中國駭客自揭黑色產業鏈條：做病毒一定要低調

中國駭客自揭黑色產業鏈條：做病毒一定要低調[@more@]作者：索寒雪、李國華

　　“熊貓燒香”餘波未了，“灰鴿子”又飛進了人們的視野。

　　在這個領域，網際網路“險情”不斷。

　　——網路世界，這個表面看起來風平浪靜的生態，背後無時不在發生著弱肉強食的事件，就像森林裡生物鏈一樣默默發生著變化，而外邊望去卻一片平靜。

　　商業正在改變著這個領域的生態。這個領域的生態也在改寫著現實世界的商業秩序——利益的驅動，使駭客一詞的含義正在悄悄地醞釀著嬗變：這些駭客們不僅創富於虛擬世界，同時也被現實的商戰所利用。

　　一線調查

　　駭客自揭“黑色產業”鏈條

　　關閉你電腦所有的程式(包括應用程式和作業系統內部程式)，然後再聯上網路，有沒有發現ADSL貓的幾隻“綠眼睛”在不停地眨眼，電腦網線介面處的訊號燈也在配合著不停地閃爍。

　　如果是，你的電腦已經染上病毒，正在為別人工作——這樣的電腦被駭客稱之為“肉雞”(即被駭客控制的電腦)。

　　駭客控制著你的電腦併發出小小的資料包，內容可能包含著電腦中的機密，也可能指令你的電腦向其他電腦繼續傳播病毒。

　　在中國，有上百萬的網民如你一般，毫無察覺地為網路黑色產業鏈無償地“貢獻著力量”。

　　2007年3月，被認為網際網路病毒業“標誌性建築”的“灰鴿子”工作室表示，將停止研發“灰鴿子”病毒。但是由於“灰鴿子”原始碼已經在網路上廣為流傳，“灰鴿子”的餘威依舊將在網際網路上肆虐。在“灰鴿子”和“熊貓燒香”之後，網際網路黑色資金鍊條並沒有發生改變。

　　創富鏈條

　　“熊貓燒香”的覆滅並沒有危及黑色利益鏈的運轉。

　　“做病毒一定要低調。”

　　駭客肖嘲笑著“熊貓燒香”的英雄主義，“圈內都知道，設計病毒忌諱帶圖示，像‘熊貓燒香’那樣，形成了品牌，最終只能惹火燒身。”

　　駭客肖今年30歲，在程式設計領域已經堪稱“大師”級的人物，被稱為“造槍人”，他可以為買家們製造出各種各樣病毒——偷盜賬戶的、捕獲“肉雞”的、傳送垃圾郵件的、傳送廣告的……

　　在接受記者採訪的前幾天，駭客肖的QQ號被一位崇拜者在網上對外公佈了，於是每天有幾十個想購買病毒程式的下家主動來“敲門”。

　　駭客肖非常謹慎，他儘量只把一個寫好的程式賣給一個下家，“把槍賣得太多，傳播的就越多越快，我可不能像‘熊貓燒香’那樣引起民憤。”

　　駭客肖有兩臺電腦——桌上型電腦和筆記本，在他房間的任何角落都能夠上網，在接受記者採訪時，他毫無表情地倚靠在沙發上，只有在開啟電腦的瞬間，狡黠的表情才回到了他的臉上。

　　“我們的圈子用QQ群和地下留言板進行聯絡，一切都是網上交易。我從來不和‘買槍’的人見面。這樣只能增加風險。”“買槍人”是駭客肖的下家，也就是購買病毒的人，通常“買槍人”會在QQ群上“招標”——“想買一匹馬用來做XX”，這句黑話的解釋是，“想找人設計一個木馬程式。”於是有能力造槍的人便去“競標”。

　　“‘買槍人’基本買兩種槍。一種是他們需要的病毒，另一種是購買某個網站的漏洞，供他們入侵。”駭客肖透露，“設計簡單的病毒，一般的程式設計師都會做，但是收入不多。原先普通的木馬病毒只賣3000元，但是買家可以拿它賺取幾十萬元的利潤——現在有了新的合作模式，即與賣家進行分賬。”

　　駭客肖所說的分賬，有點類似出版業的版稅模式，即“買槍人”的每一筆收益都給“造槍人”提成。據瞭解，熊貓燒香的程式設計者，每天入賬收入近1萬元。

　　“這還不是最賺錢的，真正賺錢的是賣網站漏洞。這可不是一般程式設計師能做的，只有掌握了高超技藝的人才能在大企業的網站中找到漏洞。”駭客肖有些得意，“由於找漏洞多數是企業之間利用這些設計漏洞進行攻擊，所以一個漏洞可以賣到幾萬到幾十萬元不等。”

