中國人民解放軍61398部隊
坐标:31°20′57.43″N 121°34′24.74″E / 31.3492861°N 121.5735389°E
中國人民解放軍61398部隊,位于上海市浦东新区[3][4],並使用該区電話號碼註冊電子郵件[5],是中国人民解放军下属的一支部队,長期受到西方国家情報部門及網絡安全公司關注,被報導為從事相關黑客活動的「中國網絡戰的總部」[6]。中华人民共和国国防部於2013年之前一直否認支持過任何黑客活動[7][8],但是解放軍2013年12月出版的《戰略學》首次談到中國軍方與民間黑客的編制[9][10]。
| 中国人民解放军61398部队 | |
|---|---|
中国人民解放军战略支援部队标志 | |
| 國家或地區 | 中华人民共和国 |
| 直屬 | 中国人民解放军战略支援部队 |
| 駐軍/總部 | 上海市浦东新区高桥镇 江苏省昆山市(办事处)[1] |
| 指挥官 | |
| 部队长 | 未知 |
| 政治委员 | 马辉[2] |
2013年2月美國麥迪安網路安全公司發佈的報告,總結141個主要黑客攻擊的反跟蹤分析,認為中國人民解放軍61398部隊和多次從事進階持續性滲透攻擊(英語:Advanced Persistent Threat,縮寫APT)的黑客襲擊有密切關連,並披露其實際地理位置是中國解放軍駐扎在上海的一座塔樓[7],隸屬於解放軍總參謀部三部二局[11][12][13]。但有中国官方背景的媒体反駁說,麦迪安公司的报告仅为其用作炒作公司知名度[14]。
網路安全公司的指控
網路安全公司將進階持續性滲透攻擊(英語:Advanced Persistent Threat,縮寫APT)中「最多產的團體」命名為APT1[5],又稱為“注释组”(Comment Crew)或“上海组”(Shanghai Group)[11]。
2013年2月,美國麥迪安網路安全公司根據7年追蹤的記錄證據做出總結報告,指控中華人民共和國解放軍是美國發生的一系列高層黑客攻擊的幕後操縱者,並推測此團體極可能是61398部隊。報告指稱,自2006年以來,61398部隊極可能盜取了美國150家公司機構的大量信息,並試圖操控美國的关键基礎设施,而且研究發現,中國共產黨為解放軍設定了重要任務——在全球進行網絡間諜活動和盜取信息,麥迪安公司仍持續追蹤已知超過20個同樣來自中國的APT黑客集團,61398部隊僅為其中之一[16][17]。
報告认为,此中國人民解放軍「61398部隊」最有可能是策動黑客襲擊的後台[7]。麥迪安報告描述的黑客活動結論,提及美國政府情報人員證實「美方已對『61398部隊』的行為做了多年的跟蹤和研究」,其內容以知識產權和美國基礎建設為對象[11][12][13]。
報告指出,61398部隊實際地理位置是位於上海市浦東新區高橋鎮大同路208號,建於2007年初,外有圍牆,院內的中心建築佔地約13萬平方英尺,高12層;此建物因此受到西方媒體的關注及探訪,如《每日電訊報》報道該大樓有解放軍哨兵看守、有中英文寫著「軍事禁區,不許拍照」的字樣,外面圍牆並有「忠於黨、熱愛人民,獻身國防事業」標語;BBC記者試圖拍攝大樓時受阻止,且被要求刪除已拍攝錄像[6][7];CNN記者試圖拍攝大樓時也被哨兵驅趕[18]。
根據報告,該部隊技術嫻熟,有一套明確攻擊方法,黑客對橫跨20個工業行業、近150企業及组织(其中87%總部都設在英語國家,主要在美國,兩起受害者位於台灣)的目標竊取大量寶貴知識產權信息。在成功入侵後,獲取訪問通道,部隊會在數月、數年內定期訪問受害者以持續竊取各種信息。七年中被監測到針對近150家公司組織的攻擊企圖,遭竊數據達數十萬GB,內容「包括技術藍圖、專有的製造工藝流程、測試結果、商業計劃、定價文件、合作協議、電子郵件、聯繫人列表。」美國電腦分析專家調查100多次攻擊過程發現,所有線索都指向位於上海的該座12層大樓[13]。
