揭秘一支中国网络间谍部队

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

APT1:“揭秘一支中国网络间谍部队”2014-05-24H3C测试中心安全小组第1页,共87页APT1:揭秘一支中国网络间谍部队----------MANDIANTH3C测试中心安全小组原文翻译制作APT1:“揭秘一支中国网络间谍部队”2014-05-24H3C测试中心安全小组第2页,共87页目录TableofContents1 摘要...........................................................................................................................5 2 中国61398部队的计算机网络作战任务......................................................................9 3 APT1:多年的间谍活动...........................................................................................22 4 APT1:攻击生命周期..............................................................................................28 5 APT1:基础设施.....................................................................................................43 6 APT1:身份.............................................................................................................55 7 结论.........................................................................................................................62 附录AMandiant如何辨别黑客组织..............................................................................63 附录B高级持续入侵和攻击的生命周期.......................................................................65 附录C恶意软件库.......................................................................................................68 附录DFQDNS.............................................................................................................69 附录EMD5哈希.........................................................................................................70 附录FSSL认证............................................................................................................71 附录GIOCs.................................................................................................................72 附录H视频..................................................................................................................76《美国全球监听行动纪录》全文2014年05月26日17:23新华社...............................77 APT1:“揭秘一支中国网络间谍部队”2014-05-24H3C测试中心安全小组第3页,共87页APT1:揭秘一支中国网络间谍部队关键词:APT、PLA、IOCs缩略语清单:Abbreviations缩略语Fullspelling英文全名中文APTAdvancedPersistentThreat高级持续攻击PLAPeople’sLiberationArmy中国人民解放军CPCCommunistPartyofChina中国共产党GSDGeneralStaffDepartment总参(部队)IOCsIndicatorsofCompromise危险指标APT1:“揭秘一支中国网络间谍部队”2014-05-24H3C测试中心安全小组第4页,共87页“中国的商业间谍活动已经达到了令人无法忍受的程度,而且我认为美国和美国在欧洲和亚洲的盟友,必须直面北京的威胁,并且要求他们停止这种强盗活动。北京正在对我们发动大规模贸易战,我们应该联合起来迫使北京停止战争。只有联合起来,才能对中国形成贸易优势,并且利用这种优势阻止灾难的发生。”—U.S.Rep.MikeRogers,2011年10月“在没有任何确凿证据的情况下,这是一份对中国发动网络战的业余的、无理的指责。”