张长河

张长河
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
疑似中国军方黑客身份曝光 helloboy2013-02-17共352810人围观 ，发现 43 个不明物体 资讯
一位外国网络安全专家经过多年的跟踪搜索，揭开了一位疑似中国军方黑客的身份——这位骇客是郑州解放军信息工程大学信息工程学院网络安全教师张长河(无法访问官网，该链接为其作为联合作者的一篇早期论文《交换式局域网监听技术研究与实现》)。彭博社全面报道了人肉过程，并附张长河家庭照。

《彭博商业周刊》报道说，戴尔公司负责网络安全工作的斯图尔特（Joe Stewart）在行业名声很响，他在2003年挫败了最早的一次殭屍网攻击，即黑客利用大量电脑同时发送大量电邮发动的攻击。他是年来一直致力於阻止网络罪犯攻入银行账号和其他电脑账号。

2011年斯图尔特开始关注中国，他开始捕捉来自中国的恶意软件，现在他的主要工作就是并且寻找针对中国的恶意软件的防範对策。来自中国的电脑攻击时而成为新闻关注的焦点，上月《纽约时报》受到攻击，2010年谷歌和英特尔受到黑客攻击，也使中国黑客再次受到关注。
网络黑客四面出击

来自中国的黑客攻击不仅仅是孤立事件，而是持续的入侵。财富500家公司、新技术公司、政府机构、新闻机构、大使馆、大学和律师事务所经常成为中国黑客攻击的目标，来自中国的恶意软件充斥互联网。最近《华盛顿邮报》报道中的一个秘密情报分析认为美国成为中国持续电脑情报搜集的目标，中国的网络攻击已经影响到了美国经济。

斯图尔特对《彭博商业周刊》记者说，在网络安全行业越来越多的人致力於对付中国的网络攻击。他追踪到24,000个互联网域名，他说中国的间谍租用或者攻击进入这些网站，利用它们从事网络间谍活动。他把来自中国的恶意软件分离，这些软件大多来自中国某些黑客团队。他说大约10个团队试验300组恶意软件，但是是个月来，这个数字又番了一番。他说在中国那边有巨大的人力资源作这种事。

数十家商业网络安全公司的调查人员怀疑，来自中国的黑客当中大部分来自军方，他们受到中国不同情报部门和监视部门的指挥。一般来说，中国的黑客过於有组织，而且活动範围极广，不像是独自活动的黑客。维基解密爆出的外交电文指上次黑客攻击谷歌同政治局官员有关。美国政府长时间以来一直掌握有关的秘密情报，證明许多黑客攻击同中国人民解放军有关。当然中国当局多年来一再对此加以否认。

像斯图尔特这样的网络安全专家努力确认黑客的真实身份，他们寻找各种线索，比如在域名註册的假名和代号、旧的网络身份、论坛中的发言……这些都能增加对黑客的了解，但很少能确认他们的真实身份。但偶尔会有黑客犯错误。最近一个黑客犯了错误，导致记者找上门来。

黑客不慎露马脚

在2011年3月斯图尔特发现一个恶意软件同他平时接触到的来自已知的俄罗斯和东欧网络盗窃者的作品有所不同。因此他开始调查和这些可疑代码相关的指令，他注意到自从2004年以Tawnya Grilth 或Eric Charles名字这册的数十个指令都列出同样的Hotmail帐号，而且都列出加利福尼亚的同一个城市。好几个帐号海拔城市名字错误地拼写成Sin Digoo。

记者为「人肉」中国网络间谍找到了河南郑州的中原数码大厦

同样的一些地址也出现在其他调查者撰写的关於中国网络间谍的文件中。这些约2,000 个地址属於中国最大的互联网服务公司——中国联通。在斯图尔特跟踪许多黑客攻击时，他反覆接触到这群地址，因此他认为中国最顶级的两个数码间谍团队在利用这些地址。他将这个团队成为「北京团队」。一般像斯图尔特这样的调查人员通常也只能查到这个程度，即确认黑客攻击的来源地和一个可能的组织，但是他们很少能够确认具体的黑客本人。

