編者的話：國家計算機病毒應(yīng)急處理中心、計算機病毒防治技術(shù)國家工程實驗室和360數(shù)字安全集團5日聯(lián)合發(fā)布《“蚍蜉撼樹”——臺民進黨當(dāng)局“資通電軍”黑客組織網(wǎng)絡(luò)攻擊活動調(diào)查報告》（以下簡稱“報告”），深度曝光“資通電軍”的歷史背景、組織架構(gòu)、人員構(gòu)成、工作地點、工作任務(wù)及網(wǎng)絡(luò)攻擊案例等信息，揭開了臺灣所謂網(wǎng)絡(luò)戰(zhàn)部隊的真面目。

隸屬臺灣“資通電軍”

5日發(fā)布的報告稱，臺民進黨當(dāng)局支持的黑客組織（以下簡稱“臺APT組織”）長期針對大陸政府和公共服務(wù)機構(gòu)、科研單位、高等院校、國防科技工業(yè)企業(yè)、外事機構(gòu)等實施網(wǎng)絡(luò)間諜活動，其主要目的是竊取并向境外反華勢力出賣國家重要外交政策信息、國防軍工技術(shù)、尖端科技成果、國民經(jīng)濟運行數(shù)據(jù)等敏感情報信息，破壞社會公共秩序并制造混亂，配合美國政府和美軍以對我長期實施網(wǎng)絡(luò)戰(zhàn)、輿論戰(zhàn)、認知戰(zhàn)，充當(dāng)美對華“顏色革命”爪牙。

這次被曝光的5個臺APT組織均由臺灣民進黨當(dāng)局支持，并由臺當(dāng)局防務(wù)部門下屬“資通電軍”部隊指揮。所謂“資通電軍”全稱為“國防部資通電軍指揮部”，系蔡英文上臺后著力打造的“第四軍種”，成立于2017年7月1日，具有美國網(wǎng)軍的深厚背景，其前身曾隸屬于臺灣當(dāng)局“國防部”“老虎小組”網(wǎng)絡(luò)部隊。該指揮部統(tǒng)合臺軍方、“政府”與民間網(wǎng)絡(luò)技術(shù)力量，被稱為“臺灣最神秘的部隊”。

據(jù)介紹，1964年9月16日，臺灣國民黨軍隊各軍種通訊隊整并成立“國防部統(tǒng)一通信指揮部”，為臺灣軍事部門直屬三級機關(guān)。該指揮部為臺灣軍方網(wǎng)絡(luò)通信統(tǒng)籌單位的前身。2001年1月1日，臺灣軍事部門成立“國防部通信資訊指揮部”，負責(zé)臺灣軍事系統(tǒng)通信網(wǎng)絡(luò)系統(tǒng)運作、網(wǎng)絡(luò)攻防能力的整備與運用，并執(zhí)行網(wǎng)絡(luò)信息安全、網(wǎng)絡(luò)安全事件應(yīng)對、電子戰(zhàn)等任務(wù)。這是臺當(dāng)局第一個統(tǒng)籌全島網(wǎng)絡(luò)安全的軍事單位，隸屬于臺灣陸軍。2004年4月20日，“通信資訊指揮部”改編為“國防部參謀本部資電作戰(zhàn)中心”，直屬于臺軍方“參謀本部”，專司成立一批“電子作戰(zhàn)組”，負責(zé)擬定電子戰(zhàn)計劃、推動政策與管理分配頻譜等任務(wù)。同時，將其原先成立的訓(xùn)練班調(diào)整為“資電模擬訓(xùn)練中心”，作為統(tǒng)一訓(xùn)練網(wǎng)絡(luò)人才的機構(gòu)。

