美国人是怎么发现解放军神秘的网络战部队——总参三部二局(61398部队）



原文链接地址：http://www.qshare.cn/?p=881

一：事件起因

多家西方媒体2013年2月19日引述美国网络安全公司Mandiant拟于美国时间周二发表的一份60页报告称，在遍布餐馆、按摩房和酒店的大同路边，一栋白色的12层楼，就是解放军61398部队的总部所在地。“ 《纽约时报》报道称，61398部队据称是解放军辖下一支网络战部队，美国保安公司Mandiant花了六年时间追踪遭攻击的141间美国机构和企业的数字线索，终追查到攻击来源是来自中国上海浦东一幢12层高建筑物内的解放军61398部队，附近守卫森严，有解放军看守，并有告示列明“军事禁区，不许拍照”。去年报告曝光后，有西方传媒到场采访偷拍即被解放军截停阻止。

“在上海浦东一个老社区内，在遍布餐馆、按摩房和酒店的大同路

  外媒报道中的大楼边，一栋白色的12层楼，就是解放军61398部队的总部所在地。”《纽约时报》19日对Mandiant公司指控的中国军方黑客所在位置做出上述精确描述，该报网站上，甚至刊发了这栋楼的图片。 Mandiant公司自称从2006年开始追踪分析141家遭受攻击企业的数字资料，“多是美国企业，也有少数加拿大和英国企业”，发现攻击者“通过在网站嵌入隐藏码或发表评论的方式，植入恶意插件、篡改网络协议地址，工具和手段每次差不多”，6年多来从上述141家企业窃取了万亿兆数据。

Mandian报告指出，该部队技术娴熟，有一套明确攻击方法，黑客对象横跨20个工业行业，以窃取大量宝贵知识产权信息。在成功入侵后，获取访问通道，部队会在数月、数年内定期访问受害者以持续窃取各种信息。七年中被监测到针对近150家公司组织的攻击企图，遭窃数据达数十万GB，内容“包括技术蓝图、专有的制造工艺流程、测试结果、商业计划、定价文件、合作协议、电子邮件、联系人列表。”美国电脑分析专家调查100多次攻击过程发现，所有线索都指向位于上海的该座12层大楼。

《国际先驱论坛报》报道，这个部队原已受到西方网络安全公司、情报部门关注。早在2006年，针对美国国防部和美国国会盗取数据的代号“骤雨”（Titan Rain）大规模网络攻击，被美国国防部和英国军情6处确认是来自这个黑客群后，中西方网络战愈演愈烈。自2011年以来，源自该部队基地的黑客攻击数量猛增。《泰晤士报》引述一名美国国防部高级官员的说法：美国在冷战时期的注意力都集中在莫斯科周围的核指挥中心。

二： 总参三局和61398介绍

总参三部的前身就是军委三局

总参三部全名为中国人民解放军总参谋部第三部，其职能是负责“信号情报”(技侦)的，即侦听、处理和转送国外电台的通信传播信号。该部据Mark Stokes说，有点类似于美国的国家安全局(NSA)。Desmond Ball称三部又被叫做“技术部”，虽然还没有办法可以证实。 总参三部与解放军信息工程大学直接挂钩，其大学大部分军校学员毕业生直接输往总参三部。其总部设立在上海，在青岛，珠海，哈尔滨，成都等地驻有机构。

研究资料显示，61398部队隶属“总参三部二局”。总参三部，全称“总参谋部技术侦察部”，正军级单位，负责搜集海外军事情报的官方机构，与国家安全部、总参谋部情报部等，共同构成中共情报网络；总部设在北京，于上海、青岛、珠海、哈尔滨、成都等地驻有机构，负责“信号情报”，工作估计包括监听电子通讯、分析卫星情报、破解密码等，编制估计上万人。总参三部曾参与了1990年代台湾海峡导弹危机。总参三部下设多个局，其中二局（番号61398）负责英语目标，其他局成员则需熟悉日语、韩语、俄语、西班牙语等。《纽约时报》曾报道，美国智库机构2049计划研究所(Project 2049 Institute)2011年曾发布报告，指出“总参三部是以美国和加拿大为目标的重要实体，最可能关注有关政治、经济和军事的情报”。^[解放军信息工程大学“军校学员毕业生”大部分赴总参三部服役，总参三部也会向全中国大学招聘电脑专业、数学专业研究生。

提供奖学金从大学选拔

61398部队——总参三部二局，也直接从大学选拔成员，尤其兼具优秀电脑及英语能力的人才。浙江大学计算机科学与技术学院官网的“招生页面”，有一篇2004年文章《中国人民解放军61398部队招收定向研究生的通知》，指出61398部队提供“奖学金”给硕士研究生，主要条件是毕业后进入该部队工作。

三： 被美国起诉的5名中国军官

美国司法部19日在声明中指出，为中国解放军效力，隶属于位于中国东部城市上海的61398部队第3支队成员的孙凯良(Sun Kailiang)、黄镇宇(Huang Zhenyu)、文新宇(Wen Xinyu)、王东(Wang Dong)以及顾春晖 FBI网站上对中国军官的“通缉令”

