隐写机密代码、拷走通用数据，华人“千人计划”专家被FBI逮捕

作者：克雷格、闻菲

最近在美国的华人专家被捕的新闻有点多。

上个月，FBI逮捕华人工程师张小浪，称后者涉嫌盗取苹果无人驾驶技术机密。虽然张小浪在庭审时称自己无罪且现已被保释，但整件事情被美国媒体闹得沸沸扬扬。

日前，FBI又逮捕了另一位华人：国家“千人计划”专家、通用电气主任工程师（Principal Engineer at GE Power）郑小清，他被指控涉嫌窃取与动力涡轮相关技术机密提供给中国公司。

根据起诉书，FBI称郑小清把39份通用公司的设计与流程图纸加密打包，然后放到一张照片文件的代码后面，将其伪装成一张正常的日落风景照，从公司服务器上拷贝出来，发送到自己的私人邮箱里。

值得注意的是，郑小清通过对电脑上的数据文件进行加密，然后将这些文件隐藏在一张“日落”的数码照片的代码中，巧妙避开了公司限制。FBI称，这种做法非常少见。

起诉书中还表示，当时通用电气正在监控郑小清的计算机活动，因为该公司的安全小组发现，郑小清此前曾经将通用的1.9万份文件下载到外部硬盘。

郑小清被FBI特工逮捕

通用电气知晓郑小清拥有公司，但并未采取行动

FBI称，郑小清是美国公民，也可能在中国拥有公民身份。被FBI没收了的郑小清的护照上显示，他在过去两年里去过中国五次。

根据郑小清的LinkedIn个人主页，郑小清2008年加入通用电气，在纽约位于斯克内克塔迪（Schenectady，纽约东部的一座工业城市）的办公室工作，2015年6月升任成为主任工程师。他拥有西北工业大学博士学位（航空发动机专业），2007年从MIT斯隆管理学院毕业。

2018年4月27日，《辽宁日报》报道，“国家’千人计划’人才郑小清博士和美籍专家莫拉特博士，带领技术团队进驻辽宁天一航空科技有限公司……辽阳县通过“项目+人才”、股权激励引才模式、搭建企业创业创新平台等方式方法，成功引进郑小清博士和美籍专家莫拉特博士，并带领技术团队进驻辽宁天一航空科技有限公司，为其新引进的美国航空发动机机械密封技术填补了国内相关研究空白”。

郑小清曾告诉通用电气人员，他和他的兄弟在中国南京拥有一家技术公司，为民用航空发动机提供零部件。通用电气的管理人员审查了郑与这家公司的关系，认为这可能与他在这里的工作发生冲突，但允许他继续为通用电气工作。

不过，联邦调查人员表示，他们发现郑小清对中国的多家航空科技公司有兴趣——其中一些公司是政府资助的——他似乎在为这些公司开发项目，类似于他为通用电气所做的专有工作。

起诉书指出，通用电气的人员多年来一直意识到郑的可疑行为，但并未采取认真行动。

例如，2014年，通用电气公司的企业安全官员调查了郑小清将19000多份电子文件拷贝到一个U盘上的行为，但无法确定其中包含了什么。郑告诉安全官员，他已经删除了这些文件，不过通用公司无法告诉FBI探员，他们是否能够证实这些文件已经被删除，或者这些文件是否与任何第三方共享。

大约两年前，通用电气加强了安全措施，禁止员工使用U盘等便携式设备，以防止他们下载商业机密信息。

但郑小清仍旧有办法转移数据。

官方称，郑小清通过对他电脑上的GE数据文件进行加密，然后将这些文件隐藏在一张“日落”的数码照片的代码中，再发给自己私人Hotmail账户，邮件名为“要保存的美景”，从而绕开了这一限制。

通用公司去年终于采取措施，开始监控郑的活动。此前，他们在郑的笔记本电脑上发现了另外400个数字文件，这些文件是用通用电气没有使用的软件程序加密的。

通用电气一位发言人表示，该公司“已经与FBI密切合作了一段时间。”

“在GE，我们积极保护和捍卫我们的知识产权，并制定严格的流程来识别这些问题并与执法部门合作。我们目前不会再发表任何评论，因为这是一项持续的调查。”

不到10分钟的“隐写术”：将40个机密文件写入数码照片代码中

起诉书详细披露了郑小清在日落风景照中隐藏代码的过程。

7月5日，郑小清将39个MATLAB文件和一个Excel表压缩成一个名为“optimization.zip”的文件，然后用AxCrypt加密，并重命名为“F03B336A.axx”，这个文件名看起来是一个跟工作无关的名称。

接着，他把iPhone手机连到电脑，复制了手机中的一张IMG2064文件到电脑桌面，然后重命名为dawn.JPG。在编辑dawn.JPG的时候，郑小清把“Happy Forth of July”写进了照片里。完了之后，他把编辑后的照片放进了“F03B336A.axx”同一个文件夹中。

之后就进入到最重要的环节。

郑小清打开Cygwin Bash Shell，并输入命令cd c:\tmp和dir，列出命令行界面上的目录。然后输入vim -b dawn.JPG，列出图片的二进制代码，在代码末尾输入88。

接下来，他又输入r:F03B336A.axx，将此文件的只读副本插入到照片的代码中，也在末尾输入88。

随后，他返回c:\tmp的窗口，并将F03B336A.axx的文件名更改为“de.dat”，.dat文件在通用公司是一种常规文件，不会引起注意。最后郑小清通过AxCrypt分解并删除文件。

经过加密的“日落”数码照片通过电子邮件发送到郑小清私人的电子邮件账户，在这份电子邮件中，郑小清把邮件的主题命名为“要保存的美景”。

在通用公司向警方提供的郑小清电脑活动的实时视频中显示，他的这些操作步骤总共用了不到10分钟，检方认为，郑小清如此轻松、快速完成整个复杂过程，说明他很有可能在过去实践过类似的技术。

FBI探员搜索郑小清家

美国联邦调查局称，郑小清用的方法“甚至在受过训练的计算机专家中也不常见”。FBI表示，即便是专门从事网络犯罪的探员表示，他们知道郑小清使用的方法，“但实际上他们从未见过有哪个探员用过”。

郑小清可能面临最高10年监禁、25万美元罚款以及3年的监视居住期。

郑小清被FBI探员带走

参考资料：

https://zh.scribd.com/document/385387724/Xiaoqing-Zheng-complaint#download

这里有详细的起诉文件：https://www.bizjournals.com/boston/news/2018/08/03/ge-engineer-an-mit-grad-charged-with-theft-of.html

声明：本文来自新智元，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。