編者的話：國家計(jì)算機(jī)病毒應(yīng)急處理中心、計(jì)算機(jī)病毒防治技術(shù)國家工程實(shí)驗(yàn)室和360數(shù)字安全集團(tuán)5日聯(lián)合發(fā)布《“蚍蜉撼樹”——臺民進(jìn)黨當(dāng)局“資通電軍”黑客組織網(wǎng)絡(luò)攻擊活動(dòng)調(diào)查報(bào)告》（以下簡稱“報(bào)告”），深度曝光“資通電軍”的歷史背景、組織架構(gòu)、人員構(gòu)成、工作地點(diǎn)、工作任務(wù)及網(wǎng)絡(luò)攻擊案例等信息，揭開了臺灣所謂網(wǎng)絡(luò)戰(zhàn)部隊(duì)的真面目。

隸屬臺灣“資通電軍”

5日發(fā)布的報(bào)告稱，臺民進(jìn)黨當(dāng)局支持的黑客組織（以下簡稱“臺APT組織”）長期針對大陸政府和公共服務(wù)機(jī)構(gòu)、科研單位、高等院校、國防科技工業(yè)企業(yè)、外事機(jī)構(gòu)等實(shí)施網(wǎng)絡(luò)間諜活動(dòng)，其主要目的是竊取并向境外反華勢力出賣國家重要外交政策信息、國防軍工技術(shù)、尖端科技成果、國民經(jīng)濟(jì)運(yùn)行數(shù)據(jù)等敏感情報(bào)信息，破壞社會公共秩序并制造混亂，配合美國政府和美軍以對我長期實(shí)施網(wǎng)絡(luò)戰(zhàn)、輿論戰(zhàn)、認(rèn)知戰(zhàn)，充當(dāng)美對華“顏色革命”爪牙。

這次被曝光的5個(gè)臺APT組織均由臺灣民進(jìn)黨當(dāng)局支持，并由臺當(dāng)局防務(wù)部門下屬“資通電軍”部隊(duì)指揮。所謂“資通電軍”全稱為“國防部資通電軍指揮部”，系蔡英文上臺后著力打造的“第四軍種”，成立于2017年7月1日，具有美國網(wǎng)軍的深厚背景，其前身曾隸屬于臺灣當(dāng)局“國防部”“老虎小組”網(wǎng)絡(luò)部隊(duì)。該指揮部統(tǒng)合臺軍方、“政府”與民間網(wǎng)絡(luò)技術(shù)力量，被稱為“臺灣最神秘的部隊(duì)”。

據(jù)介紹，1964年9月16日，臺灣國民黨軍隊(duì)各軍種通訊隊(duì)整并成立“國防部統(tǒng)一通信指揮部”，為臺灣軍事部門直屬三級機(jī)關(guān)。該指揮部為臺灣軍方網(wǎng)絡(luò)通信統(tǒng)籌單位的前身。2001年1月1日，臺灣軍事部門成立“國防部通信資訊指揮部”，負(fù)責(zé)臺灣軍事系統(tǒng)通信網(wǎng)絡(luò)系統(tǒng)運(yùn)作、網(wǎng)絡(luò)攻防能力的整備與運(yùn)用，并執(zhí)行網(wǎng)絡(luò)信息安全、網(wǎng)絡(luò)安全事件應(yīng)對、電子戰(zhàn)等任務(wù)。這是臺當(dāng)局第一個(gè)統(tǒng)籌全島網(wǎng)絡(luò)安全的軍事單位，隸屬于臺灣陸軍。2004年4月20日，“通信資訊指揮部”改編為“國防部參謀本部資電作戰(zhàn)中心”，直屬于臺軍方“參謀本部”，專司成立一批“電子作戰(zhàn)組”，負(fù)責(zé)擬定電子戰(zhàn)計(jì)劃、推動(dòng)政策與管理分配頻譜等任務(wù)。同時(shí)，將其原先成立的訓(xùn)練班調(diào)整為“資電模擬訓(xùn)練中心”，作為統(tǒng)一訓(xùn)練網(wǎng)絡(luò)人才的機(jī)構(gòu)。

