摘要:编者的话:国家计算机病毒应急处理中心、计算机病毒防治技术国家工程实验室和360数字安全集团5日联合发布《“蚍蜉撼树”——台民进党当局“资通电军”黑客组织网络攻击活动调查报告》(以下简称“报告”),深度曝光“资通电军”的历史背景、组织架构、人员构成、工作地点、工
本报记者 郭媛丹 马 俊 本报特约记者 陈 山
编者的话:国家计算机病毒应急处理中心、计算机病毒防治技术国家工程实验室和360数字安全集团5日联合发布《“蚍蜉撼树”——台民进党当局“资通电军”黑客组织网络攻击活动调查报告》(以下简称“报告”),深度曝光“资通电军”的历史背景、组织架构、人员构成、工作地点、工作任务及网络攻击案例等信息,揭开了台湾所谓网络战部队的真面目。
隶属台湾“资通电军”
5日发布的报告称,台民进党当局支持的黑客组织(以下简称“台APT组织”)长期针对大陆政府和公共服务机构、科研单位、高等院校、国防科技工业企业、外事机构等实施网络间谍活动,其主要目的是窃取并向境外反华势力出卖国家重要外交政策信息、国防军工技术、尖端科技成果、国民经济运行数据等敏感情报信息,破坏社会公共秩序并制造混乱,配合美国政府和美军以对我长期实施网络战、舆论战、认知战,充当美对华“颜色革命”爪牙。
这次被曝光的5个台APT组织均由台湾民进党当局支持,并由台当局防务部门下属“资通电军”部队指挥。所谓“资通电军”全称为“国防部资通电军指挥部”,系蔡英文上台后着力打造的“第四军种”,成立于2017年7月1日,具有美国网军的深厚背景,其前身曾隶属于台湾当局“国防部”“老虎小组”网络部队。该指挥部统合台军方、“政府”与民间网络技术力量,被称为“台湾最神秘的部队”。
据介绍,1964年9月16日,台湾国民党军队各军种通讯队整并成立“国防部统一通信指挥部”,为台湾军事部门直属三级机关。该指挥部为台湾军方网络通信统筹单位的前身。2001年1月1日,台湾军事部门成立“国防部通信资讯指挥部”,负责台湾军事系统通信网络系统运作、网络攻防能力的整备与运用,并执行网络信息安全、网络安全事件应对、电子战等任务。这是台当局第一个统筹全岛网络安全的军事单位,隶属于台湾陆军。2004年4月20日,“通信资讯指挥部”改编为“国防部参谋本部资电作战中心”,直属于台军方“参谋本部”,专司成立一批“电子作战组”,负责拟定电子战计划、推动政策与管理分配频谱等任务。同时,将其原先成立的训练班调整为“资电模拟训练中心”,作为统一训练网络人才的机构。
蔡英文上台后,于2016年提出“资安即国安1.0”战略,着力强化台湾资安环境。2017年7月1日,蔡英文正式将“资电作战中心”升格为“国防部参谋本部资通电军指挥部”,并亲自主持编成典礼。该指挥部依然直属于台军方“参谋本部”,指挥官从少将编制调升为中将编制。2021年,蔡英文政府推出“资安即国安2.0”战略。2022年1月1日,“国防部参谋本部资通电军指挥部”正式升格为“国防部资通电军指挥部”,直属于台当局“国防部”,直接向“国防部长”负责,不再由“参谋本部”统管。
根据台当局所谓“《台湾军事部门组织法》”,“资通电军”下设四个处级内设机构和一个培训性质的训测中心。相关技术力量主要集中在资讯通信处、网络作战处和电子作战处,分别下辖资讯通信联队、网络战联队、电子作战中心。其中,资讯通信联队包括资通支援第一大队、资通支援第二大队、资通支援第三大队、花莲资通作业队和金门资通作业队。网络战联队由指管防护科和网络作战大队组成,联队长为少将军衔、大队长为上校军衔。
据台湾中时新闻网介绍,“资通电军”的网络战联队是台军除了空军之外首个以“联队”为编制的作战单位,会在台湾各大学“招兵买马”。该部队下辖的网络战人员会效仿台“军情局”的情报员,利用民间身份作为掩护,也会借助民间公司充当掩护单位。
曝光5个黑客组织
报告此次曝光了台“资通电军”部队指挥的5个黑客组织:APT-C-01(毒云藤)、APT-C-62(三色堇)、APT-C-64(匿名者64)、APT-C-65(金叶萝)和APT-C-67(乌苏拉)。
APT-C-01“毒云藤”组织与美国网络司令部关系密切,长期参与美军的所谓“前出狩猎”行动。该组织重点针对中国大陆各级政府和公共服务机构、国防军工、科研教育等多个重要行业领域实施网攻窃密和系统破坏活动,特别关注我国防科技工业发展成果、中美关系、两岸关系和海洋科学研究活动等相关信息。该组织利用我方政治、经济和社会运行的重大时事话题构造钓鱼网站或诱饵文档,其攻击活动多以非法窃取受害者常用电子邮箱的用户名和口令作为初始入侵阶段的主要战术,非法登录受害人邮箱并窃取相关邮件信息后,再进一步以此邮箱为跳板构造更加具有欺骗性的钓鱼信息,尝试控制更多电子邮箱或入侵目标单位内的其他高价值目标设备,并窃取敏感数据和重要情报信息。例如从2024年5月开始,解放军东部战区于台湾省周边海域多次开展“联合利剑-2024”演习,对“台独”分裂势力“谋独”行径进行有力惩戒。在此背景下,该组织将攻击目标延伸到我海事领域,重点对我沿海地区的相关海事机构开展有针对性的钓鱼邮件攻击,妄图通过窃取相关海事部门有关情报预判我海军军演行动计划细节。该组织人员构成相对固定,攻击据点变化不多,具有明显的现役军人特征。