關於報告的確證性,一些網絡間諜專家指出,從麥迪安目前提供的証據看,距離證實「中國軍方61398部隊從事了該公司所說的那些網絡間諜活動」仍有一小步距離,雖然有許多網絡間諜活動令人不可思議地碰巧都源自那幢大樓所在的區域[19]。
最令人不安的攻击行为是一次针对對施耐德电气下屬的泰尔文特公司(Telvent)的成功入侵行动。该公司设计的软件被石油和天然气管道公司,以及电网运营企业用於远程控制阀门、开关和安全系统。安全公司AlienVault和戴爾的子公司SecureWorks的專家都認為這次攻击是由“注释组”發動的[11]。AlienVault的安全研究員傑米·布拉斯科(Jaime Blasco)表示,“注释组”以攻擊目標的數目來衡量很成功,但是其成員攻擊的技術水平不算高明,主要依靠社會工程學的手段,很少利用0day攻擊。SecureWorks的惡意軟體研究主任Joe Stewart大致同意布拉斯科的看法,但認為“注释组”成員水平不一,其中的高手不但善於使用惡意軟體,而且善於隱藏蹤跡[20]。他認為持續五年的網路攻擊暗鼠行動也是由“注释组”發動的[11]。
美國智庫报告显示,61398部隊隸屬「總參三部二局」。總參三部,全稱「中国人民解放军总参谋部技术侦察部」,正軍級單位,負責蒐集海外軍事情報的官方機構,與國家安全部、總參謀部情報部等,共同構成中共情報網絡;總部設在北京,於上海、青島、珠海、哈爾濱、成都等地駐有機構,負責「信號情報」,工作估計包括監聽電子通訊、分析衛星情報、破解密碼等,編制估計上萬人。總參三部曾參與了1990年代臺灣海峽飛彈危機。總參三部下設多個局,其中二局(番號61398)負責英語目標,其他局成員則需熟悉日語、韓語、俄語、西班牙語等。《紐約時報》曾報導,美國智庫機構2049計畫研究所(Project 2049 Institute)2011年曾發佈報告[21],指出「總參三部是以美國和加拿大為目標的重要實體,最可能關注有關政治、經濟和軍事的情報」。[16][22][23][24][25]
部队編制
「61398部隊」隸屬於原中國人民解放軍總參謀部三部二局[5]。《紐約時報》以「影子部隊」稱之,因為在解放軍的官方編制中找不到它[12][26]。
中國国防部发言人2011年指出,解放軍組建了專門對付網絡攻擊的「網絡藍軍」,同時表示,這支部隊並非網絡黑客,而是為了提高軍隊自身的防護水平[27]。
与其他机构的联系
相關部队
網絡安全公司 CrowdStrike報告指出,該部队與中國人民解放軍61486部隊共享電腦資源並相互通訊。網路紀錄顯示有一次61486部隊使用與61398部隊相同的IP位址發動駭客攻擊。紐約時報表示已經核實該報告的部分內容[28][29][30]。
與大學的合作
該部隊從大學招收计算机專業學生。例如該部隊2004年向浙江大学计算机科学与技术学院招收2003级计算机专业硕士研究生为定向生,每学年提供国防奖学金5000元人民幣,畢業後到該部隊工作[3][31]。2005年則在浙江大學數學系招收兩名研究生[24]。
該部隊也與大學合作從事網路戰爭的研究。上海交通大學信息安全工程學院與該部隊同位於浦東新區張江高科技園區,該學院的學者與該部隊的研究員曾合寫最少三篇有關網絡戰爭的論文,例如2007年一篇研究入侵檢測系統的論文,是由信安學院副院長兼教授薛質與該部隊的研究員陳依群發表[32][33][34]。美國麥迪安網路安全公司安全主管 Richard Bejtlich 在美國眾議院外交委員會的聽證會上表示,論文會公開與61398部隊的關係,是因為作者認為該部隊的秘密不會被洩漏[35]。