蔡英文上臺后，于2016年提出“資安即國安1.0”戰(zhàn)略，著力強(qiáng)化臺灣資安環(huán)境。2017年7月1日，蔡英文正式將“資電作戰(zhàn)中心”升格為“國防部參謀本部資通電軍指揮部”，并親自主持編成典禮。該指揮部依然直屬于臺軍方“參謀本部”，指揮官從少將編制調(diào)升為中將編制。2021年，蔡英文政府推出“資安即國安2.0”戰(zhàn)略。2022年1月1日，“國防部參謀本部資通電軍指揮部”正式升格為“國防部資通電軍指揮部”，直屬于臺當(dāng)局“國防部”，直接向“國防部長”負(fù)責(zé)，不再由“參謀本部”統(tǒng)管。

根據(jù)臺當(dāng)局所謂“《臺灣軍事部門組織法》”，“資通電軍”下設(shè)四個(gè)處級內(nèi)設(shè)機(jī)構(gòu)和一個(gè)培訓(xùn)性質(zhì)的訓(xùn)測中心。相關(guān)技術(shù)力量主要集中在資訊通信處、網(wǎng)絡(luò)作戰(zhàn)處和電子作戰(zhàn)處，分別下轄資訊通信聯(lián)隊(duì)、網(wǎng)絡(luò)戰(zhàn)聯(lián)隊(duì)、電子作戰(zhàn)中心。其中，資訊通信聯(lián)隊(duì)包括資通支援第一大隊(duì)、資通支援第二大隊(duì)、資通支援第三大隊(duì)、花蓮資通作業(yè)隊(duì)和金門資通作業(yè)隊(duì)。網(wǎng)絡(luò)戰(zhàn)聯(lián)隊(duì)由指管防護(hù)科和網(wǎng)絡(luò)作戰(zhàn)大隊(duì)組成，聯(lián)隊(duì)長為少將軍銜、大隊(duì)長為上校軍銜。

據(jù)臺灣中時(shí)新聞網(wǎng)介紹，“資通電軍”的網(wǎng)絡(luò)戰(zhàn)聯(lián)隊(duì)是臺軍除了空軍之外首個(gè)以“聯(lián)隊(duì)”為編制的作戰(zhàn)單位，會在臺灣各大學(xué)“招兵買馬”。該部隊(duì)下轄的網(wǎng)絡(luò)戰(zhàn)人員會效仿臺“軍情局”的情報(bào)員，利用民間身份作為掩護(hù)，也會借助民間公司充當(dāng)掩護(hù)單位。

曝光5個(gè)黑客組織

報(bào)告此次曝光了臺“資通電軍”部隊(duì)指揮的5個(gè)黑客組織：APT-C-01（毒云藤）、APT-C-62（三色堇）、APT-C-64（匿名者64）、APT-C-65（金葉蘿）和APT-C-67（烏蘇拉）。

APT-C-01“毒云藤”組織與美國網(wǎng)絡(luò)司令部關(guān)系密切，長期參與美軍的所謂“前出狩獵”行動(dòng)。該組織重點(diǎn)針對中國大陸各級政府和公共服務(wù)機(jī)構(gòu)、國防軍工、科研教育等多個(gè)重要行業(yè)領(lǐng)域?qū)嵤┚W(wǎng)攻竊密和系統(tǒng)破壞活動(dòng)，特別關(guān)注我國防科技工業(yè)發(fā)展成果、中美關(guān)系、兩岸關(guān)系和海洋科學(xué)研究活動(dòng)等相關(guān)信息。該組織利用我方政治、經(jīng)濟(jì)和社會運(yùn)行的重大時(shí)事話題構(gòu)造釣魚網(wǎng)站或誘餌文檔，其攻擊活動(dòng)多以非法竊取受害者常用電子郵箱的用戶名和口令作為初始入侵階段的主要戰(zhàn)術(shù)，非法登錄受害人郵箱并竊取相關(guān)郵件信息后，再進(jìn)一步以此郵箱為跳板構(gòu)造更加具有欺騙性的釣魚信息，嘗試控制更多電子郵箱或入侵目標(biāo)單位內(nèi)的其他高價(jià)值目標(biāo)設(shè)備，并竊取敏感數(shù)據(jù)和重要情報(bào)信息。例如從2024年5月開始，解放軍東部戰(zhàn)區(qū)于臺灣省周邊海域多次開展“聯(lián)合利劍－2024”演習(xí)，對“臺獨(dú)”分裂勢力“謀獨(dú)”行徑進(jìn)行有力懲戒。在此背景下，該組織將攻擊目標(biāo)延伸到我海事領(lǐng)域，重點(diǎn)對我沿海地區(qū)的相關(guān)海事機(jī)構(gòu)開展有針對性的釣魚郵件攻擊，妄圖通過竊取相關(guān)海事部門有關(guān)情報(bào)預(yù)判我海軍軍演行動(dòng)計(jì)劃細(xì)節(jié)。該組織人員構(gòu)成相對固定，攻擊據(jù)點(diǎn)變化不多，具有明顯的現(xiàn)役軍人特征。

