古开元“被黑客”:躺着中枪 报道不实
openkk 13年前
<div id="news_body"> <p style="text-align:center;"><img border="0" alt="古开元“被黑客”:躺着中枪 报道不实" src="https://simg.open-open.com/show/f45055756420381616ab34a2a2372506.jpg" width="550" height="139" /></p> <p> 3月 30 日消息,<a href="/misc/goto?guid=4958335086104806559">据纽约时报报道,一系列针对日本、印度公司的计算机攻击活动被认为是一名中国大学毕业生所为</a>。</p> <p> 根据一份由总部位于东京的计算机安全公司 Trend Micro 发布的报告称,专家们跟踪记录攻击所使用服务器登记的邮件地址,这些邮件地址与 QQ 号码有关,这些 QQ 号码对应若干昵称。其中一个昵称为“scuhkr”,专家认为可能是“Sichuan University hacker”(四川大学黑客)的缩写。</p> <p> 纽约时报发现这些昵称属于古开元,根据相关记录显示,古开元于 2003 至 2006 年就读四川大学,期间发表过若干篇作者署名为“scuhkr”和“Gu Kaiyuan”的关于黑客方面的文章。</p> <p> 对此,古开元今日下午发布声明澄清,称“躺着中枪”。“该报记者徐研在本月 29 日发表文章,文中指我曾参与一起攻击入侵行为。文章所指依据与事实不符--黑客控制服务器 QQ 号码为我校友所有,非我本人。我个人并未参与任何黑客行为,特此声明。”</p> <p> 古开元总结了自己“被黑客”的过程:Trend Micro 分析人员人员通过分析一起黑客攻击—luckycat 事件,找到了黑客控制肉鸡的服务器。在控制服务器的一组域名中,找到了一个域名 clbest.greenglassint.net,并通过域名找到了该域名的注册邮箱 19013788@qq.com。</p> <p> 搜索这个邮箱的 QQ,找到了之前古开元上学时在川大 BBS 上发的一个招校内实习生的帖子,帖子中留下的联系方式里的 QQ 是 19013788(古校友)和 2888111(古本人)。</p> <p> “就因为一起帮老师发过贴,坑爹的结论出现了,纽约时报这记者看到了 Trend Micro 的这个报告,就认为这两个 QQ 是一个人,然后就说我是黑客。”古开元称。</p> <p> 古开元称,他于 2006 年毕业,帖子于 2005 年发布,而攻击是在 2011 年。</p> <p> 腾讯公司 QQ 安全中心随后也发布微博指出纽约时报的人肉逻辑存在严重错误,“所谓证据指向的是古开元的一个校友,而非他本人。古开元未参与过任何黑客攻击。”</p> <p> 值得注意的是,2010年 2 月《纽约时报》报道称,导致谷歌有意退出中国的网络攻击可能与蓝翔技校有关。</p> <p><strong> 事件回顾</strong></p> <p> <strong>美媒披露黑客攻击内幕直指川大毕业生</strong></p> <p> 3月 30 日消息,据国外媒体报道,一系列针对日本、印度公司和和藏人团体的计算机攻击活动,最近被纽约时报披露,据悉这些攻击活动被认为是一名中国大学毕业生所为。</p> <p> 根据一份由总部位于东京的计算机安全公司 Trend Micro 发布的报告显示,这些攻击的发起者被锁定为一些网络昵称,根据相关在线记录显示,这些昵称的所有者为四川大学毕业生古开元(音),同时该大学拥有计算机网络防护方面的政府资金援助。</p> <p> 根据这些记录可见古开元现在似乎为腾讯雇员。报告指出,他可能已经招募大学生为其从事计算机攻击和防御方面的研究。</p> <p> 但研究人员并不认为这些攻击活动是政府雇佣的黑客所为,而其他安全专家表示,综合考虑此次攻击的技术水平和攻击目标,很难不将其同国家行为联系到一起。</p> <p> 华盛顿方面研究机构的前外交和计算机安全方面专家 James A. Lewis 表示:“他们攻击藏人团体的事实表明有中国政府方面参与,因为一般来说中国黑客的个人行为目标都是有商业价值的数据,而非政治团体。”</p> <p> 华盛顿的中国大使馆和纽约的中国总领馆都没有评论此事。</p> <p> Trend Micro 公司的报告介绍此次攻击至少有 233 台 PC 机受到波及,包括印度军方研究机构和海运公司,日本的航天、能源、工程方面的公司,以及至少 30 台属于藏人团体的计算机。这次攻击活动已经持续至少 10 个月,并且仍在进行中。</p> <p> 报告提到专家们跟踪记录攻击所使用服务器登记的邮件地址,这些邮件地址与 QQ 号码有关,这些 QQ 号码对应若干昵称。其中一个昵称为“scuhkr”,专家认为可能是“Sichuan University hacker”(四川大学黑客)的缩写。报告提到四川大学信息安全学院的计算机网络防御研究项目始于 2005 年。</p> <p> 纽约时报发现这些昵称属于古开元,根据相关记录显示,古开元于 2003 至 2006 年就读四川大学,期间发表过若干篇作者署名为“scuhkr”和“Gu Kaiyuan”的关于黑客方面的文章。纽约时报还找到古开元通过大学在线论坛发布招聘工作的信息,留下的电话等联系方式均为腾讯。