zt:熊猫烧香

武生者,盗江湖之吴人也。
打印 被阅读次数

  从“熊猫烧香”案看中国黑客网

   James T. Areddy (华尔街日报中文版 2010 年 2 月 22 日)

  当今一些最重大的网络安全隐患都能溯源到中国中部城市武汉,那里一名仅有初中学历的黑客曾把熊猫卡通形像植入数百万台电脑,以此来隐藏一款破坏性的间谍软件。

  这款“熊猫烧香”电脑蠕虫病毒由 27 岁的李俊编写,它在 2006 年和 2007 年曾在中国感染了数百万台电脑,李俊本人最终也因此坐牢。通过诱骗电脑用户打开一则看似友好的电子邮件,“熊猫烧香”病毒得以从一台电脑传播到另一台电脑,它会将电脑游戏网站的用户密码、财务信息和现金余额窃取到李俊的那些同谋者手里,而在被感染的电脑里留下一个熊猫卡通形像作为他们自己的名片。

  熊猫烧香病毒的开发者李俊当谷歌公司 (Google Inc.) 上个月指控说它和其他 20 多家公司的内部网络在一起网络攻击中被攻破时,它说这次攻击是从中国发起的,就复杂程度而言,这一被称做“极光行动” (Aurora) 的网络攻击比“熊猫烧香”要高几个量级。与留下“名片”且迅速、随机传播的“熊猫烧香”电脑病毒不同,“极光行动”的发起者会将目标对准那些自己所袭击公司的特定员工,并且会竭尽全力掩盖自己的踪迹。

  目前尚无证据显示谷歌遭受的这次网络攻击与熊猫病毒事件有任何关联。外界清楚的是,李俊是在中国的一个黑客网内学到了电脑病毒开发方法并发起网络攻击的,这一黑客网对全球电脑用户来说仍然是一个实实在在且日益增大的威胁。

  人们很少能追踪到中国黑客的身份、动机和手法。但基于对安全专家的采访、独立科技公司的鉴识报告及黑客们自己的叙述,人们能够以“熊猫烧香”案为窗口对中国地下黑客网的运作情况有一个难得的了解。

  据美国的技术安全公司赛门铁克 (Symantec Corp.) 称,李俊的熊猫案是中国借助电脑病毒的互联网有组织犯罪第一案。电脑一旦被“熊猫烧香”病毒感染,电脑桌面上每个可执行文件,比如微软 (Microsoft Corp.) 的 Word 文件,其图标会变成一个熊猫形像。若点击这个熊猫形像,电脑会立刻开始下载互联网上的一款软件,而这款软件则能让李俊的电脑获取这台电脑存储的财务信息。



  网络专家们说,黑客论坛很有可能成为中国政府有力的黑客招聘场所,中国政府正日益担忧其自身的网络安全。事实上,据一名正式参与传播“熊猫烧香”病毒的人说,他后来被中国警方雇佣,从事了侵入互联网用户电脑帐户的工作。这一说法无法得到独立消息来源的证实。

  中国对它是黑客天堂的说法嗤之以鼻。国务院新闻办公室网络局的官员彭波二月中旬对国有媒体说,中国政府从未支持或参与过网络攻击,也永远不会这样做。他说,事实上中国是遭受全球黑客攻击最严重的国家。

  熊猫烧香病毒在中国造成了巨大的损失据一位知情人士说,正在调查谷歌遭网络攻击的人员虽然仍不知道攻击是从什么地方发起的,但他们一直在调查上海交通大学和山东蓝翔高级技工学校的电脑是否与此次袭击有关。《纽约时报》 (New York Times) 上周四报导说,此次攻击的调查人员追踪到了这两所学校的电脑。

  李俊落网后以破坏计算机信息系统罪被判处四年监禁,他去年 12 月在服满三年刑期后获释。李俊虽然拒绝正式接受采访,但在一系列短暂的电话通话、网上聊天以及电子邮件中,他表示自己正在寻求“新的开始”,或许可以做一名网络安全专家,即所谓的“白帽”。李俊获释后,在他父母于武汉郊区的三层楼房内住了几天。他已经用自己的宏棋 (Acer) 笔记本电脑与熊猫案的其他涉案人员取得了联系。李俊说,他有兴趣与这些以前的同谋一起从事合法生意。

