出处：secdr
    原文链接：http://www.secdr.com/dirs/1940.htm
    时间：2013-2-16
     一位外国网络安全专家经过多年的跟踪搜索，揭开了一位疑似中国军方骇客的身份——这位骇客是郑州解放军信息工程大学信息工程学院网络安全教师张长河(无法访问官网，该链接为其作为联合作者的一篇早期论文《交换式局域网监听技术研究与实现》)。

42岁的Joe Stewart是Dell SecureWorks恶意程序研究主管，他从2011年起开始关注来自中国的黑客攻击。他跟踪了2.4万中国黑客用于发起攻击的域名，在检查一个恶意代码的指令节点时注意到黑客使用相同的Hotmail邮箱注册了十几个域名，黑客自称Tawnya Grilth或Eric Charles，居住在加州的一个城市，但城市名字被错误拼写成Sin Digoo。几个月后，Stewart发现Tawnya Grilth注册了域名dellpc.us，与戴尔公司域名非常接近，因此他联系了ICANN，投诉黑客侵犯了戴尔商标。

由于Tawnya Grilth没有任何回应，ICANN同意将域名控制权交给Stewart，Stewart通过这个指令节点观察到了黑客在全世界的活动。他发现黑客控制的电脑属于越南、文莱和缅甸等不同的政府部门，数家石油公司、一家报纸、一个核安全机构以及一家驻华大使馆。他随后利用Tawnya Grilth和邮箱jeno_1980@hotmail.com从网络上搜索了这位黑客的各种情报：

在地下安全论坛rootkit.com和BlackHatWorld讨论黑客技术，爱卡汽车网讨论汽车，QQ帐号，创办了河南手机网，开心网账号，甚至还有个人照片。最终发现这些账户的所有者是解放军信息工程大学教师张长河。

《彭博商业周刊》14日报导，戴尔（Dell）知名的恶意软件研究部门总监乔?斯图尔特（Joe Stewart）和另一位网络侦探，通过长期追踪，揭密了一位中国军方黑客的真实身份。这位名叫〝张长河〞的黑客，能自由侵入驻华使馆、外国政府、驻华大型企业和媒体等的网站。斯图尔特认为，像〝张长河〞这样的黑客是中共更庞大黑客组织的一部分。

据《彭博商业周刊》报导，业内知名的网络安全专家、戴尔（Dell）恶意软件研究部门总监乔?斯图尔特（Joe Stewart）2011年开始捕捉来自中国的恶意软件，寻找对这些恶意软件的防范对策。

斯图尔特指出，互联网充斥着大量来自中国的恶意软件，这些恶意软件瞄准世界500强企业、高科技创业公司、政府机构、大使馆、大学、新闻机构、律师事务所等。在中国有巨大的人力资源在做这样的事情。

黑客露破绽

2011年3月, 斯图尔特发现了一个与众不同的恶意软件，于是开始调查和这些可疑代码相关的指令。他注意到自从2004年以来，用Tawnya Grilth 或Eric Charles名字注册的数十个指令，都列出了相同的Hotmail帐号。

斯图尔特通过技术手段发现，使用同一套恶意软件的多个黑客，注册地址都归中国最大的网络营运商之一—中国联通所有。斯图尔特跟踪许多黑客攻击时，不断接触到这些地址，因此他认为，中国两个最顶级的数码间谍组织在利用这些地址。

经过跟踪监视，斯图尔特在2012年1月找到了世界各地受黑客攻击的电脑，许多电脑属于越南、汶莱、缅甸等国政府，以及外国驻华使馆、石油公司、传媒机构、核安全机构等。斯图尔特说，他从未见过这样大规模攻击东南亚国家的黑客行动。

随后，斯图尔特又通过TawnyaGrilth及其注册的email地址jeno_1980@hotmail.com进行了更广泛的搜索。他又发现，一个email地址当中列出了xxgchappy的句柄。接着，从新的email中，他又找到了更多的线索，包括关于恶意软件网络论坛的帖子和一个域名为rootkit.com的网站。该网站是一个恶意软件的集散地。

