中国人民解放军61398部队

中国人民解放军61398部队，位于上海市浦东新区^[3][4]，并使用该区电话号码注册电子邮件^[5]，是中国人民解放军下属的一支部队，长期受到西方国家情报部门及网络安全公司关注，被报道为从事相关黑客活动的“中国网络战的总部”^[6]。中华人民共和国国防部于2013年之前一直否认支持过任何黑客活动^[7][8]，但是解放军2013年12月出版的《战略学》首次谈到中国军方与民间黑客的编制^[9][10]。

中国人民解放军61398部队
中国人民解放军战略支援部队标志
国家或地区	中华人民共和国
直属	中国人民解放军战略支援部队
驻军/总部	上海市浦东新区高桥镇 江苏省昆山市（办事处）[1]
指挥官
部队长	未知
政治委员	马辉[2]

2013年2月美国麦迪安网络安全公司发布的报告，总结141个主要黑客攻击的反跟踪分析，认为中国人民解放军61398部队和多次从事高级持续性渗透攻击（英语：Advanced Persistent Threat，缩写APT）的黑客袭击有密切关连，并披露其实际地理位置是中国解放军驻扎在上海的一座塔楼^[7]，隶属于解放军总参谋部三部二局^[11][12][13]。但有中国官方背景的媒体反驳说，麦迪安公司的报告仅为其用作炒作公司知名度^[14]。

2014年5月19日，美国司法部以间谍罪起诉5名61398部队军官^[15]。

网络安全公司的指控

网络安全公司将高级持续性渗透攻击（英语：Advanced Persistent Threat，缩写APT）中“最多产的团体”命名为APT1^[5]，又称为“注释组”（Comment Crew）或“上海组”（Shanghai Group）^[11]。

2013年2月，美国麦迪安网络安全公司根据7年追踪的记录证据做出总结报告，指控中华人民共和国解放军是美国发生的一系列高层黑客攻击的幕后操纵者，并推测此团体极可能是61398部队。报告指称，自2006年以来，61398部队极可能盗取了美国150家公司机构的大量信息，并试图操控美国的关键基础设施，而且研究发现，中国共产党为解放军设置了重要任务——在全球进行网络间谍活动和盗取信息，麦迪安公司仍持续追踪已知超过20个同样来自中国的APT黑客集团，61398部队仅为其中之一^[16][17]。

报告认为，此中国人民解放军“61398部队”最有可能是策动黑客袭击的后台^[7]。麦迪安报告描述的黑客活动结论，提及美国政府情报人员证实“美方已对‘61398部队’的行为做了多年的跟踪和研究”，其内容以知识产权和美国基础建设为对象^[11][12][13]。

报告指出，61398部队实际地理位置是位于上海市浦东新区高桥镇大同路208号，建于2007年初，外有围墙，院内的中心建筑占地约13万平方英尺，高12层；此建物因此受到西方媒体的关注及探访，如《每日电讯报》报道该大楼有解放军哨兵看守、有中英文写着“军事禁区，不许拍照”的字样，外面围墙并有“忠于党、热爱人民，献身国防事业”标语；BBC记者试图拍摄大楼时受阻止，且被要求删除已拍摄录像^[6][7]；CNN记者试图拍摄大楼时也被哨兵驱赶^[18]。

根据报告，该部队技术娴熟，有一套明确攻击方法，黑客对横跨20个工业行业、近150企业及组织（其中87%总部都设在英语国家，主要在美国，两起受害者位于台湾）的目标窃取大量宝贵知识产权信息。在成功入侵后，获取访问通道，部队会在数月、数年内定期访问受害者以持续窃取各种信息。七年中被监测到针对近150家公司组织的攻击企图，遭窃数据达数十万GB，内容“包括技术蓝图、专有的制造工艺流程、测试结果、商业计划、定价文件、合作协议、电子邮件、联系人列表。”美国电脑分析专家调查100多次攻击过程发现，所有线索都指向位于上海的该座12层大楼^[13]。

关于报告的确证性，一些网络间谍专家指出，从麦迪安目前提供的证据看，距离证实“中国军方61398部队从事了该公司所说的那些网络间谍活动”仍有一小步距离，虽然有许多网络间谍活动令人不可思议地碰巧都源自那幢大楼所在的区域^[19]。

最令人不安的攻击行为是一次针对对施耐德电气下属的泰尔文特公司（Telvent）的成功入侵行动。该公司设计的软件被石油和天然气管道公司，以及电网运营企业用于远程控制阀门、开关和安全系统。安全公司AlienVault和戴尔的子公司SecureWorks的专家都认为这次攻击是由“注释组”发动的^[11]。AlienVault的安全研究员杰米·布拉斯科（Jaime Blasco）表示，“注释组”以攻击目标的数目来衡量很成功，但是其成员攻击的技术水平不算高明，主要依靠社会工程学的手段，很少利用0day攻击。SecureWorks的恶意软件研究主任Joe Stewart大致同意布拉斯科的看法，但认为“注释组”成员水平不一，其中的高手不但善于使用恶意软件，而且善于隐藏踪迹^[20]。他认为持续五年的网络攻击暗鼠行动也是由“注释组”发动的^[11]。