各方反应
中國政府
中國外交部回应称,該報告的指控只是基於一些最基本的數據,而毫無證據力,對於黑客攻擊記錄進行無端猜測和指責,無助於解決該問題[7]。
中華人民共和國國防部並未對「61398部隊的存在與否」作出澄清,而是宣稱「中國法律禁止黑客攻擊等行為」、「中國軍隊從未支持過任何黑客行為」,並指責美國麥迪安安全公司缺乏技術及法律依據。國防部稱「僅憑IP地址的通聯關係就得出攻擊源來自中國」的結論「缺乏技術依據」,並稱通過盜用IP地址進行黑客攻擊是網上常見的做法。 發言人耿雁生還表示,中國是網絡攻擊的主要受害國之一,解放軍互聯網用戶終端遭受大量境外攻擊,根據IP地址顯示有相當數量攻擊源來自美國,但解放軍並未以此為由指責美方[8]。
中华人民共和国国防部发言人在2013年2月20日的媒体吹风会上表示“中国军队从未支持过任何黑客行为。曼迪昂特(Mandiant)网络公司所说没有事实根据。”[36]
美国政府
在《紐約時報》的報道發表後,美國白宮發言人表示,由於麥迪安的報告是一份非正式報告,所以對於報告不予置評,不過同時也表示,對中國政府表達最高級別的網絡安全威脅的關切[37]。美國眾議院情報委員會主席羅傑斯則表示,中国方面的黑客襲擊沒有任何停止跡像,如果美國不做任何表示,只會加速來自中國的黑客襲擊[12]。
2013年,2月21日美國政府發布141頁的《降低經貿機密遭竊行政策略報告》,以解決美國政府及企業長年網路遭駭及機密被竊的問題。报告由美國司法部、國防部、商務部及國土安全部等合擬,主要有五个方面的行動,包括(1)由資深外交官向竊盜國家領袖施壓、(2)加強企業保護貿易機密的能力、(3)要求執法單位對相關案件加強調查與起訴、(4)檢討與竊取貿易機密相關法規、(5)促進大眾了解問題嚴重性等。文字雖未特別針對中國方面,但司法部長侯德公開表示:「1名中國駭客坐在桌前,就能取走維吉尼亞州1家軟體公司的程式碼。只要敲幾下鍵盤,1名被解僱或心情不好的國防承包商員工,就能盜走價值數十億美元的設計、程式或公式。」 [38]
2014年5月19日,美国司法部起诉五名中国人民解放军61398部队第3支队的成员——汪东(Wang Dong)[39]、孙凯亮(Sun Kailiang)、文新宇(Wen Xinyu)、黄振宇(Huang Zhenyu)和顾春晖(Gu Chunhui),指控他们对美国美铝公司、美国钢铁公司、西屋公司、太阳能世界和阿勒格尼技术公司共五家著名企业以及主要工会组织美国钢铁工人联合会进行经济间谍活动,这是美国首次对外国提出对美企业进行网络犯罪的刑事指控。美国司法部长埃里克·霍尔德称:世界许多国家互相彼此刺探情报, 但是,美国“断然谴责”中国人民解放军驻上海某单位的经济间谍活动,这些间谍活动向中国公司提供了“重要”信息。作为回应,中国政府拒绝接受美国提出的刑事指控,中国外交部称指控纯属无中生有、极其荒唐,并对美国大使鲍卡斯提出“严正抗议”[40]。
2014年10月15日,美国聯邦調查局警告美國企業,表示一個比「中國人民解放軍61398部隊」更敏捷、更秘密的中國駭客團體「公理队」(Axiom),在中國政府的支持下,對美國政府機構與企業從事至少四年的進階持續性滲透攻擊,以竊取重要機密[41]。美国官員私下表示,「公理队」活動的重要程度不亞於61398部隊[42]。
中国国内媒体
