繼去年解放軍第一支駭客部隊(番號61398)曝光後,美國網路公司日前又有證據顯示,位於上海市中心的閘北區北部另有一支駭客部隊(番號61486),他們的攻擊目標是歐洲、美國和日本的政府部門、防務承包商,以及航太和衛星產業的研究機構,進行有系統的網路侵入長達7年,並與61398部隊有協作關係。由於他們侵入的對象經常是高爾夫球會會員,美方公司稱其為「推杆熊貓」(Putter Panda)。
披露內情的是美國加州的網路安全公司Crowdstrike,由安全軟體公司邁克菲(McAfee)的2名前高級主管創立,專門從事「電腦偵破」調查工作,找出駭客的身分及其使用手法。該公司根據對6名現任和前任美國官員的採訪,經美國國家安全局(NSA)及其合作夥伴認定,這些駭客屬於解放軍61486部隊。
據《紐約時報》10日報導,美國司法部5月指控5名中國軍人對美國企業實施網路攻擊。幾周後,Crowdstrike公司9日發布一份最新報告,進一步說明中國駭客竊取商業和軍事機密的野心。
受訪官員指出,NSA及其合作夥伴目前正在對中國的20多個駭客團體進行追蹤,超過一半是解放軍單位。他們侵入公共部門和私營部門機構,包括「衛星、無人機、核武器部件製造商,以及科技和能源企業,也有研究機構。」Crowdstrike的聯合創始人喬治‧庫茨(George Kurtz)表示,「看看我們在中國追蹤的所有團體就知道,上次的指控只是冰山一角。」
據Crowdstrike調查顯示,為攻擊受害者,這些駭客將專門定制的惡意軟體,偽裝成含有PDF附件的電子郵件,包括寄發航空航太和衛星產業展會的邀請函與招聘資訊等。在1個案例中,電子郵件附帶的是瑜伽館的宣傳冊,讓人容易上鉤。惡意程式侵入後,先查看受害者連接到的其他設備和網路,最終盜取商業秘密,以及衛星及航空航太技術的設計方案。
據報導,61486部隊駭客採取一些隱藏措施,如通過被攻破的外國網站實施攻擊。但他們有時留下關於自己身分和攻擊地點的數位痕跡。攻擊者有時疏忽,使用註冊個人博客或社交網路帳號時的電子郵寄地址,在1個案例中,美方公司查到註冊郵箱屬於1個曾就讀上海交通大學資訊工程學院的人,而外界早就懷疑這所知名大學是政府招募駭客的一個基地。由於與客戶簽訂保密協定,Crowdstrike在報告中沒有指明攻擊目標是哪些公司。
在一次行動中,駭客實施攻擊時還使用與61398部隊成員一樣的IP位址。Crowdstrike的威脅情報總監亞當‧邁爾斯(Adam Meyers)認為,使用這個位址同時發動攻擊的現象表明,61398部隊和61486部隊很可能在進行合作。他在評價航太和衛星產業的客戶遭到61486部隊攻擊的證據時說,「我們發現了槍支、子彈和屍體。」
《紐約時報》還走訪位於上海市中心閘北區北部的部隊駐地,外圍標示「軍事禁地」,大樓入口有士兵把守,周圍高牆裝有鐵絲網,還有護城河,以及遮掩軍事衛星天線的樹木。從附近的高處建築觀看,大樓裡都是軍事人員,掛滿軍隊愛國口號。美國防務機構「2049專案研究所」的軍事分析師懷疑,61486部隊為中國的太空監控網路提供支援,並與官方資助的北京遙感資訊研究所保持密切聯繫。
美國電腦安全公司Mandiant,2013年2月披露解放軍第一支61398駭客部隊,位於上海浦東新區高橋鎮大同路的1棟12層大樓。該部隊從2006年起侵入美國企業,包括軍方承包商到化工廠、礦業公司和衛星與電信企業。《紐約時報》稱,侵入目的不僅為竊取情報,還包括獲取操縱美國關鍵基礎設施,如電網與其他公用事業設施的能力。
美國司法部2014年5月指控包括61398部隊的5名軍方成員,並首次指出一些受害者,包括美國鋁業公司(Alcoa)、西屋電氣(Westinghouse Electric)和美國鋼鐵公司(United States Steel Corporation)等。
「這個問題會得到更多重視,」庫茨說,「中國沒有放緩攻擊步伐。他們仍然在奮力前行。」
