中国军方61398部队直接从事对美网络间谍活动的研究报告（图、视频）

中国是正在进行一个网络间谍活动的国家。美国著名网络安全公司Mandiant本周发表一份有关中国军方直接从事对美网络间谍活动的研究报告，北京的网络间谍活动再度成为人们关注的焦点。

网络安全专家们多年来不断猜测，日益富于攻击性和协调性的网络袭击行为来自中国。最近的一次是今年一月对《纽约时报》和《华尔街日报》、《脸书》和其他美国网站的黑客袭击。但是，中国“人民解放军”被美国网络安全公司Mandiant认定直接从事了网络间谍行为，尚属首次。

2月20日一期的《南德意志报》在一篇署名文章中就此写道：据称，61398部队就在这座位于上海浦东的12层白楼内。

“在可在网上浏览到的、以6年调查为基础的一份60页报告中，Mandiant写道，毫无疑问，这个黑客队伍就是61398部队，除非还存在着第二支装备精良的秘密部队，由以中文为母语的人组成，拥有直接进入上海电信基础设施的手段，并还‘直接驻扎在61398部队的大门前’……

“Mandiant是美国国内专长防范黑客袭击技术的少数几家私营安全企业之一。去年，在发现网络被侵入后，《纽约时报》曾委托Mandiant为该报电脑系统提供安全保护。而像Mandiant这样的电脑安全公司向公众披露有关自己工作的细节，并且还是有着政治色彩的披露，这非同寻常。Mandiant在报告前言中强调，……‘现在是到了确认威胁来自中国的时候了。我们愿意为培训安全专家、准备有效应对威胁助一臂之力’。……



“美国政府迄今回避直接指称中国当局或解放军这样的机构要对黑客行为负责。但是，Mandiant报告的公布日期正好是奥巴马总统签署了一份政令之后一星期。根据该政令，作为当事者（黑客行为受害者）的私营能源供应商、互联网公司、和政府机构之间必须改善彼此间的信息交流。美国媒体现在猜测，Mandiant报告的公布有可能加速岐见纷呈的国会批准对中国更为严厉的反网络间谍法。”

61398部队是中国人民解放军的一支网络信息战部队，人员有数千，他们精通英语与电脑编程和网络。其主楼高12层，它要求成员熟练掌握英语语种（四局要求日语，五局是俄语）。中国解放军61398部队是隶属于中国人民解放军总参三部二局，这个军方单位对各行各业"持续"开展了大范围攻击。该公司于2013年2月18日在美国公布的报告指出："61398部队的工作性质是中国的国家机密"。

61398部队在幕后操纵黑客攻击。报告指出，最早可能从2006年开始，该部队从至少141个组织窃取了数百TB数据，这些组织分布于很多行业。报告还称，多数被攻击对象位于美国，少数位于加拿大和英国。涉及的信息包括并购细节以及高级员工的邮件等。

由于Mandiant公司归私人所有，所以公众对它并不熟悉。但它是美国少数几个网络安全企业之一，专业涉及辨别、预防以及追踪黑客袭击。直到发布这份报告为止，该公司还从来没有对黑客点名道姓，也没有直接指出黑客和中国军方及政府的关联。正因为如此，这份报告才引发了特别的关注。

美国Mandiant Corp计算机安全网络公司本周获得超过3000份的极可能是中共军方秘密机构--中国人民解放军61398部队的黑客行为。

Mandiant Corp公司将高级黑客集团称之为“Advanced Persistent Threat”，简称APT。报告说，该公司监测了超过20个来自中国的APT。该公司认为APT1是中国人民解放军61398部队。

该公司报告说，已经获得多项证据，如超过3000份的61398部队标识的数据传输，比如域名、IP地址、恶意攻击软件的MD5加密碎片；61398部队的数字武器弹药库中40多种恶意攻击软件集合（families of malware）的详细说明等；多个61398部队使用的加密证书；显示实际攻击和入侵活动的视频汇编。

报告说，从2011年1月到2013年1月，该公司确认APT的网络黑客扮演者有1，905次使832个不同的远程IP地址进入其攻击设施。与此同时，该公司还确认了2，551个不同的“完全合格域名”来自61398部队。

报告说，在过去3年中，该公司观察到中国人民解放军61398部队使用多个“完全合格域名”被转换到988个不同的特殊IP地址上。

报告还说，APT1掌控全球广泛的设施和计算机系统。他们控制数千个这样的系统以支持其网络入侵，在过去两年中，该公司发现APT1在全球13个国家,以849个不同的IP地址为宿主建立至少937个命令和控制(C2)服务器。这849个独特的IP地址中，有709个在中国，109个在美国。
报告说，自2006年以来，中共军方的秘密机构--61398部队极可能盗取了美国150家公司和机构的大量信息。

美国认定位于上海浦东新区的解放军61398部队是中国对美国实施网络间谍活动的主要机构，美英媒体对该部队的情况进行了介绍；美报说中国黑客因绕过中国“防火长城”登陆Facebook而暴露了自己的行踪。

英国《卫报》2月19日的报道说，61398部队的驻地在上海浦东新区，那里是中国的金融和银行业中心，该部队可能有数千名精通英语、电脑编程以及网络操作的人员。

报道援引网络安全公司CrowdStrike的首席技术长Dmitri Alperovitch的话说，中国人民解放军在中国涉及多个方面的安全战略中扮演着重要角色，所以解放军帮助中国从事经济方面的网络间谍活动也是合乎情理的。

澳大利亚《悉尼先驱晨报》2月20日转载美国《纽约时报》的报道说，在上海郊区一个破旧的街区，一桩12层的白色办公楼显得很扎眼，那里就是中国人民解放军网络间谍部门61398部队的基地，美国企业、机构和政府部门遭受的网络攻击无疑有相当大一部分来自这座白色的塔楼。报道说，虽然美国的网络安全公司Mandiant无法将对美国实施网络攻击的黑客锁定在这幢白色建筑里， 但该公司说，除了认定这座建筑里的人对美国实施了网络间谍活动外，人们无法解释为何在这幢建筑周围如此小的区域内会出现如此多针对美国的黑客行为。

报道援引美国官员的话说，美国既出于外交方面的考虑，同时也想更多了解61398部队的活动，因此直到现在才公开自己所掌握的该部队从事网络间谍活动的线索。

中国实施网络间谍活动的黑客为了翻越政府设置的“防火长城”登陆自己在Facebook 和Twitter等境外社交网站的账户，他们也需使用虚拟专用网络(VPN)，安全的做法是先退出他们用以实施网络间谍活动的服务器，然后再进入那些得以使他们登陆Facebook 和Twitte账户的VPN，但中国一些黑客偷懒，他们直接就从自己实施网络间谍活动的服务器登陆自己的Facebook 和Twitte账户，从而被网络安全公司掌握了其行踪。

报道援引媒体人士Brian Fung的话说，颇具讽刺意味的是，那些平日上网时喜欢走捷径的人常常因此而使他们的大门对黑客洞开，而中国的黑客反过来也因为走捷径而使自己落入同样的陷阱，被网络安全公司掌握了行踪。

61398部队就是总参三部二局，全称“总参谋部技术侦察部第二局”。 61398部队的上级、总参三部确是一个非常神秘的部门。据海峡两岸的媒体表示，总参三部的总部设在北京，于上海、青岛、珠海、哈尔滨、成都等地驻有机构，职能是负责“信号情报”，工作估计包括监听电子通讯、分析卫星情报、破解密码等，编制估计上万人。

报导说，1990年代中爆发台海危机，中共军队以“M族”导弹在台湾周边试射演习，当时总参三部据称亦有参与其中，收集情报。总参三部与解放军信息工程大学直接挂钩，其大学大部份军校学员毕业生直接到总参三部工作。总参三部也会在全国大学招聘电脑专业、数学专业研究生，其中二局要求成员熟练掌握英语，其他局则要求成员掌握日语、韩语、俄语、西班牙语等。