四 ：美国网络安全公司Mandiant是何方神圣

这家名不见经传的安全公司到底有什么来历？为什么又紧追中国黑客不放？

创始人系特工出身，曾效力于五角大楼

欲知公司来历，先看创始人出身。Mandiant的创始人兼CEO是Kevin Mandia（很明显公司是以他命名的），他于2004年创立了这家公司，目的是帮助企业侦测、快速反应可能存在的网络入侵，这让Mandiant成为了美国第一家以快速反应为核心竞争力的安全公司。Kevin有20年的信息安全从业经历，至今从事企业网络安全应急处置工作已有15年之久。最重要的是，他的职业生涯开端是在美国空军：五角大楼第七通信部计算机安全官员。之后，Kevin又以特工身份加入了美国空军特别调查办公室（AFOSI），担任网络犯罪侦查员。相信在政府的工作经历给了他指责中国黑客的技术实力和勇气。在企业领域，他曾效力于军工巨头洛克希德•马丁以及McAfee。

纽交所上市的网络威胁侦测公司FireEye已经收购Mandiant，收购方式为股票加现金，股票规模超过9亿美元，以及1.065亿现金。

曾经是McAfee首席执行官的沃尔特称，FireEye和Mandiant是新一代网络安全保护企业，现在的保护将替代以前的杀毒软件模式。FireEye可以在“分秒钟”内应对进一步威胁，并进行实时修补。

根据收购研究公司Dealogic的数据，这是近三年来规模最大的网络安全交易。

五：网络部队如何被发现的

   Mandiant花了六年时间追踪遭攻击的141间美国机构和企业的数字线索，最终在报告中，引用了很多资料来证明，攻击来源是来自中国上海浦东一幢12层高建筑物内的解放军61398部队。

证据一：中国电信授权61398部队接入上海005中心

这是中国电信的一个内部文件（截图下方是发现该文件的网址）。
里面明确提到了：61398部队隶属总参三部二局，位于高桥（上海浦东）。

证据二：中国网络部队黑客常用的工具

这是御用骇客收集用户口令的工具。

使用脚本获取windows信息的代码截图

证据三：中国网络部队黑客通过邮件攻击图解

 

证据四：被人肉的骇客之一：汪东（网名 Ugly Gorilla）

他暴露的主要问题在于，他使用了相同的邮箱（uglygorilla@163.com），相同的网名（UglyGorilla）注册了如下网站：

1. 中国军网

该网站隶属《解放军报》旗下。2004年，张召忠（赫赫有名的天朝战略忽悠局局长）做客该网站，接受网友的在线提问。当时汪东曾向张召忠在线提问，问题内容是关于”中国网络战”。

看来张召忠的忽悠能力很强啊。连御用骇客都成为他的粉丝了。

强国论坛也有他的注册信息

 

2. rootkit.com
这是国外知名的黑客网站，专门提供 "木马/后门" 等方面的资料。

该网站后来被大名鼎鼎的 “匿名黑客组织” 攻破并爆库，用户数据库中就有 uglygorilla@163.com，且注册该帐号的 IP 地址（58.246.255.28）来自上海浦东高桥。
3. www.pudn.com
国内开发人员网站，美国安全专家在该网站上查到了注册用户 UglyGorilla 的真名是 "汪东"。

另外，他还喜欢处处留名——在自己开发的木马工具中，写了如下签名：
v1.0 No Doubt to Hack You, Writed by UglyGorilla, 06/29/2007

细心的同学应该已经发现了，这句签名存在英语的语法错误。美国专家显然也发现这一点。他们还整理了一个清单，列出了入侵美国公司的木马软件中，存在的各种英语语法错误。截图如下：

这都是典型的中国式英语啊

证据五：被人肉的骇客之二：DOTA

此人注册了很多邮箱（比如 dota.d001@gmail.com – dota.d015@gmail.com），主要用来伪造不同身份，搞社会工程学的入侵。（如果你没听说过 “社会工程学”，可以看俺在 “这里” 的扫盲教程）

Mandiant 的报告提到说，由于创建的帐号太多，所以口令管理是一件麻烦事。DOTA 经常使用基于键盘布局的口令（比如 1qaz@WSX#EDC）。这种口令表面上复杂，其实强度不够。
很可能是因为 DOTA 的口令不够强，某些邮箱帐号被 Mandiant 的专家攻破了。下面是 DOTA 的某个 Gmail 邮箱的截图。
拿到 DOTA 的 Gmail 邮箱之后，DOTA 的很多入侵行为就显而易见了。

DOTA 的 Gmail 邮箱被美国人黑了之后，发现了很多有用信息

Mandiant 的报告还提到说，DOTA 除了使用基于键盘布局的口令，还使用了这个口令（2j3c1k）。Mandiant 的专家怀疑，2j3c1k 对应于中文 “2局3处1科”（61398部队隶属总参3部2局）。
另外，DOTA 注册邮箱使用了手机接收验证码，所以他的手机也被曝光了，号码是 159-2193-7229（中国移动上海号段）

证据六：被人肉的骇客之二： SuperHard (Mei Qiang/梅强)

从报告上看，梅强的邮箱是mei_qiang_82@sohu.com”，IP 地址来自 58.247.237.4，确定其出生日期为1982年，其余不详

其它

下面这张是：61398部队的成员发表的信息安全相关论文

下面这张是：61398部队在浙江大学招收定向研究生

 

 

转载请注明：去分享平台 » 美国人是怎么发现解放军神秘的网络战部队——总参三部二局(61398部队）