美媒披露黑客攻击内幕 直指川大毕业生

【TechWeb报道】3月30日消息，据国外媒体报道，一系列针对日本、印度公司和和藏人团体的计算机攻击活动，最近被纽约时报披露，据悉这些攻击活动被认为是一名中国大学毕业生所为。

根据一份由总部位于东京的计算机安全公司Trend Micro发布的报告显示，这些攻击的发起者被锁定为一些网络昵称，根据相关在线记录显示，这些昵称的所有者为四川大学毕业生顾凯源（音），同时该大学拥有计算机网络防护方面的政府资金援助。

根据这些记录可见顾凯源现在似乎为腾讯雇员。报告指出，他可能已经招募大学生为其从事计算机攻击和防御方面的研究。

但研究人员并不认为这些攻击活动是政府雇佣的黑客所为，而其他安全专家表示，综合考虑此次攻击的技术水平和攻击目标，很难不将其同国家行为联系到一起。

华盛顿方面研究机构的前外交和计算机安全方面专家James A. Lewis表示：“他们攻击藏人团体的事实表明有中国政府方面参与，因为一般来说中国黑客的个人行为目标都是有商业价值的数据，而非政治团体。”

华盛顿的中国大使馆和纽约的中国总领馆都没有评论此事。

Trend Micro公司的报告介绍此次攻击至少有233台PC机受到波及，包括印度军方研究机构和海运公司，日本的航天、能源、工程方面的公司，以及至少30台属于藏人团体的计算机。这次攻击活动已经持续至少10个月，并且仍在进行中。

报告提到专家们跟踪记录攻击所使用服务器登记的邮件地址，这些邮件地址与QQ号码有关，这些QQ号码对应若干昵称。其中一个昵称为“scuhkr”，专家认为可能是“Sichuan University hacker”（四川大学黑客）的缩写。报告提到四川大学信息安全学院的计算机网络防御研究项目始于2005年。

纽约时报发现这些昵称属于顾凯源，根据相关记录显示，顾凯源于2003至2006年就读四川大学，期间发表过若干篇作者署名为“scuhkr”和“Gu Kaiyuan”的关于黑客方面的文章。纽约时报还找到顾凯源通过大学在线论坛发布招聘工作的信息，留下的电话等联系方式均为腾讯。对此纽约时报联系了在腾讯工作的顾凯源，但他表示无可奉告。

腾讯方面对此亦无评论。

此次攻击技术原理同影子网络（Shadow Network）相似，这样的攻击曾于2009年发生，当时攻击的目标是印度政府以及达赖喇嘛的私人电子邮件。Trend Micro公司的研究人员发现这次攻击与2009年的攻击具有相同的服务器。

进行上次影子网络攻击的黑客被认为来自中国四川电子科大，该校的计算机网络防御研究同样接受政府资助。同时中国军方的网络侦查机构也位于成都。

一些安全专家认为中国政府雇佣民间的黑客进行攻击活动。例如今年早些时候，戴尔的SecureWorks部门安全专家Joe Stewart发现一起针对越南政府和石油勘探公司的攻击活动的邮件地址属于一家中国的互联网公司。

Trend Micro公司报告提到的攻击活动的细节，最早是两周前由赛门铁克公司记录的。

Trend Micro公司研究人员表示这起攻击事件是三个月前发现的，当时他们收到两起恶意软件攻击的报告，一起在日本，另一起在西藏，通过进一步调查发现两起事件源自同一些服务器，接下来几个月，他们发现超过90％的恶意软件幕后都指向这些服务器。

每起攻击都使用相同的手段，利用电子邮件吸引受害者打开一个链接。印度方面收到印度弹道导弹防御计划的邮件，藏人团体收到内容涉及自杀报道以及位于纽约的藏人基金招募工作的邮件，日本方面则收到有关核泄露测量的邮件。

每封邮件都包含附件，只要点击附件所包含的链接就会在受害者的计算机中建立后门并连接到攻击的服务器。据悉黑客是利用了微软的office和Adobe软件的安全漏洞。一旦连接建立，黑客可使用远程控制工具获取敏感文件，同时安装键盘记录程序，记录受害者浏览网络时使用的各种帐号和密码。

Trend Micro公司研究人员没有透露这些受害者的具体名称，但表示他们已经提醒受害者即时修补系统。

印度国防部发言人Sitanshu Kar表示没有收到上述攻击事件的内部报告。纽约的日本领事馆副总领事Fumio Iwai拒绝评论此事。

截止到本周四，负责攻击活动的服务器仍在运行中，受害的计算机仍然泄露信息。

Trend Micro公司研究员Nart Villeneuve表示：“这不是孤立的攻击事件，攻击已经持续很久，危害一直存在，并且有日益严重的趋势。”