古開元“被黑客”:躺著中槍 報道不實
3月 30 日消息,據紐約時報報道,一系列針對日本、印度公司的計算機攻擊活動被認為是一名中國大學畢業生所為。
根據一份由總部位于東京的計算機安全公司 Trend Micro 發布的報告稱,專家們跟蹤記錄攻擊所使用服務器登記的郵件地址,這些郵件地址與 QQ 號碼有關,這些 QQ 號碼對應若干昵稱。其中一個昵稱為“scuhkr”,專家認為可能是“Sichuan University hacker”(四川大學黑客)的縮寫。
紐約時報發現這些昵稱屬于古開元,根據相關記錄顯示,古開元于 2003 至 2006 年就讀四川大學,期間發表過若干篇作者署名為“scuhkr”和“Gu Kaiyuan”的關于黑客方面的文章。
對此,古開元今日下午發布聲明澄清,稱“躺著中槍”。“該報記者徐研在本月 29 日發表文章,文中指我曾參與一起攻擊入侵行為。文章所指依據與事實不符--黑客控制服務器 QQ 號碼為我校友所有,非我本人。我個人并未參與任何黑客行為,特此聲明。”
古開元總結了自己“被黑客”的過程:Trend Micro 分析人員人員通過分析一起黑客攻擊—luckycat 事件,找到了黑客控制肉雞的服務器。在控制服務器的一組域名中,找到了一個域名 clbest.greenglassint.net,并通過域名找到了該域名的注冊郵箱 19013788@qq.com。
搜索這個郵箱的 QQ,找到了之前古開元上學時在川大 BBS 上發的一個招校內實習生的帖子,帖子中留下的聯系方式里的 QQ 是 19013788(古校友)和 2888111(古本人)。
“就因為一起幫老師發過貼,坑爹的結論出現了,紐約時報這記者看到了 Trend Micro 的這個報告,就認為這兩個 QQ 是一個人,然后就說我是黑客。”古開元稱。
古開元稱,他于 2006 年畢業,帖子于 2005 年發布,而攻擊是在 2011 年。
騰訊公司 QQ 安全中心隨后也發布微博指出紐約時報的人肉邏輯存在嚴重錯誤,“所謂證據指向的是古開元的一個校友,而非他本人。古開元未參與過任何黑客攻擊。”
值得注意的是,2010年 2 月《紐約時報》報道稱,導致谷歌有意退出中國的網絡攻擊可能與藍翔技校有關。
事件回顧
美媒披露黑客攻擊內幕直指川大畢業生
3月 30 日消息,據國外媒體報道,一系列針對日本、印度公司和和藏人團體的計算機攻擊活動,最近被紐約時報披露,據悉這些攻擊活動被認為是一名中國大學畢業生所為。
根據一份由總部位于東京的計算機安全公司 Trend Micro 發布的報告顯示,這些攻擊的發起者被鎖定為一些網絡昵稱,根據相關在線記錄顯示,這些昵稱的所有者為四川大學畢業生古開元(音),同時該大學擁有計算機網絡防護方面的政府資金援助。
根據這些記錄可見古開元現在似乎為騰訊雇員。報告指出,他可能已經招募大學生為其從事計算機攻擊和防御方面的研究。
但研究人員并不認為這些攻擊活動是政府雇傭的黑客所為,而其他安全專家表示,綜合考慮此次攻擊的技術水平和攻擊目標,很難不將其同國家行為聯系到一起。
華盛頓方面研究機構的前外交和計算機安全方面專家 James A. Lewis 表示:“他們攻擊藏人團體的事實表明有中國政府方面參與,因為一般來說中國黑客的個人行為目標都是有商業價值的數據,而非政治團體。”
華盛頓的中國大使館和紐約的中國總領館都沒有評論此事。
Trend Micro 公司的報告介紹此次攻擊至少有 233 臺 PC 機受到波及,包括印度軍方研究機構和海運公司,日本的航天、能源、工程方面的公司,以及至少 30 臺屬于藏人團體的計算機。這次攻擊活動已經持續至少 10 個月,并且仍在進行中。
報告提到專家們跟蹤記錄攻擊所使用服務器登記的郵件地址,這些郵件地址與 QQ 號碼有關,這些 QQ 號碼對應若干昵稱。其中一個昵稱為“scuhkr”,專家認為可能是“Sichuan University hacker”(四川大學黑客)的縮寫。報告提到四川大學信息安全學院的計算機網絡防御研究項目始于 2005 年。
紐約時報發現這些昵稱屬于古開元,根據相關記錄顯示,古開元于 2003 至 2006 年就讀四川大學,期間發表過若干篇作者署名為“scuhkr”和“Gu Kaiyuan”的關于黑客方面的文章。紐約時報還找到古開元通過大學在線論壇發布招聘工作的信息,留下的電話等聯系方式均為騰訊。對此紐約時報聯系了在 騰訊工作的古開元,但他表示無可奉告。
騰訊方面對此亦無評論。
