31°20′57.43″N 121°34′24.74″E

Quick Facts 中國人民解放軍61398部隊, 國家或地區 ...
中國人民解放軍61398部隊
Thumb
中國人民解放軍戰略支援部隊標誌
國家或地區 中華人民共和國
直屬中國人民解放軍戰略支援部隊
駐軍/總部上海市浦東新區高橋鎮
江蘇省崑山市(辦事處)[1]
指揮官
部隊長未知
政治委員馬輝[2]
Close

中國人民解放軍61398部隊,位於上海市浦東新區[3][4],並使用該區電話號碼註冊電子郵件[5],是中國人民解放軍下屬的一支部隊,長期受到西方國家情報部門及網絡安全公司關注,被報導為從事相關黑客活動的「中國網絡戰的總部」[6]中華人民共和國國防部於2013年之前一直否認支援過任何黑客活動[7][8],但是解放軍2013年12月出版的《戰略學》首次談到中國軍方與民間黑客的編制[9][10]

2013年2月美國麥迪安網絡安全公司發佈的報告,總結141個主要黑客攻擊的反跟蹤分析,認為中國人民解放軍61398部隊和多次從事進階持續性滲透攻擊(英語:Advanced Persistent Threat,縮寫APT)的黑客襲擊有密切關連,並披露其實際地理位置是中國解放軍駐扎在上海的一座塔樓[7],隸屬於解放軍總參謀部三部二局[11][12][13]。但有中國官方背景的媒體反駁說,麥迪安公司的報告僅為其用作炒作公司知名度[14]

2014年5月19日,美國司法部間諜罪起訴5名61398部隊軍官[15]

網絡安全公司的指控

網絡安全公司將進階持續性滲透攻擊(英語:Advanced Persistent Threat,縮寫APT)中「最多產的團體」命名為APT1[5],又稱為「註釋組」(Comment Crew)或「上海組」(Shanghai Group)[11]

2013年2月,美國麥迪安網絡安全公司根據7年追蹤的記錄證據做出總結報告,指控中華人民共和國解放軍是美國發生的一系列高層黑客攻擊的幕後操縱者,並推測此團體極可能是61398部隊。報告指稱,自2006年以來,61398部隊極可能盜取了美國150家公司機構的大量資訊,並試圖操控美國的關鍵基礎設施,而且研究發現,中國共產黨為解放軍設置了重要任務——在全球進行網絡間諜活動和盜取資訊,麥迪安公司仍持續追蹤已知超過20個同樣來自中國的APT黑客集團,61398部隊僅為其中之一[16][17]

報告認為,此中國人民解放軍「61398部隊」最有可能是策動黑客襲擊的後台[7]。麥迪安報告描述的黑客活動結論,提及美國政府情報人員證實「美方已對『61398部隊』的行為做了多年的跟蹤和研究」,其內容以知識產權和美國基礎建設為對象[11][12][13]

報告指出,61398部隊實際地理位置是位於上海市浦東新區高橋鎮大同路208號,建於2007年初,外有圍牆,院內的中心建築佔地約13萬平方英尺,高12層;此建物因此受到西方媒體的關注及探訪,如《每日電訊報》報道該大樓有解放軍哨兵看守、有中英文寫着「軍事禁區,不許拍照」的字樣,外面圍牆並有「忠於黨、熱愛人民,獻身國防事業」標語;BBC記者試圖拍攝大樓時受阻止,且被要求刪除已拍攝錄像[6][7];CNN記者試圖拍攝大樓時也被哨兵驅趕[18]

根據報告,該部隊技術嫻熟,有一套明確攻擊方法,黑客對橫跨20個工業行業、近150企業及組織(其中87%總部都設在英語國家,主要在美國,兩起受害者位於台灣)的目標竊取大量寶貴知識產權資訊。在成功入侵後,獲取訪問通道,部隊會在數月、數年內定期訪問受害者以持續竊取各種資訊。七年中被監測到針對近150家公司組織的攻擊企圖,遭竊數據達數十萬GB,內容「包括技術藍圖、專有的製造工藝流程、測試結果、商業計劃、定價檔案、合作協定、電子郵件、聯絡人列表。」美國電腦分析專家調查100多次攻擊過程發現,所有線索都指向位於上海的該座12層大樓[13]

關於報告的確證性,一些網絡間諜專家指出,從麥迪安目前提供的証據看,距離證實「中國軍方61398部隊從事了該公司所說的那些網絡間諜活動」仍有一小步距離,雖然有許多網絡間諜活動令人不可思議地碰巧都源自那幢大樓所在的區域[19]

