作者 上海特约记者 曹国星
谷歌(Google)退出中国市场事件这两天持续发酵,引发事件的对中国维权人士Gmail信箱的神秘黑客袭击更加令人关注。
事实上,驻华外国记者协会(FCCC)在去年(2009年)9月曾委托恶意软件研究所(http://malwarelab.org/)进行了一项研究显示,驻华外国记者的中国籍新闻助理的信箱已经成为黑客邮件攻击的目标。
驻华外国记者协会(FCCC)曾在9月21日发布消息提醒会员,并在FCCC的网站上公布了一封病毒电邮内容。
昨天,纽约时报驻北京一名记者告诉本台,确实曾参与了驻华外国记者协会(FCCC)的这项调查。记者从从恶意软件研究所网站上找到并翻译了这份由Nart Villeneuve 和Greg Walton撰写的报告,详细披露了这一黑客袭击的细节。
恶意软件研究所是一个由自愿者组成的独立科研实验室,专门调查和披露为达到政治目的、针对公民社会团体的恶意软件攻击事件。恶意软件研究所将收集的专业数据与社会政治背景相结合,从而更好地认识攻击者的能力和动机以及攻击所产生的总体影响。
报告称,近期,陆续发生多起针对驻华记者的恶意软件攻击事件。攻击的对象均为在跨国传媒公司工作的驻华员工。这些机构包括:路透社、海峡时报、道琼斯、法新社和安莎通讯社。
报告注意到,这一系列攻击事件发生时,恰逢中华人民共和国为庆祝建国六十周年全面提升安保级别之际。这些安保措施向互联网扩展,大批网站被屏蔽,许多翻墙软件失效。
报告描述了这一攻击的过程和细节。
首先,这些员工都曾收到过一封署名为“Pam”的电子邮件,并且发件人自称是海峡时报的编辑。但事实上,邮件包含一个含有恶意代码的PDF文档。当PDF文档被打开时,文档中的恶意代码便试图通过Adobe Reader软件的漏洞入侵操作者的计算机。
电子邮件的正文,以及附带的恶意文档,均使用地道英语写成并包含准确信息。邮件的具体内容讲的是通知收件人,某位记者计划前往中国写一篇有关中国在全球经济中的地位的报道。附件中提及的所有个人均为真实姓名,且都是对于中国经济现状有所了解的业内人士。
报告分析称,这一署名为“Pam”的电子邮件,似乎具有很强的针对性。无论是邮件正文还是PDF附件(Interviewlist.pdf)的内容,都可以看出是为记者们量身定做的。
邮件本身的内容涉及安排记者在中国和具体受访人会面,而PDF文档中则包含了相关联系人的列表,且姓名、酒店名称、地址均为真实。
打开后的PDF文档中包含了一个联系人列表,列表中提及的姓名、头衔等内容均为真实。然而,有些个别联系人的工作单位内容过时,这说明此文档并非最新创建。以此推测,这篇文档可能是从先前某台被攻陷的主机上窃取的真实文档,在加入恶意代码后用来诱使收件人打开阅读。
邮件PDF附件中的恶意代码通过Adobe Reader的软件漏洞,向操作者的计算机植入恶意软件。根据Virus Total网站的测试结果,在所使用的41种杀毒软件中,仅有3种能够检测出包含在该PDF文档中的恶意代码。
当附件被打开后,恶意软件便被悄然植入操作者的计算机。并将信息发送到特定的地址。
邮件附件里携带的恶意代码指向的主控服务器域名,在2007年曾经被用于同样目的。和先前的记录一样,此域名解析后的真实IP地址只存在很短时间。
此恶意软件试图通过Adobe PDF Reader软件的漏洞实施攻击,类似特征的恶意代码曾于2008年在西藏流亡政府驻伦敦的办公室的电脑中被发现,并被包含在政治主题的附件里。
报告说,“通常来说,确定谁应该为这类攻击事件负责的问题是困难的。”并强调,“没有证据显示,中国政府直接涉及这一系列攻击事件。”
但由于此次邮件攻击事件针对的驻华外国记者的新闻助理,这些助理的姓名通常不在新闻报道中出现,并且按规定是通过向外交部下属的的外交人员服务局雇用的。
报告作者称,这些新闻助理的联系信息并不公开,只在中国外交部登记,这不能不引起人们对于后者在此次事件中扮演的角色产生质疑。
但在此后,在中国外交部举行的例行记者会上,当有记者问到这一问题时,发言人姜瑜回答说:“我没有听说这件事,可以帮你了解一下。”此后,此事再无下文。
昨天的纽约时报的报道再次使类似的事件进入了公共关注。
政治受难者胡佳的妻子,曾金燕告诉《纽约时报》,她检查了自己的Gmail电子邮箱,发现被偷偷设置成自动发送到一个陌生地址。而维权律师滕彪也发现了类似的情形。
谁在窥视这些公民?
没有评论:
发表评论