APT-C-62“三色堇”組織的攻擊目標(biāo)與“毒云藤”組織高度重疊，主要針對我高校和科研機(jī)構(gòu)、交通運(yùn)輸行業(yè)、海事部門等重點(diǎn)領(lǐng)域網(wǎng)絡(luò)目標(biāo)實(shí)施網(wǎng)攻竊密活動(dòng)。該組織早期攻擊活動(dòng)主要通過釣魚郵件投遞惡意附件或者釣魚鏈接，近期則主要針對中國大陸和日韓等國的Web應(yīng)用系統(tǒng)進(jìn)行攻擊，通常利用相關(guān)系統(tǒng)已知漏洞進(jìn)行邊界突破，隨后投放部署開源木馬程序、免費(fèi)或商業(yè)滲透測試工具及遠(yuǎn)控程序等，進(jìn)而持續(xù)實(shí)施內(nèi)網(wǎng)橫向移動(dòng)、圖像監(jiān)控系統(tǒng)控制、安全防范系統(tǒng)控制及各類數(shù)據(jù)竊取活動(dòng)。

APT-C-64“匿名者64”組織是一個(gè)配合美國反華勢力專門對我實(shí)施“顏色革命”的反動(dòng)犯罪組織，其前身是臺當(dāng)局軍方情治部門的對華“戰(zhàn)組”，在我周邊國家和地區(qū)建立據(jù)點(diǎn)長期實(shí)施遠(yuǎn)程竊密和搗亂破壞活動(dòng)。其對我實(shí)施網(wǎng)絡(luò)攻擊的線索最早可追溯至2006年。該組織現(xiàn)階段的攻擊目標(biāo)主要涉及大陸及港澳地區(qū)政府和企事業(yè)單位的數(shù)字媒體服務(wù)系統(tǒng)，以及相關(guān)網(wǎng)站、戶外電子屏幕、網(wǎng)絡(luò)電視等，攻擊目的是篡改系統(tǒng)播放內(nèi)容，插播“臺獨(dú)”“精日”信息，圖謀影響公眾認(rèn)知，干擾網(wǎng)民判斷并進(jìn)而擾亂社會公共秩序。由于該組織的攻擊手法及網(wǎng)上活動(dòng)習(xí)慣已被我方精準(zhǔn)掌握，其網(wǎng)攻活動(dòng)常常鉆入我方為其設(shè)置的“蜜罐”和網(wǎng)絡(luò)“陷阱”，暴露了大量網(wǎng)攻活動(dòng)及人員身份線索。為掩蓋其自身的無能以及向“臺獨(dú)”勢力邀功請賞，該組織經(jīng)常對其攻擊成果進(jìn)行肆意夸大，事實(shí)上，該組織公開宣稱被其攻陷的網(wǎng)站大多為“山寨版”官方網(wǎng)站（甚至很可能是其自己搭建的邀功網(wǎng)站）或長期無人運(yùn)維的僵尸網(wǎng)站。

APT-C-65“金葉蘿”組織受美國軍方支持，以竊取我關(guān)鍵信息基礎(chǔ)設(shè)施重要數(shù)據(jù)為主要目的，同時(shí)也是一個(gè)暗藏的“情報(bào)販子”。2020年以來，APT-C-65持續(xù)針對我國防軍工、航空航天、能源等關(guān)鍵基礎(chǔ)設(shè)施單位進(jìn)行網(wǎng)絡(luò)攻擊滲透，技戰(zhàn)術(shù)與“三色堇”組織相似。該組織的活動(dòng)具有明顯規(guī)律，特點(diǎn)突出，其攻擊活動(dòng)與臺當(dāng)局領(lǐng)導(dǎo)人的所謂“外事活動(dòng)”緊密關(guān)聯(lián)。