美国智库报告显示，61398部队隶属“总参三部二局”。总参三部，全称“中国人民解放军总参谋部技术侦察部”，正军级单位，负责搜集海外军事情报的官方机构，与国家安全部、总参谋部情报部等，共同构成中共情报网络；总部设在北京，于上海、青岛、珠海、哈尔滨、成都等地驻有机构，负责“信号情报”，工作估计包括监听电子通信、分析卫星情报、破解密码等，编制估计上万人。总参三部曾参与了1990年代台湾海峡导弹危机。总参三部下设多个局，其中二局（番号61398）负责英语目标，其他局成员则需熟悉日语、韩语、俄语、西班牙语等。《纽约时报》曾报道，美国智库机构2049项目研究所（Project 2049 Institute）2011年曾发布报告^[21]，指出“总参三部是以美国和加拿大为目标的重要实体，最可能关注有关政治、经济和军事的情报”。^{[16][22][23][24][25]}

部队编制

参见：中国人民解放军网络空间部队

“61398部队”隶属于原中国人民解放军总参谋部三部二局^[5]。《纽约时报》以“影子部队”称之，因为在解放军的官方编制中找不到它^[12][26]。

中国国防部发言人2011年指出，解放军组建了专门对付网络攻击的“网络蓝军”，同时表示，这支部队并非网络黑客，而是为了提高军队自身的防护水平^[27]。

与其他机构的联系

相关部队

网络安全公司 CrowdStrike报告指出，该部队与中国人民解放军61486部队共享电脑资源并相互通信。网络纪录显示有一次61486部队使用与61398部队相同的IP地址发动黑客攻击。纽约时报表示已经核实该报告的部分内容^[28][29][30]。

与大学的合作

该部队从大学招收计算机专业学生。例如该部队2004年向浙江大学计算机科学与技术学院招收2003级计算机专业硕士研究生为定向生，每学年提供国防奖学金5000元人民币，毕业后到该部队工作^[3][31]。2005年则在浙江大学数学系招收两名研究生^[24]。

该部队也与大学合作从事网络战争的研究。上海交通大学信息安全工程学院与该部队同位于浦东新区张江高科技园区，该学院的学者与该部队的研究员曾合写最少三篇有关网络战争的论文，例如2007年一篇研究入侵检测系统的论文，是由信安学院副院长兼教授薛质与该部队的研究员陈依群发表^[32][33][34]。美国麦迪安网络安全公司安全主管 Richard Bejtlich 在美国众议院外交委员会的听证会上表示，论文会公开与61398部队的关系，是因为作者认为该部队的秘密不会被泄漏^[35]。

各方反应

中国政府

中国外交部回应称，该报告的指控只是基于一些最基本的数据，而毫无证据力，对于黑客攻击记录进行无端猜测和指责，无助于解决该问题^[7]。

中华人民共和国国防部并未对“61398部队的存在与否”作出澄清，而是宣称“中国法律禁止黑客攻击等行为”、“中国军队从未支持过任何黑客行为”，并指责美国麦迪安安全公司缺乏技术及法律依据。国防部称“仅凭IP地址的通联关系就得出攻击源来自中国”的结论“缺乏技术依据”，并称通过盗用IP地址进行黑客攻击是网上常见的做法。 发言人耿雁生还表示，中国是网络攻击的主要受害国之一，解放军互联网用户终端遭受大量境外攻击，根据IP地址显示有相当数量攻击源来自美国，但解放军并未以此为由指责美方^[8]。

中华人民共和国国防部发言人在2013年2月20日的媒体吹风会上表示“中国军队从未支持过任何黑客行为。曼迪昂特（Mandiant）网络公司所说没有事实根据。”^[36]

美国政府

在《纽约时报》的报道发表后，美国白宫发言人表示，由于麦迪安的报告是一份非正式报告，所以对于报告不予置评，不过同时也表示，对中国政府表达最高级别的网络安全威胁的关切^[37]。美国众议院情报委员会主席罗杰斯则表示，中国方面的黑客袭击没有任何停止迹像，如果美国不做任何表示，只会加速来自中国的黑客袭击^[12]。