　　不僅如此，駭客還會被要求設計病毒的升級程式以及反防毒程式。

　　產業鏈已具團伙性質

　　“現在每臺‘肉雞’一週的租金只要7美分。”

　　“不，中國只要9分，而且是人民幣。”

　　在一個內部會議中，公安部網監司的一位處長正與一家網路機房工程師對話。面對時價，該處長啞口無言。1萬臺“肉雞”可以傳送450萬個資料包，佔用4.5G的頻寬，能夠讓絕大多數網站處於癱瘓的狀態。這些“肉雞”組成了一箇中等的殭屍網路。

　　據中國網際網路安全的最高機構——國家計算機網路應急技術處理協調中心(以下簡稱CNCERT/CC)的監測資料顯示，目前，中國的網際網路世界中，有5個殭屍網路操控的“肉雞”規模超過10萬臺，個別殭屍網路能達到30萬臺的規模。這些殭屍網路可以被租借、買賣，駭客們每年可以有上百萬元的收入。

　　2006年末至2007年初，類似殭屍網路這樣的網際網路安全事件，呈現出爆發式的增長。CNCERT/CC接到的報警數量超過日常的兩倍。

　　在網路病毒被製造者賣出之後，病毒的旅行才剛剛開始。

　　“以一個盜竊虛擬財產的病毒為例，買槍的人拿到程式後，通常會僱傭一個殭屍網路來傳播病毒。傳播出去的病毒可以偷竊使用者的網路遊戲的遊戲幣，以及可以偷盜遊戲中的武器，把偷盜的序列號發回到指定的信箱中。”駭客肖說。

　　“殭屍網路是傳播病毒的核心，但是也有比較簡單的傳播病毒的方法。”駭客肖笑了笑，“你早上起床，來到一個網咖，把網咖中的30臺機器都染上病毒，然後你就可以回家等著收錢了。因為，來網咖的人基本都是聊天和打遊戲的，無論是盜取Q幣還是遊戲幣都可以獲益。”

　　這時，每臺中毒的計算機、程式設計者或者是殭屍網路的持有者，都可以拿到五分到五角之間不等的收益。

　　黑色產業鏈發展到這一階段，已經出現了明顯的分工，“一個團伙通常有十幾個人，有人負責傳播病毒，有人負責賣偷盜來的虛擬貨幣，有人負責洗錢。”

　　“對虛擬貨幣的洗錢方式，通常是團伙內的人，在一個網路遊戲上開設許多賬號，比如偷來網路遊戲中的一件武器，在這些賬號上被多次轉移後，再賣出。遊戲公司也沒有辦法，因為不知道哪些賬號是真的遊戲玩家，哪些是買賣的人。”駭客肖說。

　　其他偷盜來的虛擬貨幣則會以批發價向下一級代理出售。

　　此外，駭客們設計的其他木馬程式還會被刻成光碟，批次生產，進行銷售。根據“獨家性”和“功能性”，價格可能幾十元，也可能上千元。

　　還有一些駭客組織可以提供惡意廣告外掛的服務，使使用者的電腦彈出特定的視窗。據透露，彈出視窗每千次的售價是12元，而國內目前至少有50家惡意廣告代理商，據CNCERT/CC保守估計，年產值能夠達到1.08億元。

　　2006年2月，公安部門抓獲駭客組織“玫瑰騎士”，他們既攻擊網站又代理廣告，抓獲時，其流動資金已達上千萬元。

　　在2006年的最後一天，公安部還抓獲了一家專門進行網路敲詐的傳媒公司，公司內部的幾個人專門從事“拒絕服務攻擊”，讓使用者無法登入相關網站，並向網站勒索錢財。他們最先只是花2000元購買了一個攻擊傀儡殭屍的軟體，隨後向十多家網站發起攻擊，其中3家網站在很短時間內便上交了3000元的保護費。

　　侵蝕現實商業

　　“想買到我的終端產品很容易。”駭客肖認為黑色產業鏈到了這一階段，已經半公開或者全公開了，“通常處於下游的零售商會僱人在網站上叫賣。一天可以有幾千或者數萬元的收入進賬。”