蔡英文上臺后，于2016年提出“資安即國安1.0”戰(zhàn)略，著力強化臺灣資安環(huán)境。2017年7月1日，蔡英文正式將“資電作戰(zhàn)中心”升格為“國防部參謀本部資通電軍指揮部”，并親自主持編成典禮。該指揮部依然直屬于臺軍方“參謀本部”，指揮官從少將編制調(diào)升為中將編制。2021年，蔡英文政府推出“資安即國安2.0”戰(zhàn)略。2022年1月1日，“國防部參謀本部資通電軍指揮部”正式升格為“國防部資通電軍指揮部”，直屬于臺當(dāng)局“國防部”，直接向“國防部長”負責(zé)，不再由“參謀本部”統(tǒng)管。

根據(jù)臺當(dāng)局所謂“《臺灣軍事部門組織法》”，“資通電軍”下設(shè)四個處級內(nèi)設(shè)機構(gòu)和一個培訓(xùn)性質(zhì)的訓(xùn)測中心。相關(guān)技術(shù)力量主要集中在資訊通信處、網(wǎng)絡(luò)作戰(zhàn)處和電子作戰(zhàn)處，分別下轄資訊通信聯(lián)隊、網(wǎng)絡(luò)戰(zhàn)聯(lián)隊、電子作戰(zhàn)中心。其中，資訊通信聯(lián)隊包括資通支援第一大隊、資通支援第二大隊、資通支援第三大隊、花蓮資通作業(yè)隊和金門資通作業(yè)隊。網(wǎng)絡(luò)戰(zhàn)聯(lián)隊由指管防護科和網(wǎng)絡(luò)作戰(zhàn)大隊組成，聯(lián)隊長為少將軍銜、大隊長為上校軍銜。

據(jù)臺灣中時新聞網(wǎng)介紹，“資通電軍”的網(wǎng)絡(luò)戰(zhàn)聯(lián)隊是臺軍除了空軍之外首個以“聯(lián)隊”為編制的作戰(zhàn)單位，會在臺灣各大學(xué)“招兵買馬”。該部隊下轄的網(wǎng)絡(luò)戰(zhàn)人員會效仿臺“軍情局”的情報員，利用民間身份作為掩護，也會借助民間公司充當(dāng)掩護單位。

曝光5個黑客組織

報告此次曝光了臺“資通電軍”部隊指揮的5個黑客組織：APT-C-01（毒云藤）、APT-C-62（三色堇）、APT-C-64（匿名者64）、APT-C-65（金葉蘿）和APT-C-67（烏蘇拉）。

APT-C-01“毒云藤”組織與美國網(wǎng)絡(luò)司令部關(guān)系密切，長期參與美軍的所謂“前出狩獵”行動。該組織重點針對中國大陸各級政府和公共服務(wù)機構(gòu)、國防軍工、科研教育等多個重要行業(yè)領(lǐng)域?qū)嵤┚W(wǎng)攻竊密和系統(tǒng)破壞活動，特別關(guān)注我國防科技工業(yè)發(fā)展成果、中美關(guān)系、兩岸關(guān)系和海洋科學(xué)研究活動等相關(guān)信息。該組織利用我方政治、經(jīng)濟和社會運行的重大時事話題構(gòu)造釣魚網(wǎng)站或誘餌文檔，其攻擊活動多以非法竊取受害者常用電子郵箱的用戶名和口令作為初始入侵階段的主要戰(zhàn)術(shù)，非法登錄受害人郵箱并竊取相關(guān)郵件信息后，再進一步以此郵箱為跳板構(gòu)造更加具有欺騙性的釣魚信息，嘗試控制更多電子郵箱或入侵目標單位內(nèi)的其他高價值目標設(shè)備，并竊取敏感數(shù)據(jù)和重要情報信息。例如從2024年5月開始，解放軍東部戰(zhàn)區(qū)于臺灣省周邊海域多次開展“聯(lián)合利劍－2024”演習(xí)，對“臺獨”分裂勢力“謀獨”行徑進行有力懲戒。在此背景下，該組織將攻擊目標延伸到我海事領(lǐng)域，重點對我沿海地區(qū)的相關(guān)海事機構(gòu)開展有針對性的釣魚郵件攻擊，妄圖通過竊取相關(guān)海事部門有關(guān)情報預(yù)判我海軍軍演行動計劃細節(jié)。該組織人員構(gòu)成相對固定，攻擊據(jù)點變化不多，具有明顯的現(xiàn)役軍人特征。

