【內幕】中美大飛機諜戰(6) 內鬼種木馬

2022年05月29日時政
【新唐人北京時間2022年05月29日訊】中共一直試圖用造出「大飛機」作為其實現「厲害了,我的國」的標誌。然而,中共「用舉國之力」「一定要把大飛機搞上去」的後面,有著什麼樣的手段呢?
上接
【內幕】落網間諜在美庭審 揭C919飛機竊密 (1)中共情報官員引渡到美國受審第一人 庭審揭開C919飛機竊密內幕

21:法國人的電腦中病毒

上集說到江蘇省國安六局副處長徐延軍表露意圖:國安局的工作重點是找人,找到國外具有正確專長、能獲得核心訪問權限的人,目標是通過情報行動竊取商業機密。他代表國家做這一切,這是他的「職責」。
法國航空航天公司賽峰集團的項目經理哈斯科特(Frederic Hascoet)出庭作證說,他的筆記本電腦在2014年1月訪問中國時遭惡意軟件感染。他前往中國是為了監督賽峰集團在蘇州的一家合資企業的生產線,該企業組裝噴氣發動機部件。
哈斯科特說,回到法國那天,他連接不上賽峰集團的網站。公司的IT部門發現他的筆記本電腦中了病毒,不得不更換硬盤。
「感染病毒」事件四年之後,徐延軍落網,FBI從其手機中看到真相,通知法國賽峰。蘇州賽峰的2個「內鬼」曝光,一切大白於天下,兩人因染指哈斯科特的電腦,2018年10月31日被法國公司炒魷魚。
至此,這出國安局圍繞賽峰集團的竊密事件終於浮出水面。為大家提供了解徐延軍幕後戰術和技術的一個窗口,同時也展示了徐延軍是如何在國安局招募線人,對一家航空公司進行網絡攻擊的。

22:國安在蘇州賽峰的「內鬼」

法國賽峰集團(Safran S.A.)總部位於法國巴黎,該公司製造飛機發動機、火箭發動機和航空航天部件。它與美國GE航空公司有一家合資企業「CFM國際」。
2014年,中國商飛還在設計研製「大飛機」C919,但航空發動機是中國最弱勢的領域,只能選擇外國進口的發動機,他們安裝的發動機是LEAP,此型發動機正由美法合資的CFM國際所研發。
哈斯科特介紹,蘇州賽峰為他們生產發動機的零件,10年中他去過中國檢查工作6、7次,法國賽峰集團分給他一台筆記本電腦,有單獨的ID和專用密碼。
在法國賽峰工作34年的哈斯科特說,公司規定工作電腦必須隨身攜帶,上飛機也要帶在身邊不能托運,在公共場所不用電腦,也不能把它放在轎車的行李箱中。他必須用密碼訪問電腦,因電腦中有賽峰公司的機密信息,包括引擎的某些設計。
他解釋,一些機密文件可以存儲在電腦硬盤上,或者存在由公司維護的數據管理系統中,他可以訪問他所負責組件的數據庫,在中國訪問這些數據庫時,要遵循在那裡保存文件的準則。
2013年11月,他們在蘇州賽峰組裝新的LEAP發動機零件。那些鋼段零件來自台灣和法國,運往中國組裝。賽峰員工有人在中國商飛上海生產基地,負責支持飛機的集成總裝。
哈斯科特11月攜帶電腦前往上海和蘇州,監控第一批組裝的發動機零件的質量及進度,入住皇冠假日酒店大約9天。2014年1月他再次帶電腦前往中國,住皇冠假日酒店大約5、6天。
在蘇州,哈斯科特遇到工程師田喜(Tian Xi,音譯),後者是「賽峰發動機蘇州有限公司」的主要管理人員之一,他們並肩工作。哈斯科特回憶,他的電腦通常放在賽峰蘇州大樓的辦公室桌上,午飯時電腦會放在桌子上。田喜也在那棟樓工作。
哈斯科特不知道,這個幾乎每天和他在一起的傢伙一直在背叛他。田喜是江蘇省國安局安插在他們江蘇工廠的內鬼,祕密為徐延軍服務。

23:圖謀在法國人電腦中植入木馬

【內幕】中美大飛機諜戰(6) 內鬼種木馬
特洛伊木馬惡意軟件示意圖。(shutterstock)
2013年11月哈斯科特到達蘇州前,徐延軍發郵件給田喜:「法國人哪天抵達?能否安排他在蘇州和我及吳鐵英老師見面?以南京航空航天大學的名義。」
田喜回覆有兩個法國人來。徐延軍:「另一個法國人叫什麼名字?什麼職位?他是第一次來這裡嗎?以後會經常來嗎?你跟他熟嗎?他們週末一起去上海嗎?請幫我拿到兩人的信息。我再把我需要的東西發到你的郵箱。」
11月27日,徐延軍發郵件給田喜:「今晚我把『馬』帶給你。你能把『馬』帶走嗎?你今晚能帶法國人出去吃飯嗎?我會假裝在餐館碰到你、打招呼,這樣我們就不需要在上海見面了。」
「馬」指的是惡意軟件。專管網絡犯罪和電腦入侵活動的FBI特工麥肯齊(Mathew McKenzie)說,遠程控制木馬是允許攻擊者遠程控制受感染系統的惡意軟件。木馬參見希臘神話故事,希臘人建造特洛伊木馬,引誘人將木馬帶入城市,夜深人靜之際,木馬腹中躲藏的希臘士兵跳出來打開城門,讓希臘軍團入侵特洛伊城。
這種詭計被惡意軟件使用,安裝在你的電腦上,它就會開門給遠程用戶訪問,控制你的電腦、盜用你的密碼和重要訊息,類似希臘神話的故事。
徐延軍從南京趕往蘇州,路上發微信給田:「我在火車上,五點左右到蘇州,最好安排今晚晚餐,如若不行,我會留在他們住的酒店,我們明早和他倆共進早餐,然後(國安局的黑客小組)就可以一起工作。最重要的是與他們見面。」
田:「知道了。他們下午跟法國開電話會,我們正討論今晚吃飯的事。他們可能會開得比較晚,有難度。」
最終,徐和田的祕密安排沒成功。徐延軍在皇冠假日酒店住下,11月29日,他問田:「這兩天都沒機會嗎?」田:「還沒有,我會注意的。」
徐延軍一直沒找到「法國人」離開房間的機會,以便他協調國安局「第八部門」實施電腦入侵。12月6日,他致信田喜:「馬還沒種」。12月26日,他再次問田喜:「那老頭這次來,還是找不到一個機會嗎?」