APT-C-62“三色堇”组织的攻击目标与“毒云藤”组织高度重叠,主要针对我高校和科研机构、交通运输行业、海事部门等重点领域网络目标实施网攻窃密活动。该组织早期攻击活动主要通过钓鱼邮件投递恶意附件或者钓鱼链接,近期则主要针对中国大陆和日韩等国的Web应用系统进行攻击,通常利用相关系统已知漏洞进行边界突破,随后投放部署开源木马程序、免费或商业渗透测试工具及远控程序等,进而持续实施内网横向移动、图像监控系统控制、安全防范系统控制及各类数据窃取活动。
APT-C-64“匿名者64”组织是一个配合美国反华势力专门对我实施“颜色革命”的反动犯罪组织,其前身是台当局军方情治部门的对华“战组”,在我周边国家和地区建立据点长期实施远程窃密和捣乱破坏活动。其对我实施网络攻击的线索最早可追溯至2006年。该组织现阶段的攻击目标主要涉及大陆及港澳地区政府和企事业单位的数字媒体服务系统,以及相关网站、户外电子屏幕、网络电视等,攻击目的是篡改系统播放内容,插播“台独”“精日”信息,图谋影响公众认知,干扰网民判断并进而扰乱社会公共秩序。由于该组织的攻击手法及网上活动习惯已被我方精准掌握,其网攻活动常常钻入我方为其设置的“蜜罐”和网络“陷阱”,暴露了大量网攻活动及人员身份线索。为掩盖其自身的无能以及向“台独”势力邀功请赏,该组织经常对其攻击成果进行肆意夸大,事实上,该组织公开宣称被其攻陷的网站大多为“山寨版”官方网站(甚至很可能是其自己搭建的邀功网站)或长期无人运维的僵尸网站。
APT-C-65“金叶萝”组织受美国军方支持,以窃取我关键信息基础设施重要数据为主要目的,同时也是一个暗藏的“情报贩子”。2020年以来,APT-C-65持续针对我国防军工、航空航天、能源等关键基础设施单位进行网络攻击渗透,技战术与“三色堇”组织相似。该组织的活动具有明显规律,特点突出,其攻击活动与台当局领导人的所谓“外事活动”紧密关联。
APT-C-67“乌苏拉”组织是一个近年来刚刚冒头的专门团队,主要针对中国大陆和港澳地区的物联网系统,特别是视频监控系统实施攻击窃密活动,意图通过控制大量视频监控设备,持续秘密窃取我网络及地理空间情报数据。2025年4月,正是因为该组织对广州某科技公司实施网络攻击,导致公司官方网站和部分业务系统受到干扰,网络服务中断数小时,给该公司造成了一定损失。广州市公安局天河区分局6月5日发布悬赏通告,对20名参与这次网络攻击活动的重要犯罪嫌疑人进行悬赏通缉。
三线水平,手段龌龊
360集团创始人周鸿祎介绍说,该集团和台湾APT组织“交手”经验丰富,并早在2007年就披露了首个台湾APT组织“毒云藤”。周鸿祎认为,台湾APT组织属于APT组织中的三线水平,他们的反溯源能力比较弱。尤其是其相关人员在历史上有多次极其不专业的操作,例如个人文档信息存储于攻击资源服务器,在制作一些诱饵文档和钓鱼页面时留下容易查证的痕迹,导致在前期侦察、攻击过程中经常漏洞百出。
国家计算机病毒应急处理中心的高级工程师杜振华对《环球时报》记者表示,台湾“资通电军”实施网络攻击时暴露了大量攻击源信息,追踪溯源难度并不大,为我们快速锁定攻击人员提供了有利条件。
通过对近期台APT组织相关攻击案例的溯源调查和技术分析,360数字安全集团专家表示,台湾民进党当局黑客组织的网络攻击技战术能力仍处于较低水平。主要表现在三个方面。一是主要使用已知漏洞进行攻击,自主漏洞挖掘和利用能力低下,缺乏高级“零日”漏洞储备。他们通常使用美国微软公司Windows操作系统和Office办公软件等流行软件产品的已知漏洞,以及国内较为流行的文档管理系统、办公自动化系统、CRM管理系统、视频安防监控系统等应用系统的漏洞实施攻击。
二是高度依赖公开互联网资源,包括免费或开源代码、木马、工具和商业渗透测试框架,以及公开的网络攻击技战术资料,缺乏自主的网络武器和技战术开发能力。台APT组织使用多种开源和商业渗透测试工具生成木马程序,实现对受害主机的文件窃取、远程实现各种恶意操作。他们有时也会使用免费的远程管理工具实施犯罪活动。
三是反溯源追踪能力弱,尤其是在诱饵文档和钓鱼网页的制作方面,经常漏洞百出,表明相关组织及其人员专业能力不足。台APT组织经常在钓鱼网页中暴露明显的攻击者语言文字特征。但台“资通电军”手段卑鄙龌龊,针对无法攻破的目标系统或未窃取到有价值数据的网络平台,他们往往气急败坏,恶意破坏目标系统,删除系统及其用户数据、恶意篡改数据或添加虚假信息、格式化系统存储设备等,严重干扰企业正常生产经营。
来源:环球时报热点