此次攻擊技術原理同影子網絡(Shadow Network)相似,這樣的攻擊曾于 2009 年發生,當時攻擊的目標是印度政府以及達賴喇嘛的私人電子郵件。Trend Micro 公司的研究人員發現這次攻擊與 2009 年的攻擊具有相同的服務器。
進行上次影子網絡攻擊的黑客被認為來自中國四川電子科大,該校的計算機網絡防御研究同樣接受政府資助。同時中國軍方的網絡偵查機構也位于成都。
一些安全專家認為中國政府雇傭民間的黑客進行攻擊活動。例如今年早些時候,戴爾的 SecureWorks 部門安全專家 Joe Stewart 發現一起針對越南政府和石油勘探公司的攻擊活動的郵件地址屬于一家中國的互聯網公司。
Trend Micro 公司報告提到的攻擊活動的細節,最早是兩周前由賽門鐵克公司記錄的。
Trend Micro 公司研究人員表示這起攻擊事件是三個月前發現的,當時他們收到兩起惡意軟件攻擊的報告,一起在日本,另一起在西藏,通過進一步調查發現兩起事件源自同一些服務器,接下來幾個月,他們發現超過 90% 的惡意軟件幕后都指向這些服務器。
每起攻擊都使用相同的手段,利用電子郵件吸引受害者打開一個鏈接。印度方面收到印度彈道導彈防御計劃的郵件,藏人團體收到內容涉及自殺報道以及位于紐約的藏人基金招募工作的郵件,日本方面則收到有關核泄露測量的郵件。
每封郵件都包含附件,只要點擊附件所包含的鏈接就會在受害者的計算機中建立后門并連接到攻擊的服務器。據悉黑客是利用了微軟的 office 和 Adobe 軟件的安全漏洞。一旦連接建立,黑客可使用遠程控制工具獲取敏感文件,同時安裝鍵盤記錄程序,記錄受害者瀏覽網絡時使用的各種帳號和密碼。
Trend Micro 公司研究人員沒有透露這些受害者的具體名稱,但表示他們已經提醒受害者即時修補系統。
印度國防部發言人 Sitanshu Kar 表示沒有收到上述攻擊事件的內部報告。紐約的日本領事館副總領事 Fumio Iwai 拒絕評論此事。
截止到本周四,負責攻擊活動的服務器仍在運行中,受害的計算機仍然泄露信息。
Trend Micro 公司研究員 Nart Villeneuve 表示:“這不是孤立的攻擊事件,攻擊已經持續很久,危害一直存在,并且有日益嚴重的趨勢。”
美媒誣陷騰訊員工參與黑客攻擊當事人澄清
美國紐約時報 3 月 29 日報道稱,通過人肉搜索找出了過去十個月對印度和日本軍方及商業機構的電腦網絡發動數百次攻擊的“嫌疑人”古開元。
古開元為騰訊公司員工,對自己在大洋彼岸成為知名“黑客”非常驚訝,并在微博上發表澄清:“該報記者徐研在本月 29 日發表文章,文中指我曾參與一起攻擊入侵行為。文章所指依據與事實不符--黑客控制服務器 QQ 號碼為我校友所有,非我本人。我個人并未參與任何黑客行為,特此聲明。”
紐約時報稱,因參與調查的趨勢科技公司分析人員通過分析一起黑客攻擊—luckycat 事件,找到了黑客控制肉雞的服務器。又在控制服務器的一組域名中,找到了一個域名 clbest.greenglassint.net,并通過域名找到了 該域名的注冊郵箱 19013788@qq.com。其后搜索該郵箱的 QQ 號碼,發現該號碼曾與另一個號碼 2888111(古開元本人使用)共同出現在四川大學 BBS 上的一個帖子中。并據此判斷古開元參與了此次黑客攻擊。
騰訊公司 QQ 安全中心隨后也發布微博指出紐約時報的人肉邏輯存在嚴重錯誤,同時力挺“躺中也中槍”的同事,向他送去慰問。
古開元個人微博(http://t.qq.com/p/t/50239089186580):
關于紐約時報不實報道的澄清--該報記者徐研在本月 29 日發表文章,文中指我曾參與一起攻擊入侵行為。文章所指依據與事實不符--黑客控制服務器 QQ 號碼為我校友所有,非我本人。我個人并未參與任何黑客行為,特此聲明。
QQ 安全中心微博(http://t.qq.com/p/t/24317020028327):
1. 騰訊反對任何黑客網絡攻擊行為。 2.這次報道存在嚴重的邏輯錯誤,所謂證據指向的是古開元的一個校友,而非他本人。古開元未參與過任何黑客攻擊。 3.我們呼吁媒體客觀報道,而不應捕風捉影對無辜當事人造成無謂傷害,在此也向深受此事困擾的同學送去慰問。
2010年 2 月,《紐約時報》也炮制過一則類似的新聞,該報在其網站上稱,導致谷歌有意退出中國的網絡攻擊可能與藍翔技校有關。此事在中國傳為笑談,卻也令名不見經傳 的藍翔技校一夜成名。坊間認為,美國一直稱自己和盟友遭到黑客攻擊卻始終沒有確鑿證據,這些捕風捉影的說辭或許只是一種政治需要。