24:賽峰江蘇的IT經理親手「種馬」

2014年1月法國人又帶電腦去中國。徐延軍這次找了賽峰江蘇廠的另一名內鬼——顧根(Gu Gen,音譯),此人是北京賽峰企業管理有限公司蘇州分公司的高級IT基礎架構經理和信息保安員,他也聽令於徐延軍。
1月16日,徐延軍致信顧根:「小顧,你明天會在蘇州嗎?」
1月25日,顧根報告徐延軍:「馬已種下。就在今天早上。」
法國的DGSI執法部門後來把感染病毒的電腦給FBI的法醫分析員麥肯齊檢查。麥肯齊發現兩種不同類型的惡意軟件:Sakula變種惡意軟件,還有兩個PlugX惡意軟件變體。
這些惡意軟件程序是用中文編寫的。Sakula惡意軟件安裝在硬盤上的時間是2014年1月25日,通過USB驅動器安裝到電腦上。正是顧報告「馬已種下」的那天。

25:法國賽峰發給IT部門一警告

顧根給法國人電腦植入惡意軟件後,收到法國賽峰集團發給IT部門的警告:「有黑客冒充公司領導發信件」。顧報告徐延軍這一新情況,他認為這是一個不同的入侵計劃,不知是否國安局行動的另一部分。
徐延軍問國安同事柴萌:「這是不是你們做的?」柴萌回:「我們冒充網站管理員(webmaster)發出這封信,但沒冒充領導。誰知道每天有多少人(黑客)想跟賽峰集團打交道。」
徐:「你們怎麼不去告誡他們?我只說是你做的。」柴:「顧相信是我們做的?」徐:「當然」
徐:「我已將蘇州事件報告給(上司)查,我今天休假,請直接向陳匯報。」柴:「好,南京IP地址的設備現在上線了。我正在看。」
FBI法醫分析員麥肯齊說,Sakula病毒對賽峰集團的域做了信標,「遠程木馬在線」意味著信標已被IP入侵者控制的控制器所接收。他解釋計算機中如何使用分身域入侵網路:他們創建一個分身域並將其放入惡意軟件,當它向互聯網發送信標時,看起來像更合法的流量。
這說明他們已經入侵了,在賽峰內鬼的幫助下進入賽峰集團員工的電腦中,通過病毒惡意軟件獲取訪問權限,繞過公司的安全措施。

26:惡意軟件被發現 徐延軍緊張

2014年2月25,美國網絡安全公司CrowdStrike跟蹤到針對法國賽峰的黑客活動,並發布報告。這導致這種惡意軟件被發現,最終賽峰集團決定採取行動來解決黑客攻擊的問題。
次日,徐延軍迅速指示賽峰江蘇的內鬼田喜「毀掉馬」。接著和同事柴萌在電話中爭吵起來。
徐:「陳是什麼意思?陳把責任推到我頭上是什麼意思?他想讓客人找到顧?這不是在自己脖子上套絞索嗎?」
柴:「我不知道,我告訴他法國裝置被沒收了。他立即說他料到會這樣。至於找到顧一事,他從來沒有告訴過我這檔事。」
徐:「我想罵他王八蛋。他說導致整件事曝光的,是在客人的法國裝置中種馬?」「有這樣的領導,真讓人失望。」「你能不能想辦法別讓客人去找顧?一是客人不暴露;二、顧無決定權;三、顧將情況隨時報告給我。」
接下來,徐延軍再次跟柴萌核對,想確定是否有人已盯上他們,他們是否被法國抓住了。他問柴萌:「法國讓小顧去查這個網址的記錄(一個惡意軟件旨在入侵的網站),這和你們有關係嗎?」
徐又找田喜核對,田說「目前法國尚未發現可疑文件的記錄。」徐:「如果有新情況,及時通知我。我會和小顧溝通。」
後來顧根說,發現有人通過一個名為psexec的工具連接到服務器,期間是從2013年7月到2014年2月。法國那邊「將通過遠程連接到這個服務器來檢查」。
徐:「他們認為中國在黑客他們嗎?」顧:「應該不是」;徐:「關於那件事,有什麼新情況嗎?」;顧:「沒有新消息,應該是未解之謎」;徐:「哈哈」。
這個「未解之謎」一拖就四年。從徐延軍在國安局的晉升時間看,恰好是他植入惡意軟件到賽峰的同一年。
黑客攻擊並沒有就此結束。徐延軍繼續執行任務,從全球航空公司獲取商業祕密信息,下一步他試圖招募波音的IT工程師。
(未完待續)
(轉自大紀元/責任編輯:李紅)