不过在随後几个月的机缘巧合使斯图尔特时来运转。Tawnya Grilth这册的一个指令使用了dellpc.us.的域名。因为该网址同Stewart的雇主（Dell）过於接近，因此他查询了互联网名称与数字地址分配机构( ICANN )。他对他们说黑客使用Dell侵犯了他雇主公司的商标权。不过Grilth从未对此回应，但是互联网名称与数字地址分配机构同意斯图尔特的说法，将上述域名的控制权交给了斯图尔特。因此在2011年11月以前，斯图尔特能够看到被黑客控制的众多电脑同中国联繫，这令他目睹了正在进行当中的一场间谍活动。
功夫不负有心人

经过3个月的跟踪监视，斯图尔特逐渐找到了被黑客控制的电脑。到2012年1月，他找到了分佈在世界各地的受黑客攻击的电脑，许多电脑属於越南、文莱和缅甸等国不同的政府部门，数家石油公司、一家报纸、一个核安全机构以及一个国家在中国的大使馆。斯图尔特说，他从来没有见过如此集中针对东南亚国家的黑客行动。

然後斯图尔特根据TawnyaGrilth及其註册的电邮jeno_1980@hotmail.com进行更广泛的搜索，他又获得了新发现。一个地址当中裏列出xxgchappy的句柄，他按图索骥，从新的电邮又找到更多的联繫，包括关於恶意软件网络讨论裏面的帖子，以及域名为rootkit.com的网站，这是个恶意软件集散地，世界各地的研究者能够从哪裏学习黑客技术。

接著斯图尔特发现了更非同寻常的线索：一个做实体商务活动的域名，该域名收费为客户在诸如推特和脸书之类的社交网站提供「like」(喜欢)之类的点击。他发现 登记为Tawnya的账号在黑客论坛 BlackHatWorld 上面宣传一个网站以及一个支付帐户，该帐户收费并且把钱转到一个谷歌帐户，帐户的所有者姓「张」。黑客把自己真实生活暴露到如此程度令斯图尔特出乎意料。

2012年2月斯图尔特将其发现写成报告在旧金山年度网络安全界的会议上发表。他的发现引起了安全机构的兴趣，因为发现具体黑客的身份难度很大。他的报告立即引起另外一名调查者的兴趣，促使他努力发现Tawnya Grilth背後的真人。这位33岁的调查者以网名「虚拟侦探」（Cyb3rsleuth）发帖，他自称管理一家在印度的电脑情报公司。他要求《彭博商业周刊》记者不要使用他的真名，因为他不想吸引关注，特别是那些试图黑客攻击他公司的人的关注。
网络侦探接力调查

「虚拟侦探」说他已经得到关於东欧黑客真实身份的举报，并把有关信息交给政府部门。他希望揭发更多黑客的身份，以便让政府部门对他们采取行动 。他说黑客也是人，他们也犯错误，所以巧门就是要找到相关的联繫，揭出他们的真身。

随著他调查深入，化名Tawnya Grilth的黑客更多的联繫被发现。在汽车论坛、中国黑客网站，个人照片，包括一张显示一名男子和女子的合影被找到。照片背景是一个宝塔，两人似乎作为旅遊者在旅遊。「虚拟侦探」通过这名黑客兜售收费提供社交网站点击的服务以及同Hotmail帐户绑定的论坛找到了黑客的第二个业务活动，该活动还有具体的地址。这个公司就是「河南手机网」，根据商业指南，这是家手机批发商。该商店网址使用Jeno Hotmail帐户以Eric Charles的假名註册。

「虚拟侦探」察看了中国技术公司的网络目录，找到了公司的电话和联繫人姓名，即在郑州的张先生。该目录还给出3个QQ帐号，其中一个帐号使用了带xxgchappy句柄的几个电邮，账号中把张先生的职业列为「教育」工作。

「虚拟侦探」再用中国搜索引擎搜索这些电邮地址，他发现该电邮还在」开心网」 (Kaixin001.com)上註册，张号属於郑州的「张长河」。张的帐户头像使用了佛教的莲花形像。