接下来，斯图尔特发现了更不寻常的信息。其中一个域名竟是用作实体商务活动的，这一商务活动收费为客户在推特和脸书之类的社交网站，提供〝like〞(赞)这类的点击。斯图尔特在黑客论坛BlackHatWorld 上找到了名为Tawnya 的个人信息页面(profile) 。这个profile上在宣传一个网站和一个PayPal帐号，该帐户收费并把钱转到一个Gmail帐号。该帐号所有者姓〝张〞。斯图尔特很吃惊：黑客竟将他的私生活暴露到这种程度。最后，斯图尔特完成了一份长达19页的报告。

这份报告在安全领域引起了人们的兴趣，因为通常很难发现关于黑客身份的蛛丝马迹。

网络侦探接力

斯图尔特的工作激起了另一名网络侦探的浓厚兴趣，这位侦查者网名为Cyb3rsleuth。他认为，公开黑客身份会帮助政府对黑客采取行动，于是决心揭开这位张姓黑客的神秘面纱。

随着Cyb3rsleuth的继续追踪，通向这位神秘黑客世界的窗户更加敞亮了。 Cyb3rsleuth陆续在一个汽车论坛上发现了有关的帖子，在一个中国黑客网站上发现了一个帐号，还有个人照片，其中一张照片显示的是，在一个貌似旅游景点的地方，一名年轻男子和一位女子迎风站在一起，背景是一座宝塔。

Cyb3rsleuth继续追踪这名黑客是怎样通过化名和与hotmail帐号有关的论坛，来收费提供社交网站点击服务的。 Cyb3rsleuth又偶然间发现，这名黑客还经营了另一份生意，这份生意还有具体的地点。根据企业名录和网上推销的帖子，这家公司名叫〝河南手机网〞（Henan Mobile Network），该公司是一个手机批发商。这家商店的网站是用Jeno Hotmail 帐号和Eric Charles 这一化名注册的。

Cyb3rsleuth从网上的中国技术企业名录中寻找，找到了这家公司的电话号码，联系人叫〝张先生〞，地址在河南省郑州市。这个企业名录还给出了3个QQ帐号，其中一个帐号使用了几个带xxgchappy句柄的email 地址。该账号中〝张先生〞的职业被列为〝教育〞。

Cyb3rsleuth再通过中国的搜索引擎搜索这个email，发现它也在Kaixin001.com网站上注册了，帐号属于郑州的〝张长河〞，个人页面头像是一朵盛开的莲花。 Cyb3rsleuth又发现了其他的QQ帐号与Changhe同音,但用的是不同的汉字。

Cyb3rsleuth在个人博客上公布了他的调查成果，他说他揭开了一个〝幽灵〞的真面目。

黑客神秘面纱揭开

〝张先生〞公开的手机生意地址是郑州市〝中原通讯数码城〞4层A402。〝中原通讯数码城〞是一座7层大楼，位于郑州中心火车站以南500米。大楼内都是出售电子产品的小商家。 《彭博商业周刊》的记者走访了第4层的店铺，里面的人说不认识〝张长河〞，也不知道〝河南手机网〞，A420以前的租户3年前就搬走了，店主很少来，不清楚他们做什么生意。

通过谷歌搜索的结果显示，2005年以来，〝张长河〞同他人一起写过几篇和电脑情报活动有关的文章。 2007年他还参与过高级黑客技术--窗口系统恶意软件（Windows rootkit）的研究。文章署名显示，〝张长河〞在解放军信息工程大学工作。该大学隶属解放军总参谋部。彭博社记者曾根据〝张长河〞QQ账户上的手机号联系到他本人，他承认是该大学的教师。

由于解放军信息工程大学不能随意进入，〝张长河〞网络攻击的线索就此中断。

去年，斯图尔特蒐寻攻击俄罗斯、乌克兰政府机构的恶意软件时，发现有一个恶意软件反馈到一个在AlexaUp.info域名的指令。那儿注册用的付费姓名也是〝张长河〞。

斯图尔特认为，像张长河这样的黑客是中国更庞大黑客组织的一部分，因此〝人肉〞出更多这样的黑客也会更容易。他说，只要能够拿出足够的证据，中共当局最终就难以否认参与了这些活动。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课