美国人是怎么发现解放军神秘的网络战部队——总参三部二局(61398部队)
来源:互联网 发布:知乎怎么发布文章 编辑:程序博客网 时间:2024/06/03 02:37
原文链接地址:http://www.qshare.cn/?p=881
一:事件起因
多家西方媒体2013年2月19日引述美国网络安全公司Mandiant拟于美国时间周二发表的一份60页报告称,在遍布餐馆、按摩房和酒店的大同路边,一栋白色的12层楼,就是解放军61398部队的总部所在地。“ 《纽约时报》报道称,61398部队据称是解放军辖下一支网络战部队,美国保安公司Mandiant花了六年时间追踪遭攻击的141间美国机构和企业的数字线索,终追查到攻击来源是来自中国上海浦东一幢12层高建筑物内的解放军61398部队,附近守卫森严,有解放军看守,并有告示列明“军事禁区,不许拍照”。去年报告曝光后,有西方传媒到场采访偷拍即被解放军截停阻止。
二: 总参三局和61398介绍
总参三部的前身就是军委三局
总参三部全名为中国人民解放军总参谋部第三部,其职能是负责“信号情报”(技侦)的,即侦听、处理和转送国外电台的通信传播信号。该部据Mark Stokes说,有点类似于美国的国家安全局(NSA)。Desmond Ball称三部又被叫做“技术部”,虽然还没有办法可以证实。 总参三部与解放军信息工程大学直接挂钩,其大学大部分军校学员毕业生直接输往总参三部。其总部设立在上海,在青岛,珠海,哈尔滨,成都等地驻有机构。
- 提供奖学金从大学选拔
61398部队——总参三部二局,也直接从大学选拔成员,尤其兼具优秀电脑及英语能力的人才。浙江大学计算机科学与技术学院官网的“招生页面”,有一篇2004年文章《中国人民解放军61398部队招收定向研究生的通知》,指出61398部队提供“奖学金”给硕士研究生,主要条件是毕业后进入该部队工作。
三: 被美国起诉的5名中国军官
美国司法部19日在声明中指出,为中国解放军效力,隶属于位于中国东部城市上海的61398部队第3支队成员的孙凯良(Sun Kailiang)、黄镇宇(Huang Zhenyu)、文新宇(Wen Xinyu)、王东(Wang Dong)以及顾春晖 FBI网站上对中国军官的“通缉令”
四 :美国网络安全公司Mandiant是何方神圣
这家名不见经传的安全公司到底有什么来历?为什么又紧追中国黑客不放?
创始人系特工出身,曾效力于五角大楼
欲知公司来历,先看创始人出身。Mandiant的创始人兼CEO是Kevin Mandia(很明显公司是以他命名的),他于2004年创立了这家公司,目的是帮助企业侦测、快速反应可能存在的网络入侵,这让Mandiant成为了美国第一家以快速反应为核心竞争力的安全公司。Kevin有20年的信息安全从业经历,至今从事企业网络安全应急处置工作已有15年之久。最重要的是,他的职业生涯开端是在美国空军:五角大楼第七通信部计算机安全官员。之后,Kevin又以特工身份加入了美国空军特别调查办公室(AFOSI),担任网络犯罪侦查员。相信在政府的工作经历给了他指责中国黑客的技术实力和勇气。在企业领域,他曾效力于军工巨头洛克希德•马丁以及McAfee。
纽交所上市的网络威胁侦测公司FireEye已经收购Mandiant,收购方式为股票加现金,股票规模超过9亿美元,以及1.065亿现金。
曾经是McAfee首席执行官的沃尔特称,FireEye和Mandiant是新一代网络安全保护企业,现在的保护将替代以前的杀毒软件模式。FireEye可以在“分秒钟”内应对进一步威胁,并进行实时修补。
根据收购研究公司Dealogic的数据,这是近三年来规模最大的网络安全交易。
五:网络部队如何被发现的
证据一:中国电信授权61398部队接入上海005中心
这是中国电信的一个内部文件(截图下方是发现该文件的网址)。
里面明确提到了:61398部队隶属总参三部二局,位于高桥(上海浦东)。
证据二:中国网络部队黑客常用的工具
这是御用骇客收集用户口令的工具。
使用脚本获取windows信息的代码截图
证据三:中国网络部队黑客通过邮件攻击图解
证据四:被人肉的骇客之一:汪东(网名 Ugly Gorilla)
他暴露的主要问题在于,他使用了相同的邮箱(uglygorilla@163.com),相同的网名(UglyGorilla)注册了如下网站:
1. 中国军网
该网站隶属《解放军报》旗下。2004年,张召忠(赫赫有名的天朝战略忽悠局局长)做客该网站,接受网友的在线提问。当时汪东曾向张召忠在线提问,问题内容是关于”中国网络战”。