  李俊的黑客生涯开始于 1999 年 5 月,距他 17 岁生日还有一个月,当时美国飞机轰炸了中国驻贝尔格莱德大使馆。这次轰炸激怒了正在武汉的网吧里游荡的李俊,他不再玩电脑游戏,开始成为一名黑客。

  李俊是从他儿时认识的雷磊那里学习技术的。雷磊在一次采访中说,李俊学会了如何控制数千台电脑使之成为“肉鸡”,从而对网站发起攻击。据雷磊称,当北京的学生在向美国大使馆投掷石块时,两位瘦削的年轻人在武汉一家昏暗网吧的二层,发起他们自己的“对美黑客战”,扰乱了二三十家美国网站。李俊通过电子邮件说,我们当时太年轻,净干些疯事。

  雷磊回忆,接下来几年里,两人组成团伙进行黑客攻击,从网民手中盗取资金。他们从网上下载简单的攻击程序攻入游戏账户,盗取玩家的虚拟货币然后卖掉。游戏玩家为提升级别,会购买一些特殊武器或其他物品,这些东西是可以换成现金的。

  现年 27 岁的雷磊因“熊猫烧香”案受到和李俊类似的指控,在湖北省关押李俊的同一座监狱呆了一年, 2008 年释放。雷磊目前在其父亲位于武汉的制造企业工作,计划开办一家网络安全公司。而身穿皮衣、喜欢美国嘻哈音乐的李俊,仍然蔑视权威,在一次采访中,为了避开交通拥堵,开着他的豪华丰田 (Toyota) 汽车在武汉的街道上逆向而行。

  两位黑客说,他们加入一家网上黑客联盟“小刀会”之后,技术日益提高。“小刀会”的名字来自于清朝的一个起义团体。李俊使用了网名“ WHboy ”(武汉男生)。

  网络安全专家说,中国黑客从总体上并不像好莱坞影片中的那种固定模式:美国地下室里精通电脑的孤独天才,或把电脑玩得出神入化的俄罗斯犯罪团伙成员,他们设计并执行攻击,获取各种各样的利益。相反,中国的黑客团体是一个广泛分布和结构松散的数字技工群体。

  李俊通过电子邮件回答《华尔街日报》提问时说,至于中国黑客,他们的整体技术水平赶不上美国或俄罗斯的黑客,但中国拥有世界上最大的黑客群体。他还提到自己与外国黑客的交流,他说,我经常从他们的网站上下载黑客软件,拿来跟我或其他中国黑客写的程序作比较。

  网络安全专家说,在中国的黑客圈里,人人都有具体分工,而且是按件出售自己的作品来获取报酬,而不是为了较高的绩效评分而工作。恶意程序的编写人员常常是利用从其他人手中买到的代码拼凑成自己的程序,李俊也不例外。整个操作过程就像是流水线一样:编写人员编好程序后就卖给其他人,买到这些程序的人会发动更大范围的攻击,传播恶意软件,启动它,并分享回报。

  一家美国大型科技公司驻上海的中国安全研究专家说,这种链条模式是中国独有的。他说,中国黑客活动的组织架构像是多层次直销甚至是传销,而不是结成一体的犯罪团伙,从无到有地编写“技术干净”的代码。


  李俊说,和中国多数黑客一样,他也是在那些谋划技术攻击的聊天室网络里成长的,这种网络不正式,但很活跃。黑客和网络安全人士表示,这些论坛跟犯罪培训学校加硬件商店没有什么区别,形成了一个网络地下世界,在这里,网络游戏、银行网站和苹果 (Apple Inc.)iPhone 技术秘密的门锁承受着来自世界最大网民群体的严酷压力测试。

  黑客们说,为了规避禁止销售恶意软件的法律,编程人员把他们的黑客行为变相地宣扬成“培训”或“辅导”。想成为经销商的人在拉顾客时,把自己叫做“送信员”,而急于在地下世界树立声誉的“脚本小子”则会购买黑客工具并启动攻击。