2013年，2月21日美国政府发布141页的《降低经贸机密遭窃行政策略报告》，以解决美国政府及企业长年网络遭骇及机密被窃的问题。报告由美国司法部、国防部、商务部及国土安全部等合拟，主要有五个方面的行动，包括（1）由资深外交官向窃盗国家领袖施压、（2）加强企业保护贸易机密的能力、（3）要求执法单位对相关案件加强调查与起诉、（4）检讨与窃取贸易机密相关法规、（5）促进大众了解问题严重性等。文字虽未特别针对中国方面，但司法部长侯德公开表示：“1名中国黑客坐在桌前，就能取走弗吉尼亚州1家软件公司的代码。只要敲几下键盘，1名被解雇或心情不好的国防承包商员工，就能盗走价值数十亿美元的设计、程序或公式。” ^[38]

2014年5月19日，美国司法部起诉五名中国人民解放军61398部队第3支队的成员——汪东（Wang Dong）^[39]、孙凯亮（Sun Kailiang）、文新宇（Wen Xinyu）、黄振宇（Huang Zhenyu）和顾春晖（Gu Chunhui），指控他们对美国美铝公司、美国钢铁公司、西屋公司、太阳能世界（英语：SolarWorld）和阿勒格尼技术公司（英语：Allegheny Technologies）共五家著名企业以及主要工会组织美国钢铁工人联合会进行经济间谍活动，这是美国首次对外国提出对美企业进行网络犯罪的刑事指控。美国司法部长埃里克·霍尔德称：世界许多国家互相彼此刺探情报， 但是，美国“断然谴责”中国人民解放军驻上海某单位的经济间谍活动，这些间谍活动向中国公司提供了“重要”信息。作为回应，中国政府拒绝接受美国提出的刑事指控，中国外交部称指控纯属无中生有、极其荒唐，并对美国大使鲍卡斯提出“严正抗议”^[40]。

2014年10月15日，美国联邦调查局警告美国企业，表示一个比“中国人民解放军61398部队”更敏捷、更秘密的中国黑客团体“公理队”（Axiom），在中国政府的支持下，对美国政府机构与企业从事至少四年的高级持续性渗透攻击，以窃取重要机密^[41]。美国官员私下表示，“公理队”活动的重要程度不亚于61398部队^[42]。

中国国内媒体

中国国防科技网发表一篇署名“上海国际问题研究院信息研究所助理研究员”的文章质疑，所谓的报告本身除去附录正文约60页，其罗列的证据仅是一张中国电信的施工单扫描件和从Google上搜索到的信息，而后面提及的网络攻击，罗列的一些IP地址只是位于上海市浦东新区的IP地址，并无指明与该军方大楼有直接关联。且即使是证实那些计算机发起网络攻击，也无法确实其是原发还是“僵尸电脑”（即被黑客用作跳板的受控计算机）。其罗列的攻击对象本身，也不是美国或其它国家的国防机构而只是公司，看起来不像是军事行为。整份报告使用大量吸引眼球的手段，包括使用大图显示解放军的军徽，实际上是为了对公司本身的知名度作出的宣传^[14]。

美国媒体

有媒体认为，美国政府及电脑安全产业关注并担心的是，近期来自该上海基地的袭击目标，主要针对“能够操纵美国重要基础设施的公司”，例如美国的电网、天然气、水资源系统；加拿大的石油输油管也遭攻击。报告认为“中华人民共和国政府完全知道他们的活动。”并指出“现在该是时候——指明网络威胁来自北京的时候了。”除了麦迪安报告之外，尚有许多其他网络安全专家表示，该组织实际曾发起过数千起的黑客袭击，最早可追溯到2006年^[12]。

美国《纽约时报》2013年报道称：总参三部下设多个局。其中二局（番号61398）负责英语目标，在上海浦东高桥镇有一幢12层高的楼房用于办公，是中华人民共和国的一支进行网络活动的部队^[43][44]。

《华尔街日报》2011年8月报道，中国中央电视台军事·农业频道军事节目一段10秒片段泄露了解放军方系统性的攻击海外及美国网站的最高军事秘密，抵触了中国政府“从未在海外从事任何形式的黑客活动”的说法^[45][46]。

《国际先驱论坛报》报道，这个部队原已受到西方网络安全公司、情报部门关注。早在2006年，代号“骤雨计划”（Titan Rain）的大规模网络攻击针对美国国防部和美国国会盗取数据，被美国国防部和英国军情六处确认是来自这个黑客群后，中西方网络战愈演愈烈。自2011年以来，源自该部队基地的黑客攻击数量猛增。《纽约时报》认为，美国处于一种与中国的不对称的网络战争中，并引述一名美国国防部资深官员的说法：美国在冷战时期的注意力都集中在莫斯科周围的核指挥中心，现在美国担心的是这所上海电脑中心^[6]。美国中央情报局前局长海登（英语：Michael Hayden (general)）表示，美国企业现在面临“一整个国家”的攻击，“是史无前例......而我们还没找到解决方案。”^[38]