中國國防科技網發表一篇署名「上海國際問題研究院信息研究所助理研究員」的文章質疑,所谓的报告本身除去附录正文约60页,其罗列的证据仅是一张中国电信的施工单扫描件和从Google上搜索到的信息,而后面提及的网络攻击,罗列的一些IP地址只是位于上海市浦东新区的IP地址,并无指明与该军方大楼有直接关联。且即使是证实那些计算机发起网络攻击,也无法确实其是原发还是“殭屍電腦”(即被黑客用作跳板的受控计算机)。其罗列的攻击对象本身,也不是美国或其它国家的国防机构而只是公司,看起来不像是军事行为。整份报告使用大量吸引眼球的手段,包括使用大图显示解放军的军徽,实际上是为了对公司本身的知名度作出的宣传[14]。
美国媒体
有媒体认为,美國政府及電腦安全產業關注並擔心的是,近期來自該上海基地的襲擊目標,主要針對「能夠操縱美國重要基礎設施的公司」,例如美國的電網、天然氣、水資源系統;加拿大的石油輸油管也遭攻擊。報告認為「中華人民共和國政府完全知道他們的活動。」並指出「現在該是時候——指明網絡威脅來自北京的時候了。」除了麥迪安報告之外,尚有許多其他網絡安全專家表示,該組織實際曾發起過數千起的黑客襲擊,最早可追溯到2006年[12]。
美国《纽约时报》2013年报道称:总参三部下设多个局。其中二局(番号61398)负责英语目标,在上海浦东高桥镇有一幢12层高的楼房用于办公,是中华人民共和国的一支进行网络活动的部队[43][44]。
《華爾街日報》2011年8月報導,中国中央电视台军事·农业频道軍事節目一段10秒片段洩露了解放軍方系統性的攻擊海外及美國網站的最高軍事秘密,牴觸了中國政府「從未在海外從事任何形式的駭客活動」的說法[45][46]。
《國際先驅論壇報》報導,這個部隊原已受到西方網絡安全公司、情報部門關注。早在2006年,代號「驟雨計劃」(Titan Rain)的大規模網路攻擊針對美國國防部和美國國會盜取數據,被美國國防部和英國軍情六處確認是來自這個黑客群後,中西方網絡戰愈演愈烈。自2011年以來,源自該部隊基地的黑客攻擊數量猛增。《紐約時報》認為,美國處於一種與中國的不對稱的網絡戰爭中,並引述一名美國國防部資深官員的說法:美國在冷戰時期的注意力都集中在莫斯科周圍的核指揮中心,現在美國擔心的是這所上海電腦中心[6]。美國中央情報局前局長海登表示,美國企業現在面臨「一整個國家」的攻擊,「是史無前例……而我們還沒找到解決方案。」[38]
参考文献
- ^ 昆山市人民政府. www.ks.gov.cn. [2019-12-27]. (原始内容于2019-12-27).
- ^ 浦东新区政协五届五次全会专题报道. www.pdzx.gov.cn. [2019-12-27]. (原始内容于2017-12-04).
- ^ 3.0 3.1 . 浙江大学计算机科学与技术学院. 2004-05-13 [2016-12-02]. (原始内容存档于2016-12-02).
- ^ 資料圖:駐上海61398部隊在陸家嘴舉行集體婚禮. 鳳凰網/新民晚報. 2013-02-20 [2013-02-22]. (原始内容于2013-02-24).
- ^ 5.0 5.1 5.2 Mandiant, FireEye. APT1: Exposing One of China’s Cyber Espionage Units (PDF). 2013-02-18 [2019-03-08]. (原始内容 (PDF)于2019-02-15).
- ^ 6.0 6.1 6.2 英媒:61398部隊—中國網戰中心. BBC中文網. 2013-02-20 [2013-02-21]. (原始内容于2013-02-23).