「虚拟侦探」又发现相关的用Changhe发音，使用不同汉字，註册的QQ帐号。该帐号博客中包括一些表达佛教信仰的内容，包括一些佛家忏悔和不杀生的训诫，以及关於自己违规的悔过。作者说他继续无耻地偷窃，希望将来能够洗手不幹。

同样的QQ号还起名xCar出现在一个汽车论坛上。该用户属於一个驾驶东风标緻-307轿车的俱乐部，这是中国中产阶级驾驶的一张赛车款的4门轿车。这个用户还在论坛上发问说那裏能够买到一种特别的车牌架。

在一张摄於2009年的照片中，张先生毡子海滩，面对太阳，背对大海，同一个女性挽手。图片说明中说该女子是他的妻子，她还出现在他们以宝塔作为背景的合影中。在这张照片中，张先生面相年青，留著浓密的短发。

「虚拟侦探」在3月在个人博客上公开了他的发现，他说他揭开了鬼影的真面目，并且希望有关政府、调查人员和黑客攻击的受害者能够采取行动。

美国智库认为解放军信息工程大学是中国培养网络情报军官的地方
郑州中心火车站南边500米的地方有一座7层楼，上面用红字写著「中原通讯数码城」。大楼裏面都是出售电子产品的小店铺。张先生的手机生意公开的地址就在大楼4层的A402。《彭博商业周刊》的记者走进大楼4层那个荧光灯照亮的店铺，裏面的两个年青的职员说他们不认识「张长河」，也不知道「河南手机网」。大楼的商业经理「王燕」说，A420以前的租户3年前就已经搬走，她说她不清楚他们做什麽生意。她只知道店主很少来，他们的生意经营时间不长。

在中文谷歌搜索的结果显示，2005年以来张长河同别人一起写过几篇学术文章，文章都和电脑情报活动有关。在2007年张长河还参与过关於窗口系统恶意软件（Windows rootkit）的研究，这是一种高级的黑客技术。在2011年他还和其他人分析过某种电脑记忆存储的安全缺陷以及相关的攻击路径。文章署名表明张长河在解放军信息工程大学工作。该机构是中国主要的电子情报中心之一。华盛顿的智库「2049项目研究所」 的Mark Stokes 说，在解放军信息工程大学，教授为全国各地的网络情报活动培养年青军官，那就好比美国的国家安全署下面建立的一所大学（假设）。

解放军信息工程大学的大门不能随意进入，因此张长河电脑网络攻击的线索到此中断。去年一发现的一个恶意软件影响了一百多台电脑，这些电脑主要分佈在台湾和菲律宾。一个攻击域名涉及了Tawnya Grilth这个名字。

斯图尔特去年在搜索攻击俄罗斯和乌克兰政府和国防机构的恶意软件的时候发现一个恶意软件反馈到一个在AlexaUp.info域名的指令。那裏註册使用的付费姓名也是张长河。

斯图尔特说，张长河涉及「北京团队」，该团队可能有数十人，有编写程序的，还有管理指令中心基础设施的，还有翻译盗窃得到的文件和数据的翻译人员。

「人肉」出一个黑客的真身并不能阻止来自中国的黑客入侵。斯图尔特认为像张长河这样的黑客是中国更庞大组织的一部分，因此「人肉」出更多的类似张长河那样的人也更加容易。他说，只要出示足够的證据，中国政府最终就难以否认他们参与了这些活动。斯图尔特不能确定他们搜集證据能否最终阻止中国进行网络间谍活动，但是他认为他们的工作会让中国政府更难逃避指责。