APT-C-62“三色堇”組織的攻擊目標與“毒云藤”組織高度重疊，主要針對我高校和科研機構(gòu)、交通運輸行業(yè)、海事部門等重點領(lǐng)域網(wǎng)絡(luò)目標實施網(wǎng)攻竊密活動。該組織早期攻擊活動主要通過釣魚郵件投遞惡意附件或者釣魚鏈接，近期則主要針對中國大陸和日韓等國的Web應(yīng)用系統(tǒng)進行攻擊，通常利用相關(guān)系統(tǒng)已知漏洞進行邊界突破，隨后投放部署開源木馬程序、免費或商業(yè)滲透測試工具及遠控程序等，進而持續(xù)實施內(nèi)網(wǎng)橫向移動、圖像監(jiān)控系統(tǒng)控制、安全防范系統(tǒng)控制及各類數(shù)據(jù)竊取活動。

APT-C-64“匿名者64”組織是一個配合美國反華勢力專門對我實施“顏色革命”的反動犯罪組織，其前身是臺當(dāng)局軍方情治部門的對華“戰(zhàn)組”，在我周邊國家和地區(qū)建立據(jù)點長期實施遠程竊密和搗亂破壞活動。其對我實施網(wǎng)絡(luò)攻擊的線索最早可追溯至2006年。該組織現(xiàn)階段的攻擊目標主要涉及大陸及港澳地區(qū)政府和企事業(yè)單位的數(shù)字媒體服務(wù)系統(tǒng)，以及相關(guān)網(wǎng)站、戶外電子屏幕、網(wǎng)絡(luò)電視等，攻擊目的是篡改系統(tǒng)播放內(nèi)容，插播“臺獨”“精日”信息，圖謀影響公眾認知，干擾網(wǎng)民判斷并進而擾亂社會公共秩序。由于該組織的攻擊手法及網(wǎng)上活動習(xí)慣已被我方精準掌握，其網(wǎng)攻活動常常鉆入我方為其設(shè)置的“蜜罐”和網(wǎng)絡(luò)“陷阱”，暴露了大量網(wǎng)攻活動及人員身份線索。為掩蓋其自身的無能以及向“臺獨”勢力邀功請賞，該組織經(jīng)常對其攻擊成果進行肆意夸大，事實上，該組織公開宣稱被其攻陷的網(wǎng)站大多為“山寨版”官方網(wǎng)站（甚至很可能是其自己搭建的邀功網(wǎng)站）或長期無人運維的僵尸網(wǎng)站。

APT-C-65“金葉蘿”組織受美國軍方支持，以竊取我關(guān)鍵信息基礎(chǔ)設(shè)施重要數(shù)據(jù)為主要目的，同時也是一個暗藏的“情報販子”。2020年以來，APT-C-65持續(xù)針對我國防軍工、航空航天、能源等關(guān)鍵基礎(chǔ)設(shè)施單位進行網(wǎng)絡(luò)攻擊滲透，技戰(zhàn)術(shù)與“三色堇”組織相似。該組織的活動具有明顯規(guī)律，特點突出，其攻擊活動與臺當(dāng)局領(lǐng)導(dǎo)人的所謂“外事活動”緊密關(guān)聯(lián)。