- ^ 7.0 7.1 7.2 7.3 7.4 中國回應美國有關中國黑客襲擊指控. BBC中文網. 2013年2月19日 [2013-02-21]. (原始内容于2013-02-22).
- ^ 8.0 8.1 国防部:中国军队从未支持过任何黑客行为. 解放軍報/中國共產黨新聞網/人民網. 2013-02-21 [2014-06-10]. (原始内容于2014-07-14).
- ^ 中國人民解放軍軍事科學院軍事戰略研究部. 《戰略學》 (PDF). 軍事科學出版社: 第196–197頁. 2013年12月 [2016-06-23]. ISBN 9787802376502. (原始内容 (PDF)于2016-06-29).
- ^ Mohit Kumar. China Finally Admits It Has Army of Hackers. The Hacker News. 2015-03-19 [2016-06-23]. (原始内容于2016-06-16) (英语).
- ^ 11.0 11.1 11.2 11.3 11.4 David E. Sanger; David Barboza; Nicole Perlroth. 揭秘中国网络战部队. 紐約時報中文網. 2013-02-19 [2013-02-22]. (原始内容于2013-02-22).
- ^ 12.0 12.1 12.2 12.3 12.4 《紐約時報》:中國軍方是黑客襲擊者. BBC中文網. 2013-02-19 [2013-02-21]. (原始内容于2013-02-19).
- ^ 13.0 13.1 13.2 APT1: Exposing One of China’s Cyber Espionage Units [《APT1:揭露一家中共網絡間諜單位》] (PDF). Mandiant. [2013-02-19]. (原始内容 (PDF)于2013-02-19).
- ^ 14.0 14.1 曼迪昂特公司的谎言 “解放军黑客总部”在上海. (中國)國防科技網 81tech.com. 2013-02-23 [2013-05-05]. (原始内容于2013-05-13).
- ^ U.S. Charges Five Chinese Military Hackers for Cyber Espionage Against U.S. Corporations and a Labor Organization for Commercial Advantage. 美國司法部. 2014年5月19日 [2014年10月1日]. (原始内容于2015年12月3日).
- ^ 16.0 16.1 綜合外電報導. . 北京. 台灣中央通訊社CNA. 2013-02-20 [2013-02-21]. (原始内容存档于2013-02-21).
- ^ Chinese military unit behind 'prolific and sustained hacking'. 英國衛報 The Guardian. 2013-02-19 [2013-02-22]. (原始内容于2013-02-22).
- ^ Zoe Li. What we know about the Chinese army's alleged cyber spying unit. CNN. 2014-05-20 [2014-11-26]. (原始内容于2014-12-21).(英文)
- ^ Arthur Bright. State role in cyberespionage campaign? China says report 'lacks technical proof'. 美國基督教科學箴言報 網站 The Christian Science Monitor. 2013-02-20 [2013-02-22].(英文)
- ^ APT1, that scary cyber-Cold War gang: Not even China's best. The Register. 2013-02-27 [2014-11-26]. (原始内容于2014-11-06).(英文)
- ^ (PDF). 美國智庫機構2049計畫研究所. 2011-11-21 [2013-02-22]. (原始内容 (PDF)存档于2012-10-21) (英语).
- ^ 大陸中心╱綜合外電. 美揭陸網軍藏情報窩 曾以台灣當跳板 圖操控美國基礎建設. 《蘋果日報》 (台灣). 2013-02-20 [2013-02-21]. (原始内容于2013-02-21).
- ^ Chinese military unit behind 'prolific and sustained hacking'. The Guardian. 2013-02-19 [2013-02-22]. (原始内容于2013-02-22).
- ^ 24.0 24.1 寰宇追擊:解放軍駭客兵團曝光. 《東方日報》 (馬來西亞). 2013-02-20 [2013-02-22]. (原始内容于2014-05-21).
- ^ 曝解放军总参三部辖10万网军 总部设在海淀区. [2016-12-02]. (原始内容于2016-06-05).
