《中國密報》記者柯宇倩
美國網路安全公司曼迪安(Mandiant)2月19日發佈的一份長達70頁的報告,在中美之間的政治、外交舞台上掀起波瀾。在當前國際法並未限制網路間諜(cyber espionage)行為的情況下,專家認為,除了加強立法外,美國公司也應該提升本身的網路安全機制,因為黑客可能來自世界各地,並不只是中國。
中國“黑客基地”位於浦東?
美國網路安全公司曼迪安從2006年開始追蹤遭受網路攻擊的企業,大多為美國公司,另有少數加拿大與英國公司,包括電訊、航空、能源等產業。分析發現了一個被稱為“註釋組”(Comment Crew)或“上海集團”(Shanghai Group)的中國駭客組織,由於這個組織在攻擊時會利用相同的惡意軟件、域名、IP位址、黑客工具,在所攻擊的系統中置入隱藏的“註釋”,因而得名,報告將這些攻擊稱為“APT1”(Advanced Persistent Threat,先進持續性威脅一號)。
根據“註釋組”6年多來進行141次攻擊、竊取萬億兆資料時留下的足跡,曼迪安公司分析出此團體與設於上海浦東新區高橋鎮大同路一棟大樓內的解放軍61398部隊有所關聯;中國黑客組織主要以兩組IP發動攻擊,對兩IP的追查結果,都位在這棟大樓附近。
曼迪安公司稱,雖然沒辦法確定黑客就在這棟大樓內,但若不是這棟樓牽涉其中,無法解釋為何有這麼多攻擊都來自於這一個小範圍。根據報告的分析,90%的攻擊都指向61398部隊司令部的周圍地帶。而這個黑客部隊,就是“人民解放軍總參謀部技術偵察部第二局”,簡稱總參三部二局。
報告表示,總參三部二局可能有數千人,專門吸收精通英語的黑客,這些人能流利地以英語撰寫惡意電腦程式或電子郵件,發起“魚叉式網路釣魚”(spear-phishing)攻擊。
美國印第安那大學(Indiana University)應用網路安全研究中心專員、亞太政策協會專員、法律教授菲德勒(David P. Fidler)在接受《中國密報》採訪時解釋,這些黑客可能來自政府機構、軍方,甚至國際犯罪組織。黑客侵入系統的方式有很多,“魚叉式網路釣魚”是較常見到的攻擊方式,黑客會寄出電子郵件,此郵件看起來可能很正式,或甚至來自公司組織裡某一個人的郵箱。
當
收件人按下信件中的連結或附加檔案時,這些含有惡意軟體的連結或檔案就會啟動,讓寄件人能夠進入收件人的電腦系統裡。菲德勒表示,要取得電子郵箱網址並不
是太困難的事,許多電子郵箱在網路上就能查到,例如機構、學校、公司網頁通常會列出內部人員的電郵聯繫方式,或可在一些公司會議上、學校演講中,透過與他
人交換名片得知郵箱。
但有時候,想取得一些接觸機密文件人員的郵箱就不是易事,菲德勒對《中國密報》說,這時候“魚叉式網路釣魚”就會登場。
另一些技術則讓黑客不需通過“魚叉式網路釣魚”的方式就能黑進他人電腦,比如透過社群網站。菲德勒舉例,當使用者登錄Facebook,按下某個連結或檔案時,就可能被植入病毒。整體來說,黑客技術不斷推陳出新,可能是為了換取訊息,可能是為了癱瘓運作。
神秘的總參三部二局
曼迪安公司的報告認為,他們所追查出的黑客,是在為解放軍工作,以承包業務的方式為61398 部隊服務。國營的中國電信公司也提供61398 部隊高速光纖電纜使用。這些黑客曾數次繞過中國的網路防火牆,登錄Facebook、Twitter,使得這些人的身分更容易被查出。
曼迪安公司就鎖定了幾名黑客。報告發現,UglyGorilla在2004年1月第一次出現在中國一個軍事論壇中,提出疑問:美國軍方建立了網軍,中國是否有相似的部隊。2007年,UglyGorilla釋放了一連串的惡意軟件。報告相信 UglyGorilla 的真名是Wang Dong。
UglyGorilla與另一名DOTA的黑客都使用同一組能追查到61398部隊大樓附近的IP,DOTA還頻繁使用一個根據這個部隊番號設置的密碼。
根據《紐約時報》記者的實地走訪,解放軍61398部隊的司令部位在一棟12層樓的白色辦公樓內,而辦公樓則在上海大同路上一片破敗的街區中,周圍環繞着餐廳、按摩店、葡萄酒進口商。
報導指出,越來越多由美國情報官員證實的證據顯示,針對美國公司、組織,以及政府部門的黑客攻擊,很大一部分來自這棟白色建築及周邊地區。
《紐約時報》稱,解放軍總參三部二局在官方對中國軍隊的描述中,幾乎找不到相關資料,2011年,弗吉尼亞州研究亞洲安全和政策問題的非政府組織2049項目研究所(Project 2049Institute)稱,該部隊是“以美國和加拿大為目標的重要實體,最可能關注有關政治、經濟和軍事的情報”。
美國國務院2008年11月的一份秘密電報,也稱美國國防部和國務院是61398部隊的特定目標,電報解釋了該組織的入侵者如何通過電子郵件,發起“魚叉式網路釣魚”攻擊,透過這種入侵方式,此部隊潛入了許多系統中。
美國調查人員最為擔憂的是,近來據信來自61398部隊的一系列攻擊,不僅僅是為了竊取情報,目的還包括獲取操縱美國關鍵基礎設施,包括電網和其他公用事業設施的能力。
相較於中國網軍的神秘,美國網軍顯得大張旗鼓許多。研究網路安全、國際關係、商業法的美國印第安那大學(Indiana University)凱利商學院助理教授薛克佛特(Scott Shackelford)在接受《中國密報》採訪時表示,目前外界對解放軍 61398 部隊的瞭解不多,相較之下,美國網軍司令部(United States Cyber Command,U.S. CYBERCOM)擴大規模的情況就受到廣泛的宣傳。
美國網軍司令部屬於美國軍方,隸屬於美國戰略司令部(United States Strategic Command),2009年6月23日成立,2010年5月21日開始運作,共由陸軍網戰司令部、海軍網戰司令部、空軍第24空軍、海軍陸戰隊網絡空間司令部聯合組成,目前由亞歷山大(Keith B. Alexander)將軍領導。
美國網軍司令部總部位於美國馬里蘭州米德堡陸軍基地(Fort Meade),負責保護軍方的網路系統、組織現有的網路資源、執行網路空間的行動指令。
2012年12月,美國國防部長帕內塔(Leon Panetta)表示,美國的網路安全需要更多的資金與人力。《華盛頓郵報》2013年2月報導,五角大廈預計在未來五年擴張網軍司令部,讓人員從目前的900人增加至4900人,其中有20%將是具備熟練分析與制訂反制策略技能的文職人員。
“互
聯網的開放和相互關連性,對任何想在網路空間裡迅速擴大軍事利益、倡議、影響力的國家來說,在政策上都會是一個非常大的挑戰。美國軍隊在網路空間裡的更強
勢動作,會促使其他國家也採取類似的動作,使得集體軍事行動在網路空間蔓延,最終可能威脅到奧巴馬政府倡導的互聯網自由議題。”菲德勒說。
美國網路安全公司曼迪安。