APT-C-67“烏蘇拉”組織是一個近年來剛剛冒頭的專門團隊，主要針對中國大陸和港澳地區(qū)的物聯(lián)網(wǎng)系統(tǒng)，特別是視頻監(jiān)控系統(tǒng)實施攻擊竊密活動，意圖通過控制大量視頻監(jiān)控設(shè)備，持續(xù)秘密竊取我網(wǎng)絡(luò)及地理空間情報數(shù)據(jù)。2025年4月，正是因為該組織對廣州某科技公司實施網(wǎng)絡(luò)攻擊，導(dǎo)致公司官方網(wǎng)站和部分業(yè)務(wù)系統(tǒng)受到干擾，網(wǎng)絡(luò)服務(wù)中斷數(shù)小時，給該公司造成了一定損失。廣州市公安局天河區(qū)分局6月5日發(fā)布懸賞通告，對20名參與這次網(wǎng)絡(luò)攻擊活動的重要犯罪嫌疑人進行懸賞通緝。

三線水平，手段齷齪

360集團創(chuàng)始人周鴻祎介紹說，該集團和臺灣APT組織“交手”經(jīng)驗豐富，并早在2007年就披露了首個臺灣APT組織“毒云藤”。周鴻祎認為，臺灣APT組織屬于APT組織中的三線水平，他們的反溯源能力比較弱。尤其是其相關(guān)人員在歷史上有多次極其不專業(yè)的操作，例如個人文檔信息存儲于攻擊資源服務(wù)器，在制作一些誘餌文檔和釣魚頁面時留下容易查證的痕跡，導(dǎo)致在前期偵察、攻擊過程中經(jīng)常漏洞百出。

國家計算機病毒應(yīng)急處理中心的高級工程師杜振華對《環(huán)球時報》記者表示，臺灣“資通電軍”實施網(wǎng)絡(luò)攻擊時暴露了大量攻擊源信息，追蹤溯源難度并不大，為我們快速鎖定攻擊人員提供了有利條件。

通過對近期臺APT組織相關(guān)攻擊案例的溯源調(diào)查和技術(shù)分析，360數(shù)字安全集團專家表示，臺灣民進黨當(dāng)局黑客組織的網(wǎng)絡(luò)攻擊技戰(zhàn)術(shù)能力仍處于較低水平。主要表現(xiàn)在三個方面。一是主要使用已知漏洞進行攻擊，自主漏洞挖掘和利用能力低下，缺乏高級“零日”漏洞儲備。他們通常使用美國微軟公司W(wǎng)indows操作系統(tǒng)和Office辦公軟件等流行軟件產(chǎn)品的已知漏洞，以及國內(nèi)較為流行的文檔管理系統(tǒng)、辦公自動化系統(tǒng)、CRM管理系統(tǒng)、視頻安防監(jiān)控系統(tǒng)等應(yīng)用系統(tǒng)的漏洞實施攻擊。

二是高度依賴公開互聯(lián)網(wǎng)資源，包括免費或開源代碼、木馬、工具和商業(yè)滲透測試框架，以及公開的網(wǎng)絡(luò)攻擊技戰(zhàn)術(shù)資料，缺乏自主的網(wǎng)絡(luò)武器和技戰(zhàn)術(shù)開發(fā)能力。臺APT組織使用多種開源和商業(yè)滲透測試工具生成木馬程序，實現(xiàn)對受害主機的文件竊取、遠程實現(xiàn)各種惡意操作。他們有時也會使用免費的遠程管理工具實施犯罪活動。

三是反溯源追蹤能力弱，尤其是在誘餌文檔和釣魚網(wǎng)頁的制作方面，經(jīng)常漏洞百出，表明相關(guān)組織及其人員專業(yè)能力不足。臺APT組織經(jīng)常在釣魚網(wǎng)頁中暴露明顯的攻擊者語言文字特征。但臺“資通電軍”手段卑鄙齷齪，針對無法攻破的目標系統(tǒng)或未竊取到有價值數(shù)據(jù)的網(wǎng)絡(luò)平臺，他們往往氣急敗壞，惡意破壞目標系統(tǒng)，刪除系統(tǒng)及其用戶數(shù)據(jù)、惡意篡改數(shù)據(jù)或添加虛假信息、格式化系統(tǒng)存儲設(shè)備等，嚴重干擾企業(yè)正常生產(chǎn)經(jīng)營。

【來源：環(huán)球網(wǎng)】