我来为你解密,FBI 如何识别中国黑客身份?
之前的报道:
FBI逮捕一名中国黑客:称其贩卖恶意软件,入侵美国人事管理办公室
FBI 在洛杉矶机场逮捕了一名中国籍的恶意程序中介 Yu Pingan,指控他向中国黑客组织提供了包括 Sakula 在内的恶意软件 ,这些恶意软件被用于入侵美国多家公司,同时与 2015 年美国联邦政府人事管理办公室被盗逾 2000 万文件有关联。FBI 是如何识别中国黑客身份的?根据 FBI 特工 Adam R.James 的证词,FBI 和五角大楼的网络犯罪中心主要依赖于对恶意程序嵌入的 CC 域名的跟踪调查,以及通过搜索令扣押的电子通讯,但起诉书没有给出这些扣押电子通信的来源。
本案提到了四家被中国黑客组织入侵的企业,分别代表 A、B、C 和 D,Yu Pingan 的同谋被称为未被起诉同谋 1 和 2。其中公司 A 发现的一个恶意程序是 capstone.exe,嵌入了一个动态 DNS 服务商托管的域名 capstoneturbine.cechire.com,购买该域名的人自称为 Capstone Trubine 公司工作,网址是 www.capstonetrubine.com,账单记录和注册信息显示 “未被起诉同谋 1” 控制了多个动态域名账号,购买了多个嵌入在恶意程序中的 CC 域名,2013 年 12 月 16 日多个域名都指向了同一个 IP 173.252.252.204。扣押的通信显示,Yu 与 “未被起诉同谋 1” 在 2011 年 4 月建立了联系,2011 年 4 月 17 日,Yu 告诉对方他有一个 Flash 的漏洞利用能工作在三种不同的浏览器上。Yu 与 “未被起诉同谋 2” 建立关系也不晚于 2011 年 4 月,2011 年 4 月 23 日,两人讨论了提供微软 IE 的漏洞利用。扣押的通信显示,Yu 被警告他的活动可能会引起 FBI 的注意。2011 年 11 月 10 日的通信显示,“未被起诉同谋 1” 告诉 Yu 他控制了一个微软韩国的官方域名并提供了网址http://update.microsoft.kr/hacked.asp 供对方验证,“未被起诉同谋 1” 称无法用这个域名推送虚假更新但可以用于钓鱼攻击。不到 2 周后,Sakula 的一个版本配置使用了这个微软韩国域名。2012 年 12 月 25 日左右的草稿显示,Yu 抱怨 “未被起诉同谋 1” 用他的网名命名了一个恶意文件 golds7n.txt。Yu 的网名是 GoldSun,Sakula 一个版本的解密密钥是 Goldsunfucker,他曾用电子邮件 goldsun84823714@gmail.com。Yu 还向 “未被起诉同谋 1” 提供给其它恶意程序,包括 ADJESUS 域帝 和 hkdoor 骇客之门,这些恶意程序曾通过一家叫 penelab.com 的渗透测试网站出售,其中 hkdoor 是为客户 Fangshou 开发的,而 “未被起诉同谋 1” 用过 Fangshou 这个名字。FBI 扣押的简历显示,Yu 出生于 1980 年 12 月 16 日,住在上海,精于计算机网络安全和编程。
扩展阅读:
美国司法部指控5名中方人员是“黑客”
2014-05-20 来源:参考消息网
外媒称,美国司法部说,一个大陪审团指控5名中国人针对6家美国企业进行网络间谍活动并窃取商业秘密。这是美国司法部首次指责中国搞网络间谍活动。
据路透社5月19日报道,司法部说,这些“黑客”的目标是核能、金属和太阳能产品等行业的美国公司,以窃取对这些公司的中国竞争对手有用的信息。
美国官员说,这些成为“黑客”目标的公司包括阿尔科阿公司、美国钢铁公司、阿勒格尼技术公司、西屋电气公司和太阳能世界公司美国分公司等。
官员说,“黑客”的目标还有美国钢铁工人联合会。
报道说,美国官员长期以来对来自国外尤其是中国的黑客行为很担心。这种指控是象征性的,但是这一举措将阻止受指控者来美国或前往与美国有引渡协议的其他国家。
网络安全专家认为,行动表明美国对于解决黑客问题是认真的。战略与国际问题研究中心的詹姆斯·刘易斯对记者说:“这向中国发出了强烈信号。”
美联社5月19日报道,美国19日对5名中国军事官员首次提出了网络间谍活动的指控,指责他们非法闯入美国公司的电脑网络系统获取商业机密。
报道称,根据这项指控,“黑客们”的目标是美国的核电、金属和太阳能产品行业。这些“黑客”被指控窃取商业机密,并从事经济间谍活动。
司法部长埃里克·霍尔德说,美国不会容忍外国政府损害美国公司的利益。
法新社5月19日报道称,美国司法部说,19日对中国军方的5名成员提出指控,他们涉嫌通过黑客行为窃取美国机密,以帮助其国有公司。
这些刑事指控说,这些“黑客”非法闯入美国的电脑获取竞争优势,伤害了西屋公司和美国钢铁公司以及工人们的利益。
司法部长埃里克·霍尔德说,这是针对国家行为主体提出的首次此类指控,应当成为“一记警钟”。
他说:“这次起诉表明,从事经济间谍活动的国家行为主体,即使是远在上海的办公室,他们的犯罪行为也将在美国法庭上被曝光,他们也将被设法逮捕并起诉。”
更多精彩内容:
解剖FBI
黑客落网记:FBI如何抓捕Anonymous核心成员
FBI 局长: 中国黑客把美国各大公司黑了个遍
FBI调查中国军方参与黑客攻击指称
FBI是如何发现黑客来自朝鲜的?答案很低级
视频:FBI警告美在中国留学生勿当间谍
加密并不是危如累卵,FBI知道苹果已经拥有所需密钥
FBI究竟是如何窃听你的计算机的?
FBI最想抓获的黑客原来是这几个人
CIA 对本国情报机构下手?利用ExpressLane工具搜集FBI与NSA等机构的数据 返回搜狐,查看更多
责任编辑: