Mandiant报告：揭秘一支中国网络间谍部队

中国人民解放军61398部队据称是中国人民解放军下属的一支网络部队，长期受到西方情报部门及网络安全公司关注，被报道为从事相关黑客活动的“中国网络战的总部”。^[1]而中国国防部则否认支持过任何黑客活动^[2][3]。

2013年2月美国麦迪安网络安全公司发布的报告，总结141个主要黑客攻击的反跟踪分析，认为中国人民解放军61398部队和多次从事进阶持续性渗透攻击（英语：Advanced Persistent Threat，缩写APT）的黑客袭击有密切关连，并披露其实际地理位置是中国解放军驻扎在上海的一座塔楼^[2]，隶属于解放军总参谋部三部二局^[4][5][6]。

有中国官方的媒体认为，麦迪安公司的报告仅为其用作炒作公司知名度

部队位置

美国麦迪安网络安全公司的报告指出，61398部队实际地理位置是位于上海市北方郊区浦东新区高桥镇大同路一栋12层大楼，建于2007年初，外有围墙，院内的中心建筑占地约13万平方英尺，高12层；此建物因此受到西方媒体的关注及探访，如《每日电讯报》报道该大楼有解放军哨兵看守、有中英文写着“军事禁区，不许拍照”的字样，外面围墙并有“忠于党、热爱人民，献身国防事业”标语；BBC记者试图拍摄大楼时受阻止，且被要求删除已拍摄录像。^[1][1][2]

部队编制

另见：中国人民解放军总参谋部技术侦察部

《纽约时报》以“影子部队”称之，因为在解放军的官方编制中找不到它。^[5]

但是一篇2007年4月的报道，提及一支名为61398的部队^[8]。《解放军报》2012年曾报道称，解放军方组建了专门对付网络攻击的“网络蓝军”，不过解放军方同时表示，这支部队并非网络黑客，而是为了提高军队自身的防护水平^[9]。

麦迪安网络安全公司报告

2013年2月，美国麦迪安网络安全公司根据7年追踪的记录证据做出总结报告，指控中华人民共和国解放军是美国发生的一系列高层黑客攻击的幕后操纵者，由于该黑客集团从事的是网络安全中所谓的进阶持续性渗透攻击（英语：Advanced Persistent Threat，缩写APT）中“最多产的团体”，将此团体命名为APT1，并推测61398部队极可能是此团体。

报告指称，自2006年以来，61398部队极可能盗取了美国150家公司机构的大量信息，并试图操控美国的关键基础设施，而且研究发现，中国共产党为解放军设定了重要任务——在全球进行网络间谍活动和盗取信息，Mandiant公司仍持续追踪已知超过20个同样来自中国的APT黑客集团，61398部队仅为其中之一^[10][11]。

美国麦迪安网络安全公司发布的报告认为此中国人民解放军“61398部队”最有可能是策动黑客袭击的后台^[2]，隶属于解放军总参谋部三部二局 Mandiant报告描述的黑客活动结论，提及美国政府情报人员证实“美方已对‘61398部队’的行为做了多年的跟踪和研究”，其内容以知识产权和美国基础建设为对象^[12][5][6]。

根据Mandiant报告，该部队技术娴熟，有一套明确攻击方法，黑客对像横跨20个工业行业、近150企业及组机（其中87%总部都设在英语国家，主要在美国，两起受害者位于台湾），目标窃取大量宝贵知识产权信息。在成功入侵后，获取访问通道，部队会在数月、数年内定期访问受害者以持续窃取各种信息。七年中被监测到针对近150家公司组织的攻击企图，遭窃数据达数十万GB，内容“包括技术蓝图、专有的制造工艺流程、测试结果、商业计划、定价文件、合作协议、电子邮件、联系人列表。”美国电脑分析专家调查100多次攻击过程发现，所有线索都指向位于上海的该座12层大楼^[6]。

关于Mandiant报告的确证性，一些网络间谍专家指出，从Mandiant目前提供的证据看，距离证实“中国军方61398部队从事了该公司所说的那些网络间谍活动”仍有一小步距离，虽然有许多网络间谍活动令人不可思议地碰巧都源自那幢大楼所在的区域^[13]。

媒体评论

有媒体认为，美国政府及电脑安全产业关注并担心的是，近期来自该上海基地的袭击目标，主要针对“能够操纵美国重要基础设施的公司”，例如美国的电网、天然气、水资源系统；加拿大的石油输油管也遭攻击。报告认为“中华人民共和国政府完全知道他们的活动。”并指出“现在该是时候——指明网络威胁来自北京的时候了。”除了Mandiant报告之外，尚有许多其他网络安全专家表示，该组织实际曾发起过数千起的黑客袭击，最早可追溯到2006年^[5]。

《华尔街日报》2011年8月曾报道，中国中央电视台军事节目一段10秒视频泄露了解放军方系统性的攻击海外及美国网站的最高军事秘密^[14]。当该报道采用有法轮功背景的相关报道，并未对所报道的内容及证据做出考证。

《国际先驱论坛报》报道，这个部队原已受到西方网络安全公司、情报部门关注。早在2006年，针对美国国防部和美国国会盗取数据的代号“骤雨”（Titan Rain）大规模网络攻击，被美国国防部和英国军情6处确认是来自这个黑客群后，中西方网络战愈演愈烈。自2011年以来，源自该部队基地的黑客攻击数量猛增。《纽约时报》认为，美国处于一种与中国的不对称的网络战争中，并引述一名美国国防部资深官员的说法：美国在冷战时期的注意力都集中在莫斯科周围的核指挥中心，现在美国担心的是这所上海电脑中心^[1]。美国中央情报局前局长海登表示，美国企业现在面临“一整个国家”的攻击，“是史无前例……而我们还没找到解决方案。”^[15]

中国政府的反应

中国外交部回应外国称，该报告的指控只是基于一些最基本的数据，而毫无证据力，对于黑客攻击记录进行无端猜测和指责，无助于解决该问题^[2]。

中华人民共和国国防部并未对“61398部队的存在与否”作出澄清，而是宣称“中国法律禁止黑客攻击等行为”、“中国军队从未支持过任何黑客行为”，并指责美国麦迪安安全公司缺乏技术及法律依据。国防部称“仅凭IP地址的通联关系就得出攻击源来自中国”的结论“缺乏技术依据”，并称通过盗用IP地址进行黑客攻击是网上常见的做法。 发言人耿雁生还表示，中国是网络攻击的主要受害国之一，解放军互联网用户终端遭受大量境外攻击，根据IP地址显示有相当数量攻击源来自美国，但解放军并未以此为由指责美方^[3]。

美国政府的反应

在《纽约时报》的报道发表后，美国白宫发言人表示，由于Mandiant的报道是一份非正式报告，所以对于报告不予置评，不过同时也表示，对中国政府表达最高级别的网络安全威胁的关切。^[16]美国众议院情报主席罗杰斯则表示，中国方面的黑客袭击没有任何停止迹像，如果美国不做任何表示，只会加速来自中国的黑客袭击^[5]。

2013年，2月21日美国政府发布141页的《降低经贸机密遭窃行政策略报告》，以解决美国政府及企业长年网络遭骇及机密被窃的问题。报告由美国司法部、国防部、商务部及国土安全部等合拟，主要有五个方面的行动，包括（1）由资深外交官向窃盗国家领袖施压、（2）加强企业保护贸易机密的能力、（3）要求执法单位对相关案件加强调查与起诉、（4）检讨与窃取贸易机密相关法规、（5）促进大众了解问题严重性等。文字虽未特别针对中国方面，但司法部长侯德公开表示：“1名中国黑客坐在桌前，就能取走维吉尼亚州1家软件公司的程式码。只要敲几下键盘，1名被解雇或心情不好的国防承包商员工，就能盗走价值数十亿美元的设计、程式或公式。” ^[15]

2014年5月19日，美国司法部对五名中国人民解放军61398部队第3支队的成员——王东（ Wang Dong）、孙凯亮（ Sun Kailiang）、文新宇（Wen Xinyu）、黄振宇（Huang Zhenyu）和顾春晖（Gu Chunhui）提出起诉，指控他们对美国美铝公司、美国钢铁公司、西屋公司、太阳能世界和阿勒格尼技术公司共五家著名企业以及主要工会组织美国钢铁工人联合会进行经济间谍活动，这是美国首次对外国提出对美企业进行网络犯罪的刑事指控。美国司法部长埃里克·霍尔德称：世界许多国家互相彼此刺探情报， 但是，美国“断然谴责”中国人民解放军驻上海某单位的经济间谍活动，这些间谍活动向中国公司提供了“重要”信息。作为回应，中国政府拒绝接受美国提出的刑事指控，中国外交部称指控纯属无中生有、极其荒唐，并对美国大使鲍卡斯提出“严正抗议”。

中国媒体的回应

由中华人民共和国国家国防科技工业局支持的中国国防科技网发表一篇署名“上海国际问题研究院信息研究所助理研究员”的文章质疑，所谓的报告本身除去附录正文约60页，其罗列的证据仅是一张中国电信的施工单扫描件和从Google上搜索到的信息，而后面提及的网络攻击，罗列的一些IP地址只是位于上海市浦东新区的IP地址，并无指明与该军方大楼有直接关联。且即使是证实那些计算机发起网络攻击，也无法确实其是原发还是“肉鸡”（即被黑客用作跳板的受控计算机）。其罗列的攻击对象本身，也不是美国或其它国家的国防机构而只是公司，看起来不像是军事行为。整份报告使用大量吸引眼球的手段，包括使用大图显示解放军的军徽，实际上是为了对公司本身的知名度作出的宣传。^[7]

 

链接: http://pan.baidu.com/s/1sj0idT7 密码: tgci