这是一个最新崭露头角的组织。他们专注于挖掘与中国政府有关的黑客,并曝光这些黑客的真实姓名。这与我们支持的透明度革命的思路相符,并且他们的分析技术结合了我们主张的 OSINT,专业性相对较高。但真的没人知道他们是谁。我们关心的也不是这点
这里是中国天津一片面朝大路的灰色建筑群,看起来很普通。但是一个被称为“Intrusion Truth”的神秘组织根据优步收据和其他信息做出的最新揭露显示,至少有一位前往该地址的人是 APT10 的成员。APT10 是一家中国黑客部门,目标是从制造业、航空航天和工程公司窃取商业机密,包括来自美国的商业机密。
自 7 月底以来,Intrusion Truth 组织稳步发布了一系列涉嫌 APT10 黑客的名字,这是网络间谍活动中一个大胆而不同寻常的举动,因为运营商通常会保持匿名,网络安全公司只发布对广泛的受害者的描述。
Intrusion Truth 的代表在一封电子邮件中对媒体说:“我们将与公司、私人分析师、黑客、政府内部人士合作 - 只要他们能提供我们所需要的数据。无论他们是谁”。
中国多年来一直在破坏其他国家的制造业机密,盗取军事战斗机的原理图、和太阳能技术信息、以及其他工业宝藏。这种近乎不断的抨击最终迫使前总统奥巴马与习近平达成“协议”。2015 年的这项两国协议旨在:停止专注于窃取知识产权的骇客攻击。此后一段时间内网络安全研究人员看到中国的网络间谍活动大幅减少。然而,今年以来,中国骇客窃取了海军承包商的敏感数据,并且在与美国贸易紧张局势加剧的同时,该国加大了入侵的力度。
这是一种广泛的工业间谍活动,但入侵的真相一直不能确定。
“知识产权盗窃是西方与其在线对手(主要是中国)之间的全球对抗。这种盗窃行为通过损失的收入和完全不公平的竞争来破坏努力工作的个人、他们的公司和整个经济体,“ Intrusion Truth 对媒体说。
“直到最近,中国一直在赢得胜利 - 它逍遥法外,利用商业骇客窃取数据和技术,但却声称是犯罪分子所为。商业骇客的使用是故意规避中国承诺的阻止这种非法活动的言论,“该组织补充说。
Intrusion Truth 首先发布了 APT 上的片段 - 高级持续性威胁; 对政府支持的骇客而言基本上是行业用语。一开始 Intrusion Truth 专注于另一个中国团体 APT3 。当时,根据公开的网站注册信息和其他数据,Intrusion Truth 称 APT3 曾经是 'Boyusec',一家代表中国国家安全部(MSS)情报服务的软件公司。Intrusion Truth 还确定了两名特定人员的名字,Wu Yingzhuo 和 Dong Hao,Boyusec 的创始成员。似乎是作为一种回应,那之后 Boyusec 的网站就下线了。
果然,六个月后,美国司法部指控 Yingzhou, Hao, 和 Xia Lei,,他们是同样为 Boyusec 工作的三个中国人,涉及电脑黑客和其他相关犯罪。起诉书称欧洲制造业巨头西门子是该集团的受害者之一。骇客并没有被逮捕,但正如 Intrusion Truth 在指控报告中指出的那样,Boyusec 成员可能会发现现在更难以出国旅行,而不是会被拘留。(注:没有迹象表明是 Intrusion Truth 的帖子直接导致了美国的起诉书)。
根据网络安全研究人员的说法,经过一年的潜伏, Intrusion Truth 将目标转移到了 APT10,这是另一个中国网络间谍组织。
FireEye 的网络间谍分析高级经理 Ben Read 在 2009 年曾说过,“使它们(中国商业间谍骇客)与众不同的最突出一点就是它们的规模”。
多家网络安全公司已将 APT10 与美国、英国、印度和其他地区的受害者联系起来,包括矿业公司、多家 IT 服务提供商和制造公司。APT10 习惯于针对托管服务提供商(MSP) - 向客户远程提供技术产品的公司 - 然后使用该特权访问来渗透其最终目标。
Intrusion Truth 发布了三名涉嫌 APT10 成员的名字。研究 APT10 运营的一位消息人士表示,其中一些名称与该组织的非公开信息重叠,以及 Intrusion Truth 称至少有一名黑客驻扎在天津。
Intrusion Truth 的帖子包括该组织如何确定其目标的详细信息,其中大部分似乎依赖于网络安全公司已经公开的报告、黑客基础设施到电子邮件地址,然后是社交媒体帐户和其他在线记录 —— 也就是我们一直在演示的 OSINT - 开源调查技术。
