PLA 駭客部隊：61398+61486

第二支解放軍黑客部隊○紐約時報 (2014.06.10)

舊金山——那封電子郵件的附件，看起來彷彿是法國圖盧茲一家瑜伽館的宣傳冊，圖盧茲是歐洲航空航天工業的中心。但是一打開這份文件，黑客就可以繞過受害者的網絡安全防護，竊取嚴格保密的衛星技術。

加利福尼亞歐文網絡安全公司Crowdstrike的研究人員說，這個虛假的瑜伽宣傳冊其實是中國一支秘密部隊用來實施黑客攻擊的狡猾誘餌之一。他們的攻擊目標是歐洲、美國和日本的政府部門、防務承包商，以及航天和衛星產業的研究機構的網絡。這些機構的網絡被系統性地攻破已經有七年時間。

Crowdstrike聯合創始人喬治·庫爾茨。該公司研究人員認為，他們確認了一組中國黑客的身份，這些黑客多年來有組織地侵入世界各國政府機構和企業的網絡。

美國司法部最近指控5名中國軍人對美國企業實施網絡攻擊。僅幾周後，Crowdstrike又於周一發佈了一份新報告，其中提供了更多證據，進一步說明了中國從外國受害者那裡竊取商業秘密和軍事機密的範圍和野心。

《紐約時報》能夠獨立證實這份報告的部分內容。該報告認為，數十家公共和私營行業機構所受到的攻擊，與上海的一群黑客有關。因為這些黑客的攻擊目標常常是高爾夫球會的參會人員，所以他們被Crowdstrike稱作「推桿熊貓」 (Putter Panda)。根據對六名現任和前任美國官員的採訪，美國國家安全局（National Security Agency，簡稱NSA）及其合作夥伴認定這些黑客屬於61486部隊。

這些官員稱，NSA及其合作夥伴目前正在對中國的20多個黑客團體進行追蹤，其中超過一半都隸屬於中國人民解放軍。他們會攻入公共部門和私營部門的機構，其中包括衛星、無人機、核武器部件製造商，包括科技和能源企業，也包括研究機構。

研究人員稱，61486部隊有時會與61398部隊成員分享計算資源並進行交流。後者也屬於解放軍，其成員是上個月的指控關注的焦點。

Crowdstrike的聯合創始人喬治·庫爾茨 (George Kurtz) 說，「看看我們在中國追蹤的所有團體就知道，上次的指控只是冰山一角。」

此次報告中揭露的攻擊事件是首次公之於眾，攻擊至今仍在持續。與此同時，美中兩國之間就網絡間諜活動而產生的衝突也在不斷加劇。

數年來，網絡間諜活動使兩國關係越來越緊張。但是去年，當美國網絡安全公司Mandiant確認外國公司所受到的數以千計的攻擊都來自61398部隊時，雙方的矛盾變得更加尖銳。司法部上個月在指控中提到了這支部隊的5名成員，而且首次指出了一些受害者。其中包括美國鋁業公司 (Alcoa)、西屋電氣 (Westinghouse Electric) 和美國鋼鐵公司 (United States Steel Corporation)。

作為回應，中國官方譴責了美國的控告，並否認了這些指控。中方援引最近披露的消息表示，美國也在從事網絡間諜活動；中國還宣布了一系列報復措施，比如要對美國科技企業施行新的審查程序，這些舉動都增強了雙方展開貿易戰的可能性。

事實證明，控告61398部隊成員的決定產生了爭議，即使在奧巴馬政府內部也是如此。幾乎可以肯定，這些士兵根本不會踏進美國的法庭。而美國官員也擔心，這樣做會使與中國交涉行為準則變得更加困難。

這個新曝光的部隊也面臨著同樣的問題。這個部隊的行動，與此前有成員被起訴的部隊一樣，對美國的基礎設施也構成了巨大威脅。

Crowdstrike的調查顯示，61486部隊成員採取了一些措施來隱藏他們的來源，例如通過被攻破的外國網站來實施攻擊。但是他們卻留下了關於自身身份和地點的數碼痕迹。由於Crowdstrike與客戶簽訂了保密協議，所以報告沒有指明攻擊目標是哪些公司。

調查人員表示，黑客所使用的工具是在以中國時區計算的工作時間內研發的。而且網絡記錄顯示，在一次行動中，黑客在實施攻擊時還使用了與61398部隊成員一樣的IP地址。Crowdstrike的威脅情報總監亞當·邁耶斯(Adam Meyers)說，使用這個地址同時發動攻擊的現象表明，61398部隊和61486部隊很可能在進行合作。

CrowdStrike由安全軟件公司邁克菲 (McAfee) 的兩名前高管創立，屬於新一代的電腦安全公司，專門從事被稱為「計算機偵破」的調查工作。

該公司並不回應黑客的攻擊行動，而是設法探究黑客的身份及他們使用的手法。該公司還經常受雇調查黑客是如何侵入網絡的，並研究該如何防範再次被黑客侵入。該公司去年發佈了多份關於全球黑客行動的報告。

該公司的調查顯示，為了攻擊受害者，這些黑客將專門定製的惡意軟件偽裝成了含有PDF附件的電子郵件，其中包括航空航天和衛星產業展會的邀請函，招聘信息，在一個案例中，郵件里附帶的是圖盧茲一家瑜伽館的宣傳冊。