在浙江大学的计算机与技术科学学院的“招生页面”，可以看到词条：“中国人民解放军61398部队招收定向研究生的通知”。该通知说：“接研究生院通知，中国人民解放军61398部队（地点在上海浦东）拟招收2003级计算机专业硕士研究生为定向生，对签定协议的学生将提供5,000元/学年的国防奖学金，学生毕业后定向到部队工作。”

总参三部隶属于总参谋部，正军级单位，是负责搜集海外军事情报的官方机构。它与国家安全部、总参谋部情报部等，共同构成了中共的情报网络。总参三部下设多个局， 其中二局（番号61398）负责英语目标。 它在上海浦东有一幢12层高的楼房用于办公。

不过，在官方对中国军队的描述中，几乎找不到它的存在。但研究该组织的情报分析人士表示，它是中国计算机间谍活动的重要组成部份。

《纽约时报》报导，2011年，弗吉尼亚州研究亚洲安全和政策问题的非政府组织2049项目研究所(Project 2049 Institute)称，该部队是“以美国和加拿大为目标的重要实体，最可能关注有关政治、经济和军事的情报”。

尽管奥巴马政府从未公开论及这支中共部队的行为，但国务院（State Department）的一份秘密电报详细描述了美国对该组织向政府网站发起攻击的担忧，这份电报是在奥巴马2008年11月当选为总统的前一天写的。（当时，美国的情报机构将该部队命名为“拜占庭式的坦率”，在电报被维基解密[WikiLeaks]公开后，这个暗语随之被停用。）

该电报称，美国国防部（Defense Department）和国务院是该部队的特定目标，电报描述了该组织的入侵者如何通过电子邮件，发起所谓的“鱼叉式捕鱼”攻击，一旦收件人点击邮件，这些邮件便会将恶意软件安装在目标计算机上。通过这些计算机，它们潜入了多个内部系统。
美国官员称，出于一些外交上的考虑，以及对跟踪该部队的期待，政府从未公开这个问题。但Mandiant的报告正迫使这个问题进入公众视野。

近年美国遭受的网络黑客攻击多与中国军方有关。该公司历时6年追踪141家遭受攻击企业的数字线索，证实实施攻击的黑客组织隶属于“总部设于上海浦东一栋12层建筑内的中国人民解放军61398部队”。“在上海浦东一个老社区内，在遍布餐馆、按摩房和酒店的大同路边，一栋白色的12层楼，就是解放军61398部队的总部所在地。”

Mandiant公司称从2006年开始追踪分析141家遭受攻击企业的数字资料，“多是美国企业，也有少数加拿大和英国企业”，发现攻击者“通过在网站嵌入隐藏码或发表评论的方式，植入恶意插件、篡改网络协议地址，工具和手段每次差不多”，6年多来从上述141家企业窃取了万亿兆数据。
美国总统奥巴马政府官员早些时候曾表示，美国将在未来数周告知中国新领导人来自中国黑客袭击的惊人数量及手段的高明，它已经危及到中美两国的根本关系。

走近61398部队的BBC记者遭短暂扣留
华盛顿 — 英国广播公司(BBC)的驻华记者约翰•苏德沃斯(John Sudworth)日前试图到美国麦迪安公司星期二(二月19日)出台的报告中所说的位于上海的中国人民解放军第61398部队驻地附近拍照，但是很快遭到制止。苏德沃斯说，他们一行在门口被穿着军装的岗哨叫停，并被带到里面， 被短暂扣留在那里。苏德沃斯说，中方坚持他们把拍摄的录像带交出来，否则不允许他们离开。不过，苏德沃斯表示，路透社记者趁机拍下了一些画面。这位记者还说，那栋大楼看上去非常“不起眼”，从外表上，一点不像是迄今为止所展开的规模最大的网络袭击战的神经中枢；“正像是麦迪安公司在报告中说的那样”。