  举例来说,在传播过程中,任何人都可以利用一种病毒,让它攻击另外一个目标或是窃取不同的数据。附赠的所谓“信封”也有售:模仿现有网站的源代码价格为人民币 50 元(约合 7 美元),网站用户数据要价 500 元。论坛所有者和参与者掩盖了自己的身份。参与其中的主要障碍在于中文。

  网络安全专家说,黑客“众包”的做法( crowd sourcing ,即很多人共同编写和执行代码)降低了个人面临的风险,而且即使有人被抓或论坛被关闭,网络本身也不会受损。李俊在发给《华尔街日报》的电子邮件中回忆道, 2006 年 10 月,他曾经求助于这些论坛,想从几种网络帐户窃取资金,买一辆路虎 (Land Rover) 。

  在武汉市中心租来的公寓里,李俊用一台戴尔 (Dell) 电脑设计了“熊猫烧香”病毒 ( 现在的正式名称为 W32.Fujacks) ,该病毒会向网络用户发送一个软件包,从游戏网站等 10 种不同途径窃取虚拟货币点数和其他项目。这个软件利用保护不力的防火 ,几乎可影响任何连接互联网的电脑。

  李俊在这些黑客论坛寻找可用的代码,最后选中了一个名为“ Nimaya ”的病毒脚本。雷磊说,作为反馈,在黑客界的“同行评审”中,李俊将自己编写的东西的样本发到了大富翁编程网站 (delphibbs.com) 之类的论坛上。李俊在电子邮件中说,如果没有科技的创新、分享和交换,黑客技术不可能这么快发展到今天的地步。

  几周后,李俊用一个窃取自 QQ 聊天的图标作为他长达数万行的代码的标志:举着三根香的熊猫。他将从网站窃取资金的工具拿去出售,最初找了 10 个分销下线,向每个下线收取了约 120 美元。

  赛门铁克 (Symantec) 说,“熊猫烧香”以惊人的、数百万倍的频率复制。它令一些收到者想起了六年前源自菲律宾的“我爱你” (ILOVEYOU) 病毒。但“熊猫烧香”还有一个恶意功能:黑客可以利用其“后门”从流行的网络游戏中窃取虚拟货币,包括腾讯公司 (Tencent Inc.) 运营的那些游戏。腾讯发言人说,许多公司都受到了影响,并拒绝就“熊猫烧香”事件置评。

  雷磊回想起两个人没日没夜地试图转卖他们窃取的虚拟财产。他们以面值 10% 的折扣向网络买家出售,“就像 Ebay 一样”,雷磊说。这种伎俩赚了多少无法确知,不过雷磊说有时他们一天可以赚 1,200 美元。他们一起狂欢,李俊还买了台 2,000 美元的电脑,不过雷磊说除此而外他们并没花掉太多。

  不久,中国网民以及政府机构纷纷谴责“影响极坏的熊猫烧香”。“熊猫烧香”的改进版或复制版开始造成其他损害:导致电脑蓝屏、运行速度变慢、系统崩溃、程序被清除。 2007 年初,两人意识到“熊猫烧香”已经失控,计划逃往中国西部。当时警方已经跟踪到“熊猫烧香”的源头是李俊和雷磊在武汉租住的月租合 72 美元的公寓。警方 2 月 3 日突袭这间公寓时只有李俊一个人在家。

  剃了光头的李俊戴着手铐出现在法庭,被判犯有破坏计算机信息系统罪及盗窃 18,000 美元。

  雷磊后来被捕。警方在浙江、云南和山东省逮捕了其他参与“熊猫烧香”攻击者,其中一些也被判刑。许多人的身份没有公布,包括促使“熊猫烧香”传播及从中获利者。

  在李俊开始为期四年的刑期时,国有媒体拍摄了身穿黄色上衣的他在监狱里用电脑清除“熊猫烧香”病毒的照片。(不过没有效果。去年 11 月,网络安全公司 McAfee Inc. 警告说“熊猫烧香”病毒的新变种正在传播。)

  去年 12 月,李俊因表现良好提前获释。他第一个电话就打给了雷磊。

  在类似 Twitter 的新浪微博上,李俊的关注者迅速扩大到 17,000 人,他发布了一条有关未来计划的意义含糊的信息:“牛奶会有的,面包也会有的,一切重新开始。”

登录后才可评论.