最令人不安的攻擊行為是一次針對對施耐德電氣下屬的泰爾文特公司(Telvent)的成功入侵行動。該公司設計的軟件被石油和天然氣管道公司,以及電網運營企業用於遠端控制閥門、開關和安全系統。安全公司AlienVault和戴爾的子公司SecureWorks的專家都認為這次攻擊是由「註釋組」發動的[11]。AlienVault的安全研究員傑米·布拉斯科(Jaime Blasco)表示,「註釋組」以攻擊目標的數目來衡量很成功,但是其成員攻擊的技術水平不算高明,主要依靠社會工程學的手段,很少利用0day攻擊。SecureWorks的惡意軟件研究主任Joe Stewart大致同意布拉斯科的看法,但認為「註釋組」成員水平不一,其中的高手不但善於使用惡意軟件,而且善於隱藏蹤跡[20]。他認為持續五年的網絡攻擊暗鼠行動也是由「註釋組」發動的[11]

美國智庫報告顯示,61398部隊隸屬「總參三部二局」。總參三部,全稱「中國人民解放軍總參謀部技術偵察部」,正軍級單位,負責蒐集海外軍事情報的官方機構,與國家安全部、總參謀部情報部等,共同構成中共情報網絡;總部設在北京,於上海青島珠海哈爾濱成都等地駐有機構,負責「訊號情報」,工作估計包括監聽電子通訊、分析衛星情報、破解密碼等,編制估計上萬人。總參三部曾參與了1990年代臺灣海峽飛彈危機。總參三部下設多個局,其中二局(番號61398)負責英語目標,其他局成員則需熟悉日語韓語俄語西班牙語等。《紐約時報》曾報導,美國智庫機構2049計劃研究所(Project 2049 Institute)2011年曾發佈報告[21],指出「總參三部是以美國加拿大為目標的重要實體,最可能關注有關政治、經濟和軍事的情報」。[16][22][23][24][25]

部隊編制

「61398部隊」隸屬於原中國人民解放軍總參謀部三部二局[5]。《紐約時報》以「影子部隊」稱之,因為在解放軍的官方編制中找不到它[12][26]

中國國防部發言人2011年指出,解放軍組建了專門對付網絡攻擊的「網絡藍軍」,同時表示,這支部隊並非網絡黑客,而是為了提高軍隊自身的防護水平[27]

與其他機構的聯絡

相關部隊

網絡安全公司 CrowdStrike報告指出,該部隊與中國人民解放軍61486部隊共用電腦資源並相互通訊。網絡紀錄顯示有一次61486部隊使用與61398部隊相同的IP地址發動黑客攻擊。紐約時報表示已經核實該報告的部分內容[28][29][30]

與大學的合作

該部隊從大學招收電腦專業學生。例如該部隊2004年向浙江大學電腦科學與技術學院招收2003級電腦專業碩士研究生為定向生,每學年提供國防獎學金5000元人民幣,畢業後到該部隊工作[3][31]。2005年則在浙江大學數學系招收兩名研究生[24]

該部隊也與大學合作從事網絡戰爭的研究。上海交通大學資訊保安工程學院與該部隊同位於浦東新區張江高科技園區,該學院的學者與該部隊的研究員曾合寫最少三篇有關網絡戰爭的論文,例如2007年一篇研究入侵檢測系統的論文,是由信安學院副院長兼教授薛質與該部隊的研究員陳依群發表[32][33][34]美國麥迪安網絡安全公司安全主管 Richard Bejtlich 在美國眾議院外交委員會的聽證會上表示,論文會公開與61398部隊的關係,是因為作者認為該部隊的秘密不會被洩漏[35]

各方反應

中國政府

中國外交部回應稱,該報告的指控只是基於一些最基本的數據,而毫無證據力,對於黑客攻擊記錄進行無端猜測和指責,無助於解決該問題[7]

中華人民共和國國防部並未對「61398部隊的存在與否」作出澄清,而是宣稱「中國法律禁止黑客攻擊等行為」、「中國軍隊從未支援過任何黑客行為」,並指責美國麥迪安安全公司缺乏技術及法律依據。國防部稱「僅憑IP位址的通聯關係就得出攻擊源來自中國」的結論「缺乏技術依據」,並稱通過盜用IP位址進行黑客攻擊是網上常見的做法。 發言人耿雁生還表示,中國是網絡攻擊的主要受害國之一,解放軍互聯網用戶終端遭受大量境外攻擊,根據IP位址顯示有相當數量攻擊源來自美國,但解放軍並未以此為由指責美方[8]

中華人民共和國國防部發言人在2013年2月20日的媒體吹風會上表示「中國軍隊從未支援過任何黑客行為。曼迪昂特(Mandiant)網絡公司所說沒有事實根據。」[36]

美國政府

在《紐約時報》的報道發表後,美國白宮發言人表示,由於麥迪安的報告是一份非正式報告,所以對於報告不予置評,不過同時也表示,對中國政府表達最高級別的網絡安全威脅的關切[37]。美國眾議院情報委員會主席羅傑斯則表示,中國方面的黑客襲擊沒有任何停止跡像,如果美國不做任何表示,只會加速來自中國的黑客襲擊[12]