helloboy
||
上一篇：iOS6.1爆严重安全漏洞,解锁不用密码下一篇：Adobe Reader即将发布紧急补丁
这些评论亮了

这不科学 回复

)28(亮了

河蟹 回复
其实我的中文名也叫张长河
)26(亮了

Kor_1987 回复
张长和 操你大爷的 害的老子要写报告！
)22(亮了

todayis0day (1级)每天都活在紧张惶恐与迷茫中回复
真的假的啊。。。老外成天弄得跟真事似的，可上回老外说谷歌是被蓝翔黑了，蓝翔有军方背景后，我就不太信这帮外国淫了...话说当时还上蓝翔的官网，跟客服MM咨询学黑阔的事来着，嘿嘿，人家一遍遍的说没这个专业，都有点烦躁了，看来好多人都拿这个事来调戏客服MM啊
)16(亮了

ty4z2008 回复
每个国家都应该是有的
)12(亮了
发表评论已有 43 条评论

ty4z2008 2013-02-17回复 1楼
每个国家都应该是有的

亮了(12)

ttt 2013-02-17回复 2楼
这文章错别字也太多了

亮了(5)

netorgcom (4级) 2013-02-17回复 3楼
疑是—〉求证

亮了(5)

only_guest 2013-02-17回复 4楼
谷歌翻译真心让人蛋疼

亮了(2)

最近很蛋疼 (1级) 2013-02-22回复
@only_guest 你是幸震？

亮了(1)

stuckcpu (1级) 这家伙懒的什么都没写~ 2013-02-17回复 5楼
感觉有点怀疑

亮了(2)

这不科学 2013-02-17回复 6楼

亮了(28)

fake 2013-02-17回复 7楼
学好外语好偷技术

亮了(5)

草泥马 2013-02-17回复 8楼
好正常的事啦，我国一直在窃取别国机密情报。这个总所周知的。

亮了(9)

fu4k (5级) 2013-02-17回复
@草泥马 楼上，查水表！

亮了(4)

hack520 认证作者(3级) 广西某香猪养殖厂厂长 2013-02-17回复 9楼
@fu4k 铞hi真快乐~这些事都系我國安全X和總X必須干D。

亮了(1)

secdr (1级) SecDr.com专注于信息安全&网络安全资讯报道. 2013-02-17回复 10楼
疑似中国军方黑客身份曝光 http://www.secdr.com/dirs/1940.htm

亮了(2)

baninuk (1级) Amo,Agra sum. 2013-02-17回复 11楼
果然不是墙内消息啊…感觉不靠谱…

亮了(1)

administrator (1级) 2013-02-18回复
@baninuk 何以见得

亮了(1)

todayis0day (1级) 每天都活在紧张惶恐与迷茫中 2013-02-18回复
@administrator 管理员？！冒牌的还是正品啊？！其实过程来说可信度较高，但客观的说，也只能说较高而已。因为考虑到重名和重ID等因素，尤其是中国人同音不同字的情况，很容易是调查过程在某个环节误入歧途，结果在错误的路上越走越远。要么就厉害到找到确凿证据，要么就只能说是高度可能。

亮了(4)

administrator (1级) 2013-02-18回复
@baninuk 信一半吧。

亮了(1)

毛猴 (1级) 2013-02-17回复 12楼
查水表！是啥？

亮了(1)

hxdef_tiffany (3级) 这家伙很懒，什么都没有留下。 2013-02-18回复 13楼
整个过程很好的运用了社会工程学

亮了(2)

todayis0day (1级) 每天都活在紧张惶恐与迷茫中 2013-02-18回复
@hxdef_tiffany 嗯，不管是真是假，但这个过程还是很典型的。当然，这也是个漫长的过程，并且没有对方犯错和足够的运气的话，也很难搞成。

亮了(1)

siyuan 2013-02-18回复 14楼
老外很会炒作

亮了(1)

河蟹 2013-02-18回复 15楼
其实我的中文名也叫张长河

亮了(26)

todayis0day (1级) 每天都活在紧张惶恐与迷茫中 2013-02-18回复 16楼
真的假的啊。。。老外成天弄得跟真事似的，可上回老外说谷歌是被蓝翔黑了，蓝翔有军方背景后，我就不太信这帮外国淫了…话说当时还上蓝翔的官网，跟客服MM咨询学黑阔的事来着，嘿嘿，人家一遍遍的说没这个专业，都有点烦躁了，看来好多人都拿这个事来调戏客服MM啊