看来张召忠的忽悠能力很强啊。连御用骇客都成为他的粉丝了。
强国论坛也有他的注册信息
2. rootkit.com
这是国外知名的黑客网站,专门提供 "木马/后门" 等方面的资料。
该网站后来被大名鼎鼎的 “匿名黑客组织” 攻破并爆库,用户数据库中就有 uglygorilla@163.com,且注册该帐号的 IP 地址(58.246.255.28)来自上海浦东高桥。
3. www.pudn.com
国内开发人员网站,美国安全专家在该网站上查到了注册用户 UglyGorilla 的真名是 "汪东"。
另外,他还喜欢处处留名——在自己开发的木马工具中,写了如下签名:
v1.0 No Doubt to Hack You, Writed by UglyGorilla, 06/29/2007
细心的同学应该已经发现了,这句签名存在英语的语法错误。美国专家显然也发现这一点。他们还整理了一个清单,列出了入侵美国公司的木马软件中,存在的各种英语语法错误。截图如下:
这都是典型的中国式英语啊
证据五:被人肉的骇客之二:DOTA
此人注册了很多邮箱(比如 dota.d001@gmail.com – dota.d015@gmail.com),主要用来伪造不同身份,搞社会工程学的入侵。(如果你没听说过 “社会工程学”,可以看俺在 “这里” 的扫盲教程)
Mandiant 的报告提到说,由于创建的帐号太多,所以口令管理是一件麻烦事。DOTA 经常使用基于键盘布局的口令(比如 1qaz@WSX#EDC)。这种口令表面上复杂,其实强度不够。
很可能是因为 DOTA 的口令不够强,某些邮箱帐号被 Mandiant 的专家攻破了。下面是 DOTA 的某个 Gmail 邮箱的截图。
拿到 DOTA 的 Gmail 邮箱之后,DOTA 的很多入侵行为就显而易见了。
DOTA 的 Gmail 邮箱被美国人黑了之后,发现了很多有用信息
Mandiant 的报告还提到说,DOTA 除了使用基于键盘布局的口令,还使用了这个口令(2j3c1k)。Mandiant 的专家怀疑,2j3c1k 对应于中文 “2局3处1科”(61398部队隶属总参3部2局)。
另外,DOTA 注册邮箱使用了手机接收验证码,所以他的手机也被曝光了,号码是 159-2193-7229(中国移动上海号段)
证据六:被人肉的骇客之二: SuperHard (Mei Qiang/梅强)
从报告上看,梅强的邮箱是mei_qiang_82@sohu.com”,IP 地址来自 58.247.237.4,确定其出生日期为1982年,其余不详
其它
下面这张是:61398部队的成员发表的信息安全相关论文
下面这张是:61398部队在浙江大学招收定向研究生
转载请注明:去分享平台 » 美国人是怎么发现解放军神秘的网络战部队——总参三部二局(61398部队)
- 美国人是怎么发现解放军神秘的网络战部队——总参三部二局(61398部队)
- 部队的编制人数是怎么定的?
- 中国人民解放军现行部队七大军区编制
- 探秘特种兵-揭开《士兵突击》原型部队老A的神秘面纱!(转帖)
- 国军的部队序列
- 正是英雄部队——“雄鹰”特战旅
- 福建漳州PX工厂爆炸 解放军防化部队出动
- 部队医院
- 部队侦察
- 暴笑~~历史上还真有秀字营这样的部队~
- 略论八路军地方部队的“小团”
- 坦克部队:多益网络纪念经典诚意之作
- 日本将在2013年建立网络防御部队
- Mandiant报告:揭秘一支中国网络间谍部队
- 中国史上战斗力最强的5支部队(冷兵器时代)
- 夜探高雄--中国潜艇部队的一个传奇故事( 转帖)
- 中国史上战斗力最强的5支部队(冷兵器时代)
- 拆弹部队
- 'libxml/tree.h' file not found
- Mathematics Review
- SAS:主成分分析(Principal Component Analysis,PCA)
- 一次性hash算法原理
- 城厅枯二厅霜枯霜
- 美国人是怎么发现解放军神秘的网络战部队——总参三部二局(61398部队)
- 一些Java安全相关的书籍介绍
- Intersil 推出超低失真立体声开关
- java 以字节或字符等形式读取文件
- Android 仿照微信滑动界面
- Android应用程序签名(官方文档中文版)
- 品茶·观花·读人生
- 海内首个基于Ext开发开源企业级框架,免费下载!
- ww的笔记-iOS之仿iOS7自带导航的pop手势,iOS7以下也能用的类