　　“或者你在中關村大街上，向那些辦假證的人問，賣不賣木馬，多數不會落空。因為黑色產業鏈的終端已經與其他IT產品的終端進行了融合。”駭客肖說，“專業出售IT產品的櫃檯上，也可以購買到這些產品，有時，真的產品和偷盜來的產品會被摻在一起出售。”

　　“盜賣虛擬貨幣的，通常在網上叫賣，不過最多的是與網咖老闆聯合。如果你在玩遊戲時想買一件武器，只要一伸手，向網咖老闆購買即可。”

　　“至於利潤可想而知，圈內有一個典型故事，當網路遊戲的研發者還在艱苦創業的時候，偷盜遊戲幣的人已經開上跑車、買別墅了。”駭客肖回憶道。

　　此外，攻擊網站也是黑色產業鏈最終盈利的方式之一。一位曾經遭遇過網路駭客勒索的(網站)“站長”描述了與駭客“面談”的情景。“在企業受到攻擊後，我們和駭客只在QQ上簡單溝通了一下，並相約在公司會面。就在公司的會議室內，駭客的談判代表與我們面對面地談判，他們開價5萬元。”“站長”覺得當時情景很無奈也很滑稽，“我們開始討價還價，最後談定3萬元，他們收到錢後，解除了對網站的攻擊。”

　　駭客肖有時也會對目前黑色產業鏈蓬勃發展的局面擔憂，“中國的網際網路道德正面臨著崩潰的局面。”

　　“國外的駭客還猖獗不到中國駭客這樣——寫病毒，還寫反防毒程式；中國存在大量的實體病毒，而國外駭客只是寫一些病毒樣本，不會去真實寫病毒。最可笑的是，中國的病毒可以公開叫賣，這在國外是絕對不可能的。”

　　2007年3月，“灰鴿子”事件的主角——灰鴿子工作室發表宣告，表示將停止研發“灰鴿子”，並隨後關閉了自己的網站。

　　雖然“灰鴿子”已經停止研發，但是根據安天樣本捕獲體系上報的資料表明，木馬、後門、蠕蟲、間諜軟體等惡意程式碼的產生數量依然呈上升趨勢，而“灰鴿子”只是這些惡意程式碼中的一小部分，因此“灰鴿子”工作室的關閉並不會對惡意程式產生的大環境造成影響。因此惡意程式碼的防治工作還任重而道遠，網民的網路安全意識依然要提高。

　　2007年 1月，一家提供線上服務網站同樣遭到了類似的攻擊，由於還沒有出現有效的防禦辦法，該網站只能被動地在全國多個地方載入伺服器，每兩個小時，換一個地方，併為此耗費巨資增加伺服器。

　　“原先在網際網路上創業只要十幾萬元，現在沒有上百萬元，你別來玩！”該網站“站長”阿康正在與投資方談判，他已經明顯感到虛擬世界對現實商業環境的影響。

　　訪談

　　決策層感覺不到網際網路立法的緊迫性

　　訪國家計算機網路應急技術處理協調中心陳明奇博士

　　《中國經營報》：“熊貓燒香”等病毒的泛濫，已經讓我們意識到，黑色產業對現實商業環境產生的影響，你認為黑色產業鏈與現實商業社會的關係正在朝著何種趨勢發展？

　　陳明奇：網際網路黑色產業鏈的存在正在摧毀大眾對網路經濟的信任，尤其是對網上銀行等網路業務的信任。同時，相關的商業網站為了執行安全性，需要加大對網路安全的投入，這些將嚴重阻礙網路對商業領域的滲透。此外，更嚴重的是，網際網路黑色產業鏈的存在，正在對青年的價值觀產生著影響。網際網路黑色產業鏈的暴利足以引誘青年人向其投靠，形成強有力的人才競爭。這些都將不可避免地對現實商業社會產生影響。

　　《中國經營報》：中國刑法對網際網路犯罪缺少明確、嚴格的規定，致使黑色產業鏈受害者成為新弱勢群體，我們應該怎樣加強在這一領域的立法？

　　陳明奇：對待網際網路犯罪，我們通常依據《刑法》第285、286、287條給予定罪。實際上，這3條應用起來非常困難。首先，在網際網路上取證非常困難，因為多數攻擊是病毒侵佔了他人電腦，在機主不知情的情況下發動的，所以很難抓住元兇。其次，《刑法》規定的“重大經濟損失”在網際網路上很難認定。比如一個網站遭到攻擊，使用者無法登入，網站的廣告流量受到影響，投資者暫停投資，這很難確定在某一個金錢範圍內，但是對受害者影響卻非常大。利用《刑法》第285、286、287條的漏洞，駭客們可以逃避懲罰、逍遙法外。