亮了(16)

willow513 2013-02-19回复 17楼
很多秘密都是这样通过网络泄出去的

亮了(0)

mirror0007 2013-02-19回复 18楼
呵呵。那睡吧。

亮了(0)

51maomao 2013-02-20回复 19楼
这个女的怎么这么面熟啊？还是大众脸？不记得了

亮了(0)

www.52mai.net 2013-02-20回复 20楼
不相信

亮了(1)

老羊镇长 2013-02-20回复 21楼
我看记者是题材穷，新闻写不出了。

亮了(0)

HorseLuke 2013-02-20回复 22楼
好主意…干坏事模仿别人轨迹就成偷笑

亮了(0)

secdr (1级) SecDr.com专注于信息安全&网络安全资讯报道. 2013-02-22回复 23楼
“网军”调查新动向：美记者偷拍遭解放军追赶，黑客用的香港科大IP地址！http://www.secdr.com/dirs/2051.htm

亮了(2)

2BFe 2013-02-23回复 24楼
十五字十五字十五字十五字十五字~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

亮了(1)

无心喃呢 2013-02-24回复 25楼
牛逼的 情报分析案例。 。。。。。。

求 原文 出处

亮了(1)

PhiberOptics 2013-02-24回复
@无心喃呢 文章中已标识了，原文地址http://www.businessweek.com/articles/2013-02-14/a-chinese-hackers-identity-unmasked#p1，要翻墙

亮了(1)

灰常扯淡 2013-02-25回复
@PhiberOptics

http://assets.亲爱的nation.com/assets/2187805/Mandiant_APT1_Report.pdf

这个全面

亮了(1)

灰常扯淡 2013-02-25回复 26楼
年前就看彭博社喷了

亮了(1)

t7 2013-02-26回复 27楼
打南边来了个李刚，手里提着根木桩。打北边来了个双江，腰里别着把双枪。南边提着木桩的李刚要拿木桩换北边别双枪双江的双枪。双江不愿意拿双枪换李刚的木桩，李刚偏要换别双枪双江的双枪。 李刚抡起木桩抽了别双枪双江一木桩，双江摘下双枪打了提木桩的李刚一双枪。也不知是提着木桩的李刚抽了别双枪双江一木桩，还是别双枪双江打了提着木桩的李刚一双枪。李刚叮叮咣咣扔木桩，双江嘀嘀哒哒打双枪。

亮了(7)

Kor_1987 2013-02-28回复 28楼
张长和 操你大爷的 害的老子要写报告！

亮了(22)

翟Turbo 2013-03-06回复 29楼
这老师你们上学的时候都认识不？

亮了(0)

元拓0485 2013-03-06回复 30楼
哈哈，这个要晒晒的，我们这女的多呀

亮了(0)

翟Turbo 2013-03-06回复 31楼
哈哈，是不是这位呢？？估计工院还有电院的隐藏的高手还不少呢…

亮了(0)

249兰晓龙冰冰1987 2013-03-23回复 32楼
转发微博

亮了(0)

qpzmwoxn124319 2013-03-23回复 33楼
转发微博

亮了(0)

Rlv3r (1级) 2014-07-24回复 34楼
怎么有点长老美志气，灭自国威风的调调

亮了(1)

Rlv3r (1级) 2014-07-24回复 35楼
感觉不应该把照片贴出来

亮了(1)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我

helloboy

这是一个神奇的马甲

660
文章数
0
评论数
最近文章
北京14岁极客发明神奇眼罩可控制梦境（视频）
2013.09.13

苹果透露更多Touch ID的安全细节
2013.09.12

针对亚马逊云服务器（AWS）的渗透测试工具——Nimbostratus
2013.09.11

浏览更多
相关阅读
中国黑客攻击美国天然气公司，可引爆管道？德国媒体：中国黑客去年曾向德国高官发送恶意电邮Fireye：中国黑客攻击印度政府美国NBC：中国黑客仍在监视美国中国黑客通过地下网络攻击移动用户
特别推荐

关注我们 分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php 正在加载中...0daybank