安全圈 | 专注于最新网络信息安全讯息新闻

 首页

從一份起訴書看美國開源情報的實戰應用

作者 landy 时间 2020-02-26
all

2018年10月,在美國司法部所謂的“極為罕見的成就”中,中國國家安全部的一名官員出現在辛辛那堤的聯邦法院,他被指控試圖從多家美國航空和航空航太公司進行經濟間諜活動和竊取商業機密。

以下是網上公開的起訴書翻拍照片,點擊文末“閱讀原文”可下載原文pdf。

起訴書關於事實部分機器翻譯摘錄:

(a)在2013年12月26日左右,XU討論了與MSS同事即將進行的專家“交流”。在消息中認為“顧客不知道我們的身份。我以科學技術協會副秘書長QUHUI的身份接近他“。XU的同事說,”明白了。我會確保這裡的每個人都知道你來自南京科技協會。“

(b)2014年4月22日左右,XU向MSS同事發送了一條消息,說明與專家即將進行的“交流”。

XU提醒同事兩件事:

1、專家不知道我的真實身份,我以江蘇科學技術協會的名義找到他:2、不要提及這些資料。

(c)從2017年3月開始,未指明的同謀CF通過電子郵件開始通過電子郵件與被侵害的A公司自2012年以來雇用的工程師(“員工I”)。未指明的同謀CF基於該工程師在公司A的工程經驗請求該工程師來NUAA(南京航空航太大學)進行“交流”,並願意支付該工程師的旅行費用。

(d)2017年5月10日,未指明的同謀CF通過電子郵件發送給“員工I

‘,“能源與電力研究所”提議”員工I“報告受害者公司A的專利資料設計和製造技術。未指明的同謀CF希望”員工I“專注於高技術主題,包括應用受害者公司A專利資料的最新發展,以及發動機結構設計分析科技和製造技術開發。

(e)2017年5月15日,”員工I“準備前往NUAA參加學術交流。從XU其一個電子郵件帳戶向”員工I“發送了一條消息,該電子郵件是使用CF的名字簽名的。

(f)在中國,未指明的同謀CF將”員工I“介紹給XU。在這次會議中,XU用他的別名Quhui介紹了自己,並聲稱其來自中國的JAST。XU向”員工I“提供了一張名片,其中包含他的別名Quhui以及與JAST相關的資訊。

(g)2017年6月2日,應XU和NUAA的邀請,CF和”員工I“在NUAA做了一個演講,其中包括由受害者公司A設計和製作發動機的細節。

(h)XU在演講之前和之後與”員工I“共進餐。

(i)XU和其他人員基於演講給”員工I“3500美元,並作為在其訪問南京(例如,膳食和飯店費用)期間發生的費用的報帳。

(j)中國之行後,XU繼續與”員工I“溝通。事實上,XU邀請”員工I“在第二年返回NUAA。

(k)2017年11月21日,未指明的同謀CF表示有興趣讓去中國的員工I去NUAA交換意見和指導。XU的同謀CF告知”員工I“,他已經與Qu Hui(來自JAST的XU)進行了交談,並且QuHui將能够幫助支付旅行費用並處理“交換”的細節。

(I)2018年1月8日左右,XU寫信給“員工I”,“我將在這裡與科研部門聯繫,看看有什麼科技需要,我會讓你知道準備什麼,請儘快準備機票和日期。“

(m)在2018年1月23日左右,XU寫信給“員工I”,“好的,盡力收集,然後我們可以在國內進行討論,系統程式碼更加集中[原文如此]。“XU後來詳細闡述了他想要的資訊與”系統規範,設計過程“有關,這些研究的數據將應用到發動機生產上。XU為“員工I”提供了一個電子郵寄地址,用於發送所請求的資訊,“員工I”告訴XU如果使用公司電腦,則可能會封锁該電子郵件。XU回答:“直接從公司發送可能不合適,對吧?”

(n)2018年2月3日左右,XU讓“員工I”發送受害人公司A的摘錄,內容涉及風扇葉片包裝的“密封分析”。該檔案包含一個簽名,警告該演示文稿包含受害者公司A的專有資訊。

(0)2018年2月4日,XU寫信給“員工I”,並確認接收了受害者公司A關於“收容分析”的檔案,XU表示他期待“員工I”花時間與中國的專家討論“更精確的聯系”並提議召開會議日期。

(p)在同一資訊中,XU發送了“員工I”的一份科技主題清單,其中涉及XU感興趣的風扇葉片和風扇葉片外殼製造中的複合材料,在發送資訊中包含受害者公司A的專有警告標籤。XU還特別寫道:“附件”是我所知道的一些國內要求,如果你熟悉那些,你可以看看並告訴我嗎?

從起訴書內容看,FBI掌握了不少的電子證據,其中包括語音、文字、郵件等內容。

根據國外媒體披露的情况,FBI首先是在2017年10月發現了一個QQ電子郵箱帳號,要求一名在美國工作的人提供其所在公司的情報。11月,FBI現場搜查了該美國公司人員的住所,發現了一張中國某科學協會的名片。

FBI針對名片上身份為“副秘書長”的人進行了“網絡搜查”(溯源追跡),進而發現,上述電子郵件帳號又作為蘋果標識Apple ID連接著“蘋果雲”(icloud,美國蘋果公司的雲存儲)。

據美國司法部的起訴書和其他美國媒體的報導顯示,2018年4月,FBI先是將某官員XYJ誘騙到比利時後拘捕,爾後派員冒充XYJ的上線與美國GE航空公司的季某某見面,並秘密錄音和錄影獲取其與XYJ早有秘密接觸的證據。

FBI作為起訴方出具的相關證據大多來自網上,涉及郵箱,Apple ID和蘋果雲(icloud)以及從中獲取的數據資訊。

這是真實的網路資料驅動事件:

FBI幾乎全部的線索情報(SIGINT)和搜查證據都來自於網絡。從情報的蒐集、發現,到情報的溯源、定位、追跡、取證,均大量依靠互聯網資源。由美國、英國、澳大利亞、紐西蘭和加拿大共同構成的“五眼聯盟”,也已經公開宣稱將利用開源情報共亯以揭露“中國間諜”。

從這起案例也可以反證斯洛登曝光的美國監控全球確有其事,而且即使被曝光,也沒有中斷過。

關聯閱讀:【美國情報】媒體歷年披露的近四十個美國政府大規模監控項目

同時該案例也警示公職人員:切勿使用蘋果手機!

美國國家安全總檢察長助理John C. Demers於2018年10月4日在華府舉行的新聞發佈會上發表講話。

© 2023