　　歐洲的許多國家正在面臨著與中國類似的網際網路立法問題。德國的經驗是，設立《個人資料保護法》，來防止駭客對個人電腦的入侵，已經產生了一定的威懾作用。中國需要注意現有各種法律法規與網際網路現實的銜接，加強有關的司法解釋，採取措施落實有關法律規定。

　　《中國經營報》：針對網際網路犯罪，你認為國家應建立一個怎樣的協調監管、快速反應機制？

　　陳明奇：一個假冒銀行網站的存在可能只有一兩天，但是對假網站執法則需要半個月的審批流程，這顯然是無效的防禦。

　　目前，我國的網際網路還沒有一個統一的監察或者說管理機構，各個部門都是從各自角度，開展對網際網路的管理，相互之間的協調機制遠遠落後於網際網路的發展，應該完善有關的協調機制。同時，要對網際網路犯罪轉變觀念，像歐洲國家一樣，建立針對網際網路犯罪的快速程式，才能使危害在發生惡劣後果之前，得以制止。

　　《中國經營報》：管理層面對網際網路安全認識是否存在誤區？

　　陳明奇：對於管理層來講，網際網路安全問題是一個隱性問題。根源在於掌握決策制定權的領導很少上網，感覺不到網際網路立法的緊迫度。而大型企業有資金對安全進行大額投入，但真正能夠感受到黑色產業鏈危害的是網民和中小企業，他們已經成為網際網路上的弱勢群體，同樣需要救助。救助的方式可以多樣，例如對符合救助標準的中小企業提供免費的網路黑名單，甚至贈送軟體，限制對特殊網站的訪問。現在，國家對這一問題的資金、人員投入還十分不足。本報記者索寒雪採訪整理

　　透視

　　網路上各色人等為了利益充當著黑色鏈條上的不同角色

　　駭客道德底線在潰敗

　　網際網路，這個迄今為止最為人類值得驕傲的發明，正在悄悄淪喪。

　　利益越來越濃，道德被拋在腦後，傳統約束機制的缺失，使這個虛擬世界越來越瘋狂起來。

　　80%-90%聯網電腦都是或者曾經是被控制的機器

　　“網路實質是少數人說了算，極少數人控制著普通大眾，指揮著絕大多數弱勢群體。” 資訊保安國家重點實驗室副主任荊繼武認為。

　　業內資深專家估計，有80%~90%聯網電腦都是或者曾經是被控制的機器，而且這其中大部分人幾乎沒有什麼察覺。有人可能因為別的問題格式化電腦而使機器重新獲得“自由”，但接著又會成為另一個駭客的“奴隸”。因為大多數幫助駭客捕獲“奴隸”的木馬程式根本不會使電腦表現出任何症狀，普通使用者也就無從發現。

　　在荊繼武眼裡，微軟和英特爾已經將電腦效能打造得如大海般深厚，而網路攻擊者則像針一樣潛伏在深海里。“以前在386上，潛伏一個木馬程式是不容易的，會因佔用大部分資源而被發現，但現在對駭客來說太簡單了，往你的機器裡埋伏五個木馬，你一點感覺沒有，因為現在CPU如此強勁，微軟的作業系統又是如此複雜。”荊繼武說。

　　專業網路安全公司綠盟科技的黑洞產品市場經理韓永剛承認，駭客統治下的網路世界，普通網民淪為新弱勢群體的現象愈演愈烈，整個大眾的安全意識沒有明顯提高，會有更多使用者機器上的漏洞被利用，而成為“奴隸”。

　　國家有關部門上演網路版“無間道”

　　2000年的某一天，中國網際網路絡資訊中心收到一封來自加拿大的郵件，郵件的發件人是加拿大的一個網管，他舉報中國境內某IP地址的計算機一直向他們發起攻擊，已經持續了一段時間，網際網路絡資訊中心根據信中IP地址很快查到了發起攻擊的機器——資訊保安國家重點實驗室的一臺Linux伺服器，這著實讓實驗室工作人員吃了一驚，“我們沒幹啊。”

　　事實上，類似上面的這種攻擊對於網際網路上很多網站來說是家常便飯。“每天都有，只是大小的問題。” 國家計算機網路應急技術處理協調中心的一位專家說。

　　在韓永剛的生活中，時常有這樣的片段：半夜一兩點鐘，睡得正香時，突然電話響起，客戶網路遭到了攻擊，而且攻擊流量很大，他就必須立即趕過去處理情況。

　　攻擊的發起者甚至不需具備任何電腦知識，只要有一個必備條件——鈔票。因為以往為技術高手專利的駭客行為，早已在網路氾濫的時代商業化，網路上各色人等為了利益充當著攻擊鏈條上的不同角色，沒有了現實社會中道德束縛的虛擬世界，虛擬公民們的行為越來越肆無忌憚。