对此纽约时报联系了在 腾讯工作的古开元,但他表示无可奉告。</p> <p> 腾讯方面对此亦无评论。</p> <p> 此次攻击技术原理同影子网络(Shadow Network)相似,这样的攻击曾于 2009 年发生,当时攻击的目标是印度政府以及达赖喇嘛的私人电子邮件。Trend Micro 公司的研究人员发现这次攻击与 2009 年的攻击具有相同的服务器。</p> <p> 进行上次影子网络攻击的黑客被认为来自中国四川电子科大,该校的计算机网络防御研究同样接受政府资助。同时中国军方的网络侦查机构也位于成都。</p> <p> 一些安全专家认为中国政府雇佣民间的黑客进行攻击活动。例如今年早些时候,戴尔的 SecureWorks 部门安全专家 Joe Stewart 发现一起针对越南政府和石油勘探公司的攻击活动的邮件地址属于一家中国的互联网公司。</p> <p> Trend Micro 公司报告提到的攻击活动的细节,最早是两周前由赛门铁克公司记录的。</p> <p> Trend Micro 公司研究人员表示这起攻击事件是三个月前发现的,当时他们收到两起恶意软件攻击的报告,一起在日本,另一起在西藏,通过进一步调查发现两起事件源自同一些服务器,接下来几个月,他们发现超过 90% 的恶意软件幕后都指向这些服务器。</p> <p> 每起攻击都使用相同的手段,利用电子邮件吸引受害者打开一个链接。印度方面收到印度弹道导弹防御计划的邮件,藏人团体收到内容涉及自杀报道以及位于纽约的藏人基金招募工作的邮件,日本方面则收到有关核泄露测量的邮件。</p> <p> 每封邮件都包含附件,只要点击附件所包含的链接就会在受害者的计算机中建立后门并连接到攻击的服务器。据悉黑客是利用了微软的 office 和 Adobe 软件的安全漏洞。一旦连接建立,黑客可使用远程控制工具获取敏感文件,同时安装键盘记录程序,记录受害者浏览网络时使用的各种帐号和密码。</p> <p> Trend Micro 公司研究人员没有透露这些受害者的具体名称,但表示他们已经提醒受害者即时修补系统。</p> <p> 印度国防部发言人 Sitanshu Kar 表示没有收到上述攻击事件的内部报告。纽约的日本领事馆副总领事 Fumio Iwai 拒绝评论此事。</p> <p> 截止到本周四,负责攻击活动的服务器仍在运行中,受害的计算机仍然泄露信息。</p> <p> Trend Micro 公司研究员 Nart Villeneuve 表示:“这不是孤立的攻击事件,攻击已经持续很久,危害一直存在,并且有日益严重的趋势。”</p> <p><strong> 美媒诬陷腾讯员工参与黑客攻击当事人澄清</strong></p> <p> 美国纽约时报 3 月 29 日报道称,通过人肉搜索找出了过去十个月对印度和日本军方及商业机构的电脑网络发动数百次攻击的“嫌疑人”古开元。</p> <p> 古开元为腾讯公司员工,对自己在大洋彼岸成为知名“黑客”非常惊讶,并在微博上发表澄清:“该报记者徐研在本月 29 日发表文章,文中指我曾参与一起攻击入侵行为。文章所指依据与事实不符--黑客控制服务器 QQ 号码为我校友所有,非我本人。我个人并未参与任何黑客行为,特此声明。”</p> <p> 纽约时报称,因参与调查的趋势科技公司分析人员通过分析一起黑客攻击—luckycat 事件,找到了黑客控制肉鸡的服务器。又在控制服务器的一组域名中,找到了一个域名 clbest.greenglassint.net,并通过域名找到了 该域名的注册邮箱 19013788@qq.com。其后搜索该邮箱的 QQ 号码,发现该号码曾与另一个号码 2888111(古开元本人使用)共同出现在四川大学 BBS 上的一个帖子中。并据此判断古开元参与了此次黑客攻击。</p> <p> 腾讯公司 QQ 安全中心随后也发布微博指出纽约时报的人肉逻辑存在严重错误,同时力挺“躺中也中枪”的同事,向他送去慰问。</p> <p> <strong>古开元个人微博</strong>(<a href="/misc/goto?guid=4958335087027665233">http://t.qq.com/p/t/50239089186580</a>):</p> <p> 关于纽约时报不实报道的澄清--该报记者徐研在本月 29 日发表文章,文中指我曾参与一起攻击入侵行为。文章所指依据与事实不符--黑客控制服务器 QQ 号码为我校友所有,非我本人。我个人并未参与任何黑客行为,特此声明。</p> <p> <strong>QQ 安全中心微博</strong>(<a href="/misc/goto?guid=4958335087840183774">http://t.qq.com/p/t/24317020028327</a>):</p> <p> 1. 腾讯反对任何黑客网络攻击行为。 2.这次报道存在严重的逻辑错误,所谓证据指向的是古开元的一个校友,而非他本人。古开元未参与过任何黑客攻击。 3.我们呼吁媒体客观报道,而不应捕风捉影对无辜当事人造成无谓伤害,在此也向深受此事困扰的同学送去慰问。</p> <p> 2010年 2 月,《纽约时报》也炮制过一则类似的新闻,该报在其网站上称,导致谷歌有意退出中国的网络攻击可能与蓝翔技校有关。此事在中国传为笑谈,却也令名不见经传 的蓝翔技校一夜成名。坊间认为,美国一直称自己和盟友遭到黑客攻击却始终没有确凿证据,这些捕风捉影的说辞或许只是一种政治需要。</p> </div>