上海幫駭客伺服器至少7個在香港！港警查科大駭客IP

美國網絡私家偵探曼迪昂特公司 (Mandiant) 報告揭發，被指入侵美國政商機構網絡的中國軍方「上海幫駭客」伺服器，至少有 7 個位於香港，其中 1 個 IP 位址來自香港科技大學。科大昨 (21) 日證實，已與警方合作展開調查，暫未鎖定涉事電腦。有電腦專家指出，科大網絡有機會被駭客透過惡意程式遙距利用，但不能排除有教職員參與其中，建議大學向曼迪昂特索取更多資料調查。

香港《明報》報導，科大發言人表示，極度關注大學網絡懷疑被駭客攻擊及利用，已與警方聯絡並展開調查。消息人士指，昨日乃由警方主動聯絡科大，並介入跟進調查，現階段未確定相關涉駭客行為，於何時或哪部電腦發生，警方發言人亦拒絕提供相關資料。

曼迪昂特的報告聲稱，疑為解放軍 61398 部隊的「上海幫駭客」，控制一個環球電腦網絡，估計涉及 10 多國家上千部伺服器，其中 7 個伺服器在香港，意味至少一些用以施襲的「中介電腦」來自香港。報告指出，駭客所用的香港科大 IP 位址為 143.89.0.0-143.89.255.255。

研究針對性網絡入侵行為多年的華爾基利信息安全研究組織研究員賴灼東表示，根據曼迪昂特報告存在兩個可能性，一是科大某辦公室或實驗室的電腦被駭客攻破，用以向美國發動網絡攻擊；第二個可能性是科大內部有教職員參與駭客集團，協助發動網絡攻擊，「所以不能完全排除有師生知情」。

賴表示，駭客撤走時，會把入侵的痕抹乾淨，所以科大應立刻向曼迪昂特索取詳細資料，展開內部調查，很快就可以鎖定是科大哪間房、哪台電腦、誰的電腦發動攻擊。他又認為，香港很多大學的網絡保安相當鬆懈，今次事件之後必須全面改善。

香港電腦保安事故協調中心經理梁兆昌則分析指出，香港警方及專家均有調查一般、商業駭客經驗，惟涉及國際事件較鮮見，宜謹慎處理。他說：「我們也正聯絡曼迪昂特方面，取得更多資料，盼協助找出本港相關涉駭客行為的 IP 地址。」

互聯網專家兼中大工程學院副院長黃錦輝則認為，是次事件令本港涉國際駭客行為劃下破口，「如果是單一事件，相信不會影響香港院校、整體網絡保安口碑，但政府當局仍須正視及展開研究，杜絕駭客有機滋長。」

曼迪昂特的報告指出，中國駭客的「釣魚攻擊」 (spear phishing) 精密，甚至曾向曼迪昂特下手，偽冒該公司總裁向職員發「釣魚電郵」(含惡意程式的假電郵，待目標回應即入侵電腦盜取數據)，企圖欺騙對方。 (接下頁)

[NT:PAGE=$]

報告公開聲稱是中國駭客於去年 4 月，以曼迪昂特總裁曼迪亞 (Kevin Mandia) 名義，向職員發出的電郵，題為「商討新聞發布」，內文吩咐職員點擊附件瀏覽詳情。電郵仿真度直逼公司電郵，不但偽冒收件人熟悉的人物，電郵內容亦與工作相關。但細心一看，電郵並非由公司電郵帳戶發出，卻是駭客以免費電郵服務 rocketmail.com ，扮曼迪亞發信。若員工不慎點擊含惡意程式的附件，公司電腦就會下載有毒檔案，入侵公司電腦。

報告指，駭客主要以 zip 檔案播毒，他們所用的檔案名稱，涵蓋軍事、經濟、外交等領域，反映駭客目標廣泛。部分檔案名稱如「公司聯絡更新」，令人防不勝防。有毒檔案有時還會偽裝 pdf 檔，雖然檔案名有「.pdf」，但原來在「.pdf」後有逾百個「空格」(space)，企圖隱藏檔案名最尾的「.exe」檔案類別。

報告指，有企業員工收到「釣魚電郵」後，覆電郵問：「我不知這 (郵件) 是否真的，沒有打開。」 20 分鐘後，駭客回應電郵是真的，令員工中招。

雖然美國近日從四方八面指控中國官方駭客襲擊美國政府和企業，但當地傳媒報道，最近蘋果公司、社交網站 facebook 和 Twitter 等逾 40 家企業被駭客攻擊，源頭其實位於東歐，有專家更表示，東歐和俄羅斯駭客的能力比中國駭客更強。

蘋果公司周二表示，旗下一些員工在瀏覽 iPhone 開發網頁後被駭客利用 Java 保安漏洞安裝惡意程式；數周前， facebook 亦表示旗下員工在瀏覽一個開發者網頁後有公司電腦遭駭客襲擊； Twitter 上月亦遭駭客襲擊，泄露約25萬用戶的資料，當中的帳戶名稱和電郵地址可能因此被盜。雖然有傳言指三家公司都是遭中國駭客襲擊，但美國傳媒報道，調查員相信，犯案者為俄國或東歐的犯罪集團，並已追查至最少一個在烏克蘭登記的伺服器。另外，今次駭客襲擊所用到的惡意軟件也顯示，事件與中國網絡駭客無關。

曾負責 IMF 與世銀網路安全的專家凱勒曼 (Tom Kellerman) 指出：「我們都在監察中國，但他們並非最先進的網絡罪犯，更高級的來自俄國和東歐。」他解釋，東歐已成為以販賣網絡用具為生的「一大群組」，因此有組織罪犯、甚至恐怖組織擁有的網絡技術，可能已與一些國家持有的高端網絡技術相若。今次涉案的駭客以俗稱「水洞」的手法策動駭客襲擊，情就如獅子在水潭旁等待羚羊到來喝水自願上釣一樣，駭客會在潛在目標會瀏覽的網頁上播毒，他們事前不會知道誰人上釣，惟當有受害人上釣後，駭客就闖入其電腦系統窺探機密。