一旦受害者點擊了誘餌文件，就會無意間將惡意程序下載到電腦里，進而攻擊者打開通路，使他們得以進入受害者的網絡，查看受害者連接到的其他設備和網絡，並最終盜取商業秘密，以及衛星及航空航天技術的設計方案。

Crowdstrike的研究人員表示，該公司數十家航天和衛星產業的客戶受到了攻擊。他們在調查這些客戶受到的攻擊時，最終追溯到了這一黑客團體。研究人員表示，受害企業可能有數百家，乃至數千家。

研究人員表示，攻擊者有時候會疏忽，在註冊攻擊中用到的網站時，使用了註冊個人博客或社交網絡帳號時的電子郵件地址。在一次攻擊時，攻擊者利用一個網絡域名啟動了遠程訪問工具 (RAT)，而該域名的註冊郵箱屬於一個曾就讀於上海交通大學信息工程學院的人。外界很早就懷疑這所中國名牌大學是政府招募黑客一個基地。

上海交通大學的代表沒有回復要求置評的多份傳真。

在另一個案例中，與攻擊中用到的域名相關的網絡記錄中，反覆出現一個郵箱地址。某人利用該郵箱在中國門戶網站新浪網註冊了個人博客，這名35歲的註冊人標明自己的職業是軍人。這名軍人沒有答覆置評請求，但Crowdstrike的研究人員在安全論壇上發現了他與兩個假名分別為ClassicWind和Linxder的黑客之間的對話，後兩人已被證實系61398部隊成員。

這名35歲的軍人在自己的Picasa相冊裡，展示了參加軍事訓練、與身穿軍裝的朋友慶祝生日，以及宿舍的照片。宿舍照片背景中的解放軍軍帽非常顯眼。在名為「辦公室」的相冊中，有幾幅照片顯示了上海的一棟白色大樓，四周都是衛星天線和宿舍式的住宅。Crowdstrike的研究人員認為，這是61486部隊的駐地。

《紐約時報》走訪了該部隊的駐地，位置在上海市中心的閘北區北部。標記顯示這裡是「軍事禁區」。大樓入口處有士兵把守，周圍的高牆上裝有鐵絲網，還有一條護城河，以及遮掩軍事衛星天線的樹木。從附近的地標建築觀看時，發現大樓裡都是軍事人員，掛滿了軍隊愛國口號。

弗吉尼亞州阿靈頓的國防研究機構2049項目研究所 (Project 2049 Institute) 的軍事分析師懷疑，61486部隊為中國的太空監控網絡提供支持，並與政府資助的機構北京遙感信息研究所保持着密切聯繫。該研究所的網站顯示，其任務是研究「遙感信息機理、對地觀測前沿理論」，但並沒有展示任何證據。

Crowdstrike認為該公司的報告提供了最終的證據。邁耶斯在評價航天和衛星產業的客戶遭到61486部隊攻擊的證據時表示，「我們發現了槍支、子彈和屍體。」

「這個問題會得到更多重視，」Crowdstrike的庫爾茨說。「但中國並沒有放緩攻擊的步伐。他們仍然在奮力前行。」

David E. Sanger自華盛頓對本文有報道貢獻。

翻譯：陳柳、許欣

陸網軍再曝光 北京反批美○中央社 (2014.06.10) http://www.cna.com.tw/news/aopl/201406100383-1.aspx

（中央社舊金山9日綜合外電報導）美國網路安全公司CrowdStrike今天指控中國大陸軍方一個部隊61486，發動廣泛的駭客行動，以精進大陸的衛星與航太計畫。
紐約時報報導，Crowdstrike確認大陸第2支網路駭客部隊，番號「61486」。與先前曝光的「61398」類似，針對的是歐美日的政府部門、國防承包商，及航太與衛星產業。
研究人員認為，駭客入侵長達7年，受害企業遍及歐洲、美國與日本，總數可能高達數百家，乃至數千家。
研究人員稱，61486有時會與61398成員分享電腦資源並進行交流。至少一次的駭客攻擊紀錄顯示，入侵者使用與61398同樣的IP位址。
CrowdStrike指出，名為「陳平」（Chen Ping，音譯）的人士登記了數個網域名稱，正好是用在部分網攻行動的網域。陳平個人網誌寫的自己是35歲，職業是軍人。
根據CrowdStrike，陳平的電子郵件又可連接到個人檔案、網誌和論壇發文。CrowdStrike在與陳平相關的網路相本中，發現名為「辦公室」的網路相本內有人民解放軍61486部隊上海根據地的相片。
大陸外交部發言人華春瑩在北京例行簡報會上說：「我認為這令人感到好奇與不解，你見過在街上有小偷自己胸前掛著胸牌、說自己是小偷的嗎？老實說，美國這麼做不對。」
她說，美國情報機構前雇員史諾登（Edward Snowden）揭露，美國進行廣泛的網路監控，顯示提到駭客入侵行為，美國無權指責他人。
華春瑩表示：「美國不能假裝是受害者，他們是駭客帝國，這是地球人都知道的一個事實。」
CrowdStrike是由防毒公司邁克菲（McAfee）前資深主管所創立，目前隸屬英特爾（Intel），與美國政府有合約及其他關係。1030610