APT-C-67“烏蘇拉”組織是一個(gè)近年來剛剛冒頭的專門團(tuán)隊(duì)，主要針對中國大陸和港澳地區(qū)的物聯(lián)網(wǎng)系統(tǒng)，特別是視頻監(jiān)控系統(tǒng)實(shí)施攻擊竊密活動(dòng)，意圖通過控制大量視頻監(jiān)控設(shè)備，持續(xù)秘密竊取我網(wǎng)絡(luò)及地理空間情報(bào)數(shù)據(jù)。2025年4月，正是因?yàn)樵摻M織對廣州某科技公司實(shí)施網(wǎng)絡(luò)攻擊，導(dǎo)致公司官方網(wǎng)站和部分業(yè)務(wù)系統(tǒng)受到干擾，網(wǎng)絡(luò)服務(wù)中斷數(shù)小時(shí)，給該公司造成了一定損失。廣州市公安局天河區(qū)分局6月5日發(fā)布懸賞通告，對20名參與這次網(wǎng)絡(luò)攻擊活動(dòng)的重要犯罪嫌疑人進(jìn)行懸賞通緝。

三線水平，手段齷齪

360集團(tuán)創(chuàng)始人周鴻祎介紹說，該集團(tuán)和臺灣APT組織“交手”經(jīng)驗(yàn)豐富，并早在2007年就披露了首個(gè)臺灣APT組織“毒云藤”。周鴻祎認(rèn)為，臺灣APT組織屬于APT組織中的三線水平，他們的反溯源能力比較弱。尤其是其相關(guān)人員在歷史上有多次極其不專業(yè)的操作，例如個(gè)人文檔信息存儲于攻擊資源服務(wù)器，在制作一些誘餌文檔和釣魚頁面時(shí)留下容易查證的痕跡，導(dǎo)致在前期偵察、攻擊過程中經(jīng)常漏洞百出。

國家計(jì)算機(jī)病毒應(yīng)急處理中心的高級工程師杜振華對《環(huán)球時(shí)報(bào)》記者表示，臺灣“資通電軍”實(shí)施網(wǎng)絡(luò)攻擊時(shí)暴露了大量攻擊源信息，追蹤溯源難度并不大，為我們快速鎖定攻擊人員提供了有利條件。

通過對近期臺APT組織相關(guān)攻擊案例的溯源調(diào)查和技術(shù)分析，360數(shù)字安全集團(tuán)專家表示，臺灣民進(jìn)黨當(dāng)局黑客組織的網(wǎng)絡(luò)攻擊技戰(zhàn)術(shù)能力仍處于較低水平。主要表現(xiàn)在三個(gè)方面。一是主要使用已知漏洞進(jìn)行攻擊，自主漏洞挖掘和利用能力低下，缺乏高級“零日”漏洞儲備。他們通常使用美國微軟公司W(wǎng)indows操作系統(tǒng)和Office辦公軟件等流行軟件產(chǎn)品的已知漏洞，以及國內(nèi)較為流行的文檔管理系統(tǒng)、辦公自動(dòng)化系統(tǒng)、CRM管理系統(tǒng)、視頻安防監(jiān)控系統(tǒng)等應(yīng)用系統(tǒng)的漏洞實(shí)施攻擊。

二是高度依賴公開互聯(lián)網(wǎng)資源，包括免費(fèi)或開源代碼、木馬、工具和商業(yè)滲透測試框架，以及公開的網(wǎng)絡(luò)攻擊技戰(zhàn)術(shù)資料，缺乏自主的網(wǎng)絡(luò)武器和技戰(zhàn)術(shù)開發(fā)能力。臺APT組織使用多種開源和商業(yè)滲透測試工具生成木馬程序，實(shí)現(xiàn)對受害主機(jī)的文件竊取、遠(yuǎn)程實(shí)現(xiàn)各種惡意操作。他們有時(shí)也會使用免費(fèi)的遠(yuǎn)程管理工具實(shí)施犯罪活動(dòng)。

三是反溯源追蹤能力弱，尤其是在誘餌文檔和釣魚網(wǎng)頁的制作方面，經(jīng)常漏洞百出，表明相關(guān)組織及其人員專業(yè)能力不足。臺APT組織經(jīng)常在釣魚網(wǎng)頁中暴露明顯的攻擊者語言文字特征。但臺“資通電軍”手段卑鄙齷齪，針對無法攻破的目標(biāo)系統(tǒng)或未竊取到有價(jià)值數(shù)據(jù)的網(wǎng)絡(luò)平臺，他們往往氣急敗壞，惡意破壞目標(biāo)系統(tǒng)，刪除系統(tǒng)及其用戶數(shù)據(jù)、惡意篡改數(shù)據(jù)或添加虛假信息、格式化系統(tǒng)存儲設(shè)備等，嚴(yán)重干擾企業(yè)正常生產(chǎn)經(jīng)營。

【來源：環(huán)球網(wǎng)】