- ^ David E. Sanger; David Barboza; Nicole Perlroth. Chinese Army Unit Is Seen as Tied to Hacking Against U.S.. 《紐約時報》. 2013-02-18 [2014-06-15]. (原始内容于2013-02-22).(英文)
- ^ 国防部独家回应中国“网络蓝军” 称其非“黑客部队”. 环球网. 2011-05-26 [2014-06-10]. (原始内容于2014-05-21).
- ^ 2nd China Army Unit Implicated in Online Spying. 紐約時報. 2014年6月9日 [2014年11月20日]. (原始内容于2014年6月10日).(英文)
- ^ Private U.S. report accuses another Chinese military unit of hacking. Reuters. 2014年6月10日 [2014年11月20日]. (原始内容于2014年11月19日).(英文)
- ^ 美報告再指責中國軍方網絡間諜活動. BBC. 2014年6月10日 [2014年11月20日]. (原始内容于2015年2月13日).
- ^ PLA Unit 61398 Recruitment Notice Found. 中国数字时代. 2013-02-20 [2014-11-20]. (原始内容于2014-11-20).(英文)
- ^ 上海交通大學被指與中國網軍合作. RFA. 2013-03-25 [2014-11-20]. (原始内容于2014-11-29).
- ^ Top China college in focus with ties to army's cyber-spying unit. Reuters. 2013-03-24 [2014-11-20]. (原始内容于2014-11-26).(英文)
- ^ China-U.S. cyber spying row turns spotlight back on shadowy Unit 61398. Reuters. 2014-03-20 [2014-11-20]. (原始内容于2014-11-29).(英文)
- ^ CYBER ATTACKS: AN UNPRECEDENTED THREAT TO U.S. NATIONAL SECURITY. United States Government Printing Office. 2013-03-21 [2014-11-20]. (原始内容于2014-11-29).(英文)
- ^ 国防部:中国军队遭网络攻击大量IP来自美国. 新浪军事. [2013-02-21]. (原始内容于2013-02-23).
- ^ 全媒體全時空 美媒稱解放軍61398部隊是"黑客基地. 鳳凰網. 2013-2 [2013-02-22]. (原始内容于2015-11-13).
- ^ 38.0 38.1 李寧怡╱綜合外電. 被指網軍竊密 中國逼美舉證--專家指聰明辯護 白宮提5大防禦. 台灣蘋果日報. 2013-02-22 [2013-02-22]. (原始内容于2013-02-26).
- ^ 通缉令 (PDF). FBI.gov. FBI. [2020-07-09]. (原始内容 (PDF)于2020-04-06) (中文(中国大陆)).
- ^ 北京就美指控中国军方网络犯罪事召见美大使. 美国之音. 2014年5月19日. (原始内容于2014年5月21日).
- ^ 抗中國駭客Axiom 美10大網安公司結盟. 自由時報. 2014年10月17日 [2014年10月20日]. (原始内容于2014年10月18日).
- ^ Ellen Nakashima; Ashkan Soltani. FBI warns industry of Chinese cyber campaign. 華盛頓郵報. 2014年10月17日 [2014年10月20日]. (原始内容于2014年10月17日).
- ^ . 明報. 2011-04-20 [2013-02-21]. (原始内容存档于2013-02-27).
- ^ 揭秘中国网络战部队. 纽约时报中文网. 2013-01-31 [2013-02-21]. (原始内容于2013-02-22).
- ^ Jeremy Page. Chinese State TV Alludes to U.S. Website Attacks [中國國家電視台暗示對美網站攻擊]. 華爾街日報. 2011-08-25 [2013-02-22]. (原始内容于2013-06-12).
- ^ 网络风暴来了. 中国中央电视台军事·农业频道. 事件发生在 11:5. 2011-07-16 [2014-06-11]. (原始内容于2014-07-14).
外部链接
- 美国麦迪安网络安全公司关于61398部队实施网络攻击的调查报告