海归论坛 :: 阅读主题 - [转帖]61398部队黑客被曝光过程

会员列表
收藏夹
论坛帮助

论坛首页 | 排行榜 | 在线私聊 | 专题 | 版规 | 搜索 | RSS | 注册 | 活动日历


主题: [转帖]61398部队黑客被曝光过程

海归论坛首页 -> 海归商务焦点讨论 | 精华区 | 嘉宾沙龙 | 白领丽人沙龙

分屏

表形显示

阅读上一个主题 :: 阅读下一个主题

作者

[转帖]61398部队黑客被曝光过程

木辛
[博客]
[个人文集]

头衔: 海归元帅
声望: 院士

加入时间: 2004/02/23
文章: 7094

海归分: 1808921

标题: [转帖]61398部队黑客被曝光过程 (4325 reads) 时间: 2014-6-09 周一, 05:30

作者：木辛在海归商务发贴, 来自【海归网】 http://www.haiguinet.com

(注：本文有图片，但是本文的原图看不了。）

61398部队黑客被曝光过程
来源: 大地

最近2星期的热点话题是：天朝61398部队的御用骇客。今天转载一些网文和图片，八卦一下御用骇客被曝光的过程。
话说美国方面这次掌握的材料已经很充分了（看完本文，你会意识到这点）。但是天朝外交部摆出一副"死猪不怕开水烫"的架势，打死不承认。

★图片若干

在此次事件中，最有价值的信息，就是美国计算机安全公司 Mandiant 发布的报告。这份报告算是比较详细的，介绍了御用骇客的种种事迹和入侵手法。对网络安全有兴趣的同学，这份报告值得一读。

考虑到很多读者比较懒，俺贴出该报告的其中几张截图，再配上俺的简要解说。

◇中国电信授权61398部队接入上海005中心

这是中国电信的一个内部文件（截图下方是发现该文件的网址）。

里面明确提到了：61398部队隶属总参三部二局，位于高桥（上海浦东）。

◇御用骇客常用的工具

这是御用骇客收集用户口令的工具。

◇御用骇客使用的 IP 地址

下面几张是美国方面监控到的，入侵美国公司所用的 IP 地址，有相当多的攻击来源，是来自于上海市浦东区高桥镇。

可能会觉得奇怪：这帮御用骇客难道不用代理吗？

俺来解释一下：

1.

御用骇客的人数很多，素质也是参差不齐。

人多了之后，难免会有人不遵守纪律。有些人估计是嫌麻烦，没做到 "入侵的全过程都通过代理"。

只要有 1% 的人出现疏忽，那么整个团队所在的位置就会被曝光。

2.

御用骇客跟民间骇客不同。民间骇客搞入侵，一旦暴露有可能会被抓。所以，有经验的民间骇客会更小心谨慎。而御用骇客是朝廷的人，不用担心被抓。因为缺乏心理上的顾虑，也就没有那么小心谨慎。

某些替朝廷辩护的五毛会说，这是别国的黑客利用中国的肉鸡做跳板。

如果真的是这样，那就非常奇怪了：为啥别国的黑客碰巧都用了上海浦东区高桥镇的网段当肉鸡？而且碰巧高桥镇还驻扎着一个解放军的网络战部队？

◇被人肉的骇客之一：汪东（网名 Ugly Gorilla）

他暴露的主要问题在于，他使用了相同的邮箱（[email protected]），相同的网名（UglyGorilla）注册了如下网站：

1. 中国军网

该网站隶属《解放军报》旗下。2004年，张召忠（赫赫有名的天朝战略忽悠局局长）做客该网站，接受网友的在线提问。当时汪东曾向张召忠在线提问，问题内容是关于"中国网络战"。

看来张召忠的忽悠能力很强啊。连御用骇客都成为他的粉丝了。

2. rootkit.com

这是国外知名的黑客网站，专门提供 "木马/后门" 等方面的资料。

该网站后来被大名鼎鼎的 "匿名黑客组织" 攻破并爆库，用户数据库中就有[email protected]，且注册该帐号的 IP 地址（58.246.255.28）来自上海浦东高桥。

