起因是关注到了这篇文章, 来自华尔街日报

////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

任何一个关注中国与其他国家在南中国海(South China Sea, 中国称南海)外交僵局的人都会被这份邮件附件吸引。这份微软Word文档内的文字和照片显示,泰国海军官兵逮捕了越南渔民并迫使他们跪在枪口下。

但这个附件却是一个诱饵:任何打开附件的人会在不知情的情况下下载一个软件,该软件会从他们的电脑中搜索敏感信息并发送到互联网一个不起眼的角落。美国安全研究机构的一份新报告称,掌控这个角落的人是葛星,他是中国一个军事侦查部门的成员。

中国网络部队的触角越伸越远,这已经成为中美关系的一个焦点问题。美国总统奥巴马(Barack Obama)称,在本周中国国家主席习近平对美国的国事访问中,网络安全问题将成为重要议题。

网络空间成为了最新的战争领域,中国不断试探底线的做法已经令美国感到不安。透过有关指称中国军方人员参与黑客行为的报告,可以从细节处审视中国政府操纵的极其庞大的国家网络间谍机器。

葛星似乎并不符合传统意义上的黑客形象。他发表的学术论文显示出他是泰国政治学这门非技术性学科的专家。中国社交媒体上有很多研究人员关注他,上面的多篇帖子显示,他刚刚做了父亲,是一名骑行爱好者,开着一辆白色大众高尔夫(Volkswagen Golf)轿车,偶尔
也会批评一下政府。

网络安全研究公司ThreatConnect和安全咨询公司Defense Group Inc.的报告显示,葛星在互联网其他领域的活动却将他与一个中国黑客团体联系起来,这个黑客团体的攻击目标是一个对于美国而言具有战略意义的领域。

ThreatConnect-DG的I报告有助于外界进一步了解目前中国网络运作鲜为人知的一面:中国军方和一个积极活动的黑客团队之间的关系,这个黑客团队似乎在为中国争取海外利益。

通过据称是葛星的绑定账户,该报告将葛星的工作单位中国人民解放军78020部队和一个名为Naikon的黑客团体直接联系了起来。该部队驻扎在中国西南部,是军方情报部门。安全研究人员表示Naikon已经成功渗透与中国争夺南中国海控制权的国家的主要计算机网络。

从葛星2008年发表的两篇关于泰国政治形势的论文来看,他所属单位为解放军第78020部队。这是一只隶属成都军区的技术侦查部队,驻地昆明。作为中国军队通信情报活动权威人士的维吉尼亚智库Project 2049 Institute执行主任斯托克斯(Mark Stokes)表示,中国人
民解放军共有20多个类似78020部队的建制,其功能为情报收集、分析和电脑网络防御和开发。

成都军区负责维护西藏安全,同时负责中国与越南、缅甸和印度的边境安全。斯托克斯称,成都军区还有一只类似的侦查部队,专门针对与西藏流亡的精神领袖达赖喇嘛(Dalai Lama)有关的网络系统。斯托克斯称,鉴于成都军区边境维稳的任务重心,78020部队去收集南
中国海情报也是合情合理的。

78020部队的宣传办公室工作人员不愿接受采访。成都军区发言人将记者提问转给国防部,但后者未回应置评请求。外交部也未回覆记者的置评请求。

ThreatConnect-DGI报告将这个部队与黑客组织联系起来,因为葛星被指在社交媒体的活动使用的是greensky27这个名字,Naikon网络的部分活动使用的也是这个名字。《华尔街日报》提前看到了这份报告,证实其对葛星社交媒体活动的观察,并且其他证据也将他与
78020部队和Naikon联系起来。

美国网络安全威胁分析企业PassiveTotal为该报告提供了部分数据。该公司研究人员称,报告公平的揭露了有关使用黑客设施的数据如何被用来追踪及确认潜在威胁的情况。

在8月份与《华尔街日报》简短的电话交谈中,葛星证实他在社交媒体上使用greensky27这个名字,但当被告知他是一份报告的研究对象时,他拒绝透露进一步的信息。他说:如果你发表,我就报警。然后他没有听报告的内容就挂断了电话。之后的电话以及提问的短信他
都没有回应。

据ThreatConnect,在《华尔街日报》与葛星的电话一个小时后,greensky27 Naikon域名就停止了活动。最近对这个域名的访问显示域名仍然处于不在线状态。

据研究人员称,Naikon向收件人发送精心制作的电子邮件,一旦打开邮件中的附件便会感染恶意软件。根据俄罗斯杀毒软件公司卡巴斯基实验室(Kaspersky Lab ZAO) 5月份的报告,Naikon曾使用过的病毒附件包括老挝选美小姐日历,分别使用英文和当地文字的新闻报道
和战略性话题备忘录,以及另外一些看上去像是基于机密信息而撰写的备忘录。

卡巴斯基实验室表示,依靠这种被称为钓鱼式攻击的技术,Naikon已渗透至越南、菲律宾和东南亚其他国家的政府网络、军事领域、媒体界和能源公司。该公司首席安全研究员鲍姆加特纳(Kurt Baumgartner)说,这种技术的成功率非常高。只要他们想要入侵,就会得逞

ThreatConnect称,葛星被发现是因为他违反了Naikon的常规运作模式。?了在没有被检测到的情况下取得想盗取的信息,Naikon使用了数百个特殊互联网域名(类似于网页地址),由此连接到互联网上的各个地方。ThreatConnect表示,大部分此类域名似乎都与该组织的
目标国家有关,或者看得出是在故意模仿目标国家的合法网站,greensky27的域名并不符合上述标准。

/////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

文章中说的, 他是中国一个军事侦查部门的成员。其实全称应该叫, 78020部队技术侦查局, 这个海陆空军警国都有,军队的属于总参情报部, 本身就是情报系统所以搞搞木马什么的就不足为奇了。。

根据历史报告的各种黑客攻击事件, 整理了一个暴露原因汇总

1. 高层有人在出卖小弟, 邱进被退休, 百人窝案。(秘书是潜伏的CIA间谍)

2. 管理人/执行人觉悟不高, 有意无意暴露。

3. 部分体制人员因为条条框框的缘故,视野狭窄,没有安全防护的意识。

4. 遁入对方蜜罐。

5. 工具不达标, 没有证书加密, 收购来的工具技术人员可能为了推广的需要在源码里留下个人信息采购人或者执行人可能并不是太懂技术导致这个信息被分析人员查获。协议未加密可能被人查获控制地址劫持或者反向上传文件反控。

6. 中间环节过多, 可能老大发了一个任务给小弟, 小弟没能力完成, 就花了很廉价的代价请了外援,外援是为了钱, 会管你受不受到谴责的不多。

7. 执行人有意无意暴露, 因为武器核心都是人家的, 在境内又部署有情报网, 很容易结合你泄露的信息+核心部门的硬件后门+潜伏在军方内部的海外谍报人员把你查个底朝天。

8. 个人英雄主义泛滥, 有意暴露, 认为被外媒宣传是好事。

原文来自http://zone.wooyun.org/content/23182

表认为是叶良辰