而且其中一个细节很有意思,由于该组织使用了目标人的 Uber 数据,分析认为,这需要闯入目标人的 Uber 账户,或以其他方式拦截他们对该应用的使用。于是这有可能涉及黑客技术。但也确实就是在系统性情报收集的范围之内的,见下图,这是我们在 OSINT 其中一篇技术演示中所使用的文头图,其中每一个部分都有其独特的能力:
当被问及这些具体数据时,Intrusion Truth 告诉媒体:“我们不会评论我们的材料来源,只需要确定我们发布的所有内容都是真实的。”—— 这就是 Wikileaks 引导的全球透明度革命的主体思路。
在其天津的帖子中,Intrusion Truth 写道“一位不喜欢公开姓名的分析师“。
发布政府级骇客组织报告的网络安全公司可能会向其客户提供骇客的真实姓名,但通常不会公开发布。
就如威胁情报公司 RecordedFuture ,其高级总监 Andrei Barysevich 在本月早些时候举行的年度黑帽网络安全会议上表示,该公司唯一一次公布姓名是与执法部门直接合作。法律问题也是一个问题 - 指责某人是政府黑客,并且在某些情况下可能是犯罪分子,如果没有有力的证据可能会使公司陷入诽谤案件。
而授予匿名保护并免于商业责任的 Intrusion Truth 正在采取另一种方法。
“我们直接挑战这种非法和不公平的活动,揭露责任人,指出骇客本人,并找出隐藏在他们背后的机构。我们将持续采用我们的方法,并且已经有一个庞大的分析师网络与我们合作,“ Intrusion Truth 在给媒体的邮件中称。
这种方法可能是有价值的。2014 年,美国司法部起诉五名中国军方黑客对几个美国目标进行网络间谍活动。但这可能不是中国进入谈判桌的唯一原因,而且该国的网络间谍活动已经平息。
“如果你认为奥巴马和习近平签署的协议产生了影响,那就是命名和羞辱以及制裁对国有企业和高层官员的终极威胁的结合,最终导致的结果, “外交关系委员会数字与网络空间政策项目主任对媒体说。“如果你认为缓解是暂时的,在解放军的网络部队重组的推动下,那么就会像我一样,认为鉴于北京的战略和经济利益,中国的工业网络间谍活动将继续下去 ”。
媒体认为,引发中国黑客攻击政策的宏观转变并不一定是 Intrusion Truth 的目标。相反,它更多的是影响那些他们设法揭露的特定黑客。
他们告诉媒体:“我们希望代表中国国家的黑客能够对他们的非法在线活动三思而后行,就像在他们面前的 APT1 和 APT3 黑客那样,他们在国外旅行或在中国境外获得私人工作的机会会大大减少,他们会冒着被外国执法机构起诉的风险”。APT1 指的是一个网络安全组织,FireEye 公司在 2013 年证明其与一个特定的中国军事单位有联系。
目前尚不清楚 Intrusion Truth 的背后是谁。但在一个帖子的标题中,该组织询问哪个中国团体正在窃取“我们的知识产权”,指的是 APT3 在英国和美国的黑客行为。毫无疑问,Intrusion Truth 拒绝提供其成员或身份的具体信息,但他们确实声称自己是由“分析师”组成的。
“我们“,这是个有意思的词。
该组织说:“今年加入我们的个人将 Intrusion Truth 的作品比作'黑骑士'的作品,他们不得不用黑色油漆涂抹盔甲来掩盖他们的隶属关系并保护身份。但是太多的人都专注于我们的颜色了(而不是所做的事)“
“我们永远不会为自己或与我们合作的人命名。我们在网络空间中挑战中国卑鄙活动的能力正是源于我们的匿名,“他们补充道。“我们愿意说实话。”
由于该组织的帖子中多次使用汉字,而且是简体汉字,显示他们中应该有懂中文的人,加之他们对中国的了解,一般外国人做不到。但是,在中国国内,具有透明度革命的态度和包括 Osint 在内的技术能力的人,几乎不会在民间出现(技术人士极有可能被当局吸纳)。
中国社会一直以来严重缺乏的就是对技术反抗之价值的认识,以及相关能力。于是我们推测,该组织很可能不在中国。既然其声称由分析师组成,说明拥有一定的资金储备,那么在中国的可能性就会更低,众所周知在中国获得资金的难度,以及关键资源的被掌握范围。
当然了,该组织究竟是谁根本无关紧要,我们只需要关注其发布的内容的真实性。虽然这种反抗能出现在中国是我们一直所期待的,也是为什么我们的博客专注于多方面的技术供给。
推荐关注 Intrusion Truth,也许今后他们还会有更多精彩的内容提供。◾️
感谢帮助 iYouPort!
PayPal 捐赠渠道已开通 https://paypal.me/iyouport
Comments