3. www.pudn.com

国内开发人员网站，美国安全专家在该网站上查到了注册用户 UglyGorilla 的真名是 "汪东"。

另外，他还喜欢处处留名——在自己开发的木马工具中，写了如下签名：

“v1.0 No Doubt to Hack You, Writed by UglyGorilla, 06/29/2007”

细心的同学应该已经发现了，这句签名存在英语的语法错误。美国专家显然也发现这一点。他们还整理了一个清单，列出了入侵美国公司的木马软件中，存在的各种英语语法错误。截图如下：

下面两张图片，是 Mandiant 报告中关于 "汪东" 的部分。

关于 "汪东" 的案例，给大伙儿的教训就是：

如果你要从事有危险的网络活动，一定不要混用网络帐号（包括：邮箱、IM、网站用户名、等）。

比如俺这个 "编程随想" 的身份，涉及到的所有网络帐号（包括 G+、Twitter、等）都是单独的，跟俺日常使用的帐号完全隔离。

不光帐号隔离，连上网操作俺都是在不同的虚拟机中分别进行。

◇被人肉的骇客之二：DOTA

此人注册了很多邮箱（比如[email protected] - [email protected]），主要用来伪造不同身份，搞社会工程学的入侵。

Mandiant 的报告提到说，由于创建的帐号太多，所以口令管理是一件麻烦事。DOTA 经常使用基于键盘布局的口令（比如 1qaz@WSX#EDC）。这种口令表面上复杂，其实强度不够。

很可能是因为 DOTA 的口令不够强，某些邮箱帐号被 Mandiant 的专家攻破了。下面是 DOTA 的某个 Gmail 邮箱的截图。

拿到 DOTA 的 Gmail 邮箱之后，DOTA 的很多入侵行为就显而易见了。

Mandiant 的报告还提到说，DOTA 除了使用基于键盘布局的口令，还使用了这个口令（2j3c1k）。Mandiant 的专家怀疑，2j3c1k 对应于中文 "2局3处1科"（61398部队隶属总参3部2局）。

另外，DOTA 注册邮箱使用了手机接收验证码，所以他的手机也被曝光了，号码是 159-2193-7229（中国移动上海号段）

关于 "DOTA" 的案例，给大伙儿的教训就是：

网络帐号的密码一定要强。你在不同网站使用的密码一定要不同，而且要让人看不出规律。

◇其它图片

下面这张是：61398部队的成员发表的信息安全相关论文

下面这张是：61398部队在浙江大学招收定向研究生

作者：木辛在海归商务发贴, 来自【海归网】 http://www.haiguinet.com

相关主题
[转帖]波兰女黑客攻破Vista防线微软数字签名不安全	海归茶馆	2006-8-05 周六, 22:10
[转帖] 朱令铊中毒案匿名黑客：希望推动案件重启调查	海归主坛	2013-5-13 周一, 20:52
没事找事系列：罗马尼亚“黑客小镇”成网络诈骗“天堂”（转帖）	海归商务	2011-11-17 周四, 12:57
二○○五年的南方都市报，再以巅峰为起点，开拓传媒新域，出战黑客帝国，厉兵秣...	海归论坛	2005-8-31 周三, 16:04
[转帖]大陆最黑的旅游景点；附内部人的忠告	生活风情	2014-7-20 周日, 15:20
沈阳晚报-《黑客帝国》现实版美式新武器能控制大脑？	生活风情	2014-5-21 周三, 22:54
[转帖]震驚！乘客从美国回国行李箱被人撬开万元物品不翼而飞	海归主坛	2013-6-18 周二, 16:18
[转帖] 施化的博客：重翻朱令案，对谁有益？	海归酒吧	2013-5-25 周六, 10:34