　　駭客攻擊服務甚至在網路上公開出售，按照攻擊機器臺數標價，如果需要5000臺機器的攻擊，租用一次則要5000元，這5000臺機器早已被種下木馬，全部聽駭客指令行事，交錢後隨時可以發動攻擊。“被控制的機器五花八門，甚至還包括很多各部委的機器。”一位業內人士透露。

　　韓永剛的日常工作中，幾乎每天都要與數百兆的攻擊流量鬥法，“政府機關、運營商、企業使用者所遇到的攻擊頻繁發生。”而作為黑洞產品經理，其任務就是將攻擊流量吸收到“黑洞”裡，經過處理將攻擊包過濾掉，再將正常的資料包送達目的地，但他也承認分辨這兩種資料包難度不小。

　　為了摸清已經事實存在的駭客產業鏈，國家計算機網路應急技術處理協調中心甚至還上演了網路版無間道，與專業的臥底公司合作，派他們購買駭客攻擊服務，與駭客商業組織建立聯絡，慢慢打入這個產業鏈內部後，調查其中的內幕。

　　商業讓駭客攻擊動力越來越大

　　自2006年底開始，大規模的網路攻擊越來越多，攻擊表現出的商業目的越來越明顯。

　　以前的駭客事件大多數是想顯示自己的能力，攻擊規模也較小，但現在經濟利益越來越多地摻雜進來，當有經濟利益擺在那時，發動攻擊的動力也就越來越大，直至發展為一個完整的商業鏈條。

　　在韓永剛看來，網路上的經濟利益越來越大，將推動網路世界變得和現實社會一樣，繪成另一幅活生生的人生百態圖，這裡必然存在有打手、流氓和黑社會。

　　早期接觸網路的人們恐怕都還記得，最早的駭客很注重自己的聲譽，一般不做過多的破壞。但網路上的利益變得非常誘人後，就開始有越來越多的所謂高手為了獲取利益而專門編寫攻擊程式碼。

　　一位曾經從事過駭客攻擊的匿名人士坦言，網路早已褪去最初資訊共享平臺的外衣，它所承載的利益越來越大後，有利可圖、不擇手段的事情就會有人去幹。正如現實社會一般，商戰中不可避免地要出現非正當競爭手段。“有很多人希望暴富，在這裡人們不用遵守現實世界的規則，出現商業目的攻擊事件就不足為奇。”

　　網路社會，這個與現實聯絡越來越緊密的虛擬世界，似乎正在進入黑暗的中世紀，各類角色的道德底線在利益誘惑下不斷潰敗。

　　背景

　　駭客嬗變

　　上世紀70年代，駭客(Hacker)幾乎還是一個褒義詞，專指那些盡力挖掘計算機程式最大潛力的電腦精英。而英文單詞Hack(劈砍)意即為幹一件非常漂亮的工作。

　　進入80年代，駭客已經演變為計算機侵入者的代名詞。這一階段，有一個名字不能不提——米特尼克，他在15歲時闖入北美空中防務指揮系統的計算機主機內，並且翻遍了美國指向前蘇聯及其盟國的所有核彈頭的資料資料，然後悄無聲息地溜了出來。

　　此後，米特尼克不斷製造著“光輝戰績”，直到美國聯邦調查局在全國範圍內對其進行通緝時，他還設法控制了加州的一個電話系統，以竊聽追蹤他的警察行蹤。

　　“巡遊五角大樓，登入克里姆林宮，進出全球所有計算機系統，摧垮全球金融秩序和重建新的世界格局，誰也阻擋不了我們的進攻，我們才是世界的主宰。”這是米特尼克曾經的豪言壯語。

　　進入21世紀後，駭客行為逐漸與經濟利益聯絡緊密起來，在各種商業鏈條中，其身影若隱若現。

　　利益的驅動，使駭客一詞的含義正在悄悄地醞釀著嬗變，除了電腦程式設計高手外，營銷、物流、心理方面的專業人才不斷湧向駭客產業鏈。這種複雜的人員結構給整個社會帶來的威脅，恐怕遠比單一的技術人員統領駭客天下的時代要大得多。