繼去年解放軍第一支駭客部隊(番號61398)曝光後,美國網路公司日前又有證據顯示,位於上海市中心的閘北區北部另有一支駭客部隊(番號61486),他們的攻擊目標是歐洲、美國和日本的政府部門、防務承包商,以及航太和衛星產業的研究機構,進行有系統的網路侵入長達7年,並與61398部隊有協作關係。由於他們侵入的對象經常是高爾夫球會會員,美方公司稱其為「推杆熊貓」(Putter Panda)。
披露內情的是美國加州的網路安全公司Crowdstrike,由安全軟體公司邁克菲(McAfee)的2名前高級主管創立,專門從事「電腦偵破」調查工作,找出駭客的身分及其使用手法。該公司根據對6名現任和前任美國官員的採訪,經美國國家安全局(NSA)及其合作夥伴認定,這些駭客屬於解放軍61486部隊。
據《紐約時報》10日報導,美國司法部5月指控5名中國軍人對美國企業實施網路攻擊。幾周後,Crowdstrike公司9日發布一份最新報告,進一步說明中國駭客竊取商業和軍事機密的野心。
受訪官員指出,NSA及其合作夥伴目前正在對中國的20多個駭客團體進行追蹤,超過一半是解放軍單位。他們侵入公共部門和私營部門機構,包括「衛星、無人機、核武器部件製造商,以及科技和能源企業,也有研究機構。」Crowdstrike的聯合創始人喬治‧庫茨(George Kurtz)表示,「看看我們在中國追蹤的所有團體就知道,上次的指控只是冰山一角。」
據Crowdstrike調查顯示,為攻擊受害者,這些駭客將專門定制的惡意軟體,偽裝成含有PDF附件的電子郵件,包括寄發航空航太和衛星產業展會的邀請函與招聘資訊等。在1個案例中,電子郵件附帶的是瑜伽館的宣傳冊,讓人容易上鉤。惡意程式侵入後,先查看受害者連接到的其他設備和網路,最終盜取商業秘密,以及衛星及航空航太技術的設計方案。
據報導,61486部隊駭客採取一些隱藏措施,如通過被攻破的外國網站實施攻擊。但他們有時留下關於自己身分和攻擊地點的數位痕跡。攻擊者有時疏忽,使用註冊個人博客或社交網路帳號時的電子郵寄地址,在1個案例中,美方公司查到註冊郵箱屬於1個曾就讀上海交通大學資訊工程學院的人,而外界早就懷疑這所知名大學是政府招募駭客的一個基地。由於與客戶簽訂保密協定,Crowdstrike在報告中沒有指明攻擊目標是哪些公司。
在一次行動中,駭客實施攻擊時還使用與61398部隊成員一樣的IP位址。Crowdstrike的威脅情報總監亞當‧邁爾斯(Adam Meyers)認為,使用這個位址同時發動攻擊的現象表明,61398部隊和61486部隊很可能在進行合作。他在評價航太和衛星產業的客戶遭到61486部隊攻擊的證據時說,「我們發現了槍支、子彈和屍體。」
