造成无谓伤害,在此也向深受此事困扰的同学送去慰问。

2010年 2 月,《纽约时报》也炮制过一则类似的新闻,该报在其网站上称,导致谷歌有意退出中国的网络攻击可能与蓝翔技校有关。此事在中国传为笑谈,却也令名不见经传的蓝翔技校一夜成名。坊间认为,美国一直称自己和盟友遭到黑客攻击却始终没有确凿证据,这些捕风捉影的说辞或许只是一种政治需要。