2013年,2月21日美國政府發佈141頁的《降低經貿機密遭竊行政策略報告》,以解決美國政府及企業長年網絡遭駭及機密被竊的問題。報告由美國司法部、國防部、商務部及國土安全部等合擬,主要有五個方面的行動,包括(1)由資深外交官向竊盜國家領袖施壓、(2)加強企業保護貿易機密的能力、(3)要求執法單位對相關案件加強調查與起訴、(4)檢討與竊取貿易機密相關法規、(5)促進大眾了解問題嚴重性等。文字雖未特別針對中國方面,但司法部長侯德公開表示:「1名中國黑客坐在桌前,就能取走維吉尼亞州1家軟件公司的程式碼。只要敲幾下鍵盤,1名被解僱或心情不好的國防承包商員工,就能盜走價值數十億美元的設計、程式或公式。」 [38]

2014年5月19日,美國司法部起訴五名中國人民解放軍61398部隊第3支隊的成員——汪東(Wang Dong)[39]、孫凱亮(Sun Kailiang)、文新宇(Wen Xinyu)、黃振宇(Huang Zhenyu)和顧春暉(Gu Chunhui),指控他們對美國美鋁公司美國鋼鐵公司西屋公司太陽能世界英語SolarWorld阿勒格尼技術公司英語Allegheny Technologies共五家著名企業以及主要工會組織美國鋼鐵工人聯合會進行經濟間諜活動,這是美國首次對外國提出對美企業進行網絡犯罪的刑事指控。美國司法部長埃里克·霍爾德稱:世界許多國家互相彼此刺探情報, 但是,美國「斷然譴責」中國人民解放軍駐上海某單位的經濟間諜活動,這些間諜活動向中國公司提供了「重要」資訊。作為回應,中國政府拒絕接受美國提出的刑事指控,中國外交部稱指控純屬無中生有、極其荒唐,並對美國大使鮑卡斯提出「嚴正抗議」[40]

2014年10月15日,美國聯邦調查局警告美國企業,表示一個比「中國人民解放軍61398部隊」更敏捷、更秘密的中國黑客團體「公理隊」(Axiom),在中國政府的支援下,對美國政府機構與企業從事至少四年的進階持續性滲透攻擊,以竊取重要機密[41]。美國官員私下表示,「公理隊」活動的重要程度不亞於61398部隊[42]

中國國內媒體

中國國防科技網發表一篇署名「上海國際問題研究院資訊研究所助理研究員」的文章質疑,所謂的報告本身除去附錄正文約60頁,其羅列的證據僅是一張中國電信的施工單掃描件和從Google上搜尋到的資訊,而後面提及的網絡攻擊,羅列的一些IP位址只是位於上海市浦東新區的IP位址,並無指明與該軍方大樓有直接關聯。且即使是證實那些電腦發起網絡攻擊,也無法確實其是原發還是「殭屍電腦」(即被黑客用作跳板的受控電腦)。其羅列的攻擊對象本身,也不是美國或其它國家的國防機構而只是公司,看起來不像是軍事行為。整份報告使用大量吸引眼球的手段,包括使用大圖顯示解放軍的軍徽,實際上是為了對公司本身的知名度作出的宣傳[14]

美國媒體

有媒體認為,美國政府及電腦安全產業關注並擔心的是,近期來自該上海基地的襲擊目標,主要針對「能夠操縱美國重要基礎設施的公司」,例如美國的電網、天然氣、水資源系統;加拿大的石油輸油管也遭攻擊。報告認為「中華人民共和國政府完全知道他們的活動。」並指出「現在該是時候——指明網絡威脅來自北京的時候了。」除了麥迪安報告之外,尚有許多其他網絡安全專家表示,該組織實際曾發起過數千起的黑客襲擊,最早可追溯到2006年[12]

美國《紐約時報》2013年報道稱:總參三部下設多個局。其中二局(番號61398)負責英語目標,在上海浦東高橋鎮有一幢12層高的樓房用於辦公,是中華人民共和國的一支進行網絡活動的部隊[43][44]

華爾街日報》2011年8月報導,中國中央電視台軍事·農業頻道軍事節目一段10秒片段洩露了解放軍方系統性的攻擊海外及美國網站的最高軍事秘密,牴觸了中國政府「從未在海外從事任何形式的黑客活動」的說法[45][46]

國際先驅討論區報》報導,這個部隊原已受到西方網絡安全公司、情報部門關注。早在2006年,代號「驟雨計劃」(Titan Rain)的大規模網絡攻擊針對美國國防部和美國國會盜取數據,被美國國防部和英國軍情六處確認是來自這個黑客群後,中西方網絡戰愈演愈烈。自2011年以來,源自該部隊基地的黑客攻擊數量猛增。《紐約時報》認為,美國處於一種與中國的不對稱的網絡戰爭中,並引述一名美國國防部資深官員的說法:美國在冷戰時期的注意力都集中在莫斯科周圍的核指揮中心,現在美國擔心的是這所上海電腦中心[6]。美國中央情報局前局長海登英語Michael Hayden (general)表示,美國企業現在面臨「一整個國家」的攻擊,「是史無前例……而我們還沒找到解決方案。」[38]

參考文獻

外部連結

參見

Wikiwand in your browser!

Seamless Wikipedia browsing. On steroids.

Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.

Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.