—中国国防部,2013年1月APT1:“揭秘一支中国网络间谍部队”2014-05-24H3C测试中心安全小组第5页,共87页1摘要从2004年开始,Mandiant公司已经调查了全球数百个组织的计算机安全事件,这些事件中的大部分都属于“高级持续入侵”(AdvancedPersistentThreat,简写为APT)攻击。我们第一次公布APT的细节,是在2010年1月份的“M-Trends”报告中。正如我们在报告中描述的:“中国政府可能参与了这些活动,但是我们无法确定参与的程度”。现在,三年过去了,我们有证据修正以前的结论。我们分析了几百起调查事件的细节,使我们相信发起这些攻击的组织主要位于中国,并且中国政府默认了他们的行为。Mandiant持续跟踪了世界上很多能够发动APT攻击的组织,这份报告聚焦于这些组织中的大多数,我们称之为“APT1”。在APT1中,有超过20个组织都位于中国。昀晚从2006年开始,APT1就成了计算机间谍活动参与者的唯一组织。根据我们的观察,APT1是众多成功窃取大量信息的组织的一个。APT1参与者的规模和影响,促使我们写了这份报告。我们已经发现了APT1实施的部分计算机间谍活动。虽然只有部分,但是我们能够推断出,在过去七年中,有超过150名的受害者遭到入侵。根据受害者的反馈,我们从网络上逆向追踪APT1,发现了位于上海的发起攻击的四个网络,其中有两个位于浦东新区。我们揭示了APT1发起攻击的基础设施以及惯用方法(工具、手段和攻击过程)。为了突出每一名攻击者,Mandiant公司展示了其中三个人的画像。这三个人,也许是三名士兵,可能仅仅是按照别人的指令行动。通过分析,我们推断APT1很可能受到政府的资助。因此,我们也相信APT1能够在大范围内发动长期的计算机间谍活动。在确认入侵者身份的过程中,我们的研究发现,中国人民解放军61398部队和APT1在任务、能力和资源上很相近。中国人民解放军61398部队和APT1也位于同样的区域。APT1:“揭秘一支中国网络间谍部队”2014-05-24H3C测试中心安全小组第6页,共87页关键发现APT1被认为隶属于总参三部二局,更普遍的称呼是61398部队¾61398部队的任务属于国家机密,尽管如此,我们认为它的主要任务是“计算机网络破坏”¾61398部队的一部分位于上海浦东新区高桥镇大同路,一座2007年前的建筑中,其中心占地130663英尺,有12层楼¾基于61398部队的建筑规模,我们估计它可能有几百名,甚至上千名的成员¾中国电信集团以国家安全的名义,提供了专门的光纤接入通道¾61398部队要求它的成员都接受计算机安全和计算机网络的培训,并且精通英语¾Mandiant追踪的位于上海的,APT1发起攻击的四个网络中,有两个位于61398部队的建筑内APT1已经从至少141个组织,系统的窃取了几百个T的数据,并且展现出了从更多的组织同时窃取数据的能力和意图¾从2006年开始,APT1已经入侵了20多个行业的141家公司¾APT1有明确的攻击方法以窃取大量数据¾一旦APT1成功侵入,它会每隔几个月或者几年窃取一次各类数据,包括工业蓝皮书、专业制造流程、测试结果、商业计划、价格书、合作协定、电子邮件和受害组织领导的联系人列表¾APT1会使用其它APT组织未使用过的工具和技术,比如两种窃取电子邮件的技术-GETMAIL和MAPIGET¾APT1会长年接入受害者的网络,昀长的达到1764天,即4年10个月¾APT1在10个月的时间中,从某个组织窃取了6.5T的压缩数据¾在2011年初,APT1成功的新入侵了10个行业的至少17名受害者APT1更倾向于入侵以英语为母语的国家的组织¾在APT1的141名受害者中,87%的公司总部位于以英语为母语的国家¾APT1攻击目标所属的行业,和中国政府第12个5年规划中7大新兴产业中的4个,是一致的APT1:“揭秘一支中国网络间谍部队”2014-05-24H3C测试中心安全小组第7页,共87页APT1在全球范围内控制着大量计算机资源¾为了展开攻击,APT1控制了成千的计算机资源¾在过去的两年中,APT1在13个国家,使用了849个不同的IP地址,创建了937个C2(CommandandControl)服务器。在849个IP地址中,有709个位于中国,109个位于美国¾在过去两年中(2011年1月~2013年1月),我们确认APT1的1905个成员,使用远程桌面从832个不同的IP地址,入侵了受害者的计算机¾我们确认在过去的几年中,有2551个FQDN(FullyQualifiedDomainName,完全合格域名)属于APT1Mandiant观测到的APT1发起的1905次入侵中,超过97%发起者使用的是在上海注册的IP地址,并且使用的是简体中文系统¾在我们的观测到的APT1实施的1905次攻击中,有1849次(占97%)其攻击者的键盘布局设置为“中国(简体)-美式键盘”。微软的远程桌面客户端配置会自动根据客户操作系统选择语言。因此,APT1攻击者极有可能是使用配置为显示简体中文的微软操作系统。¾APT1通过远程桌面控制的系统,根据IP地址,有98%(832个IP地址中的817个)都可以逆向追踪回中国¾我们分析了使用“HUCPacketTransmitTool”或“HTRAN”方式的767个独立的事件,共使用了614个不同的IP地址。这614个IP:-100%位于中国-99.8%位于前文提到的位于上海的4个攻击网络中的1个APT1:“揭秘一支中国网络间谍部队”2014-05-24H3C测试中心安全小组第8页,共87页APT1基础设施的规模意味着至少有几十个大型组织,更可能有潜在数百个操作员。¾我们保守估计,APT1的当前攻击的基础设施包括超过1,000台服务器。¾基于攻击量、持续时间和我们所观察到的攻击活动类型,APT1操作者需要有如下支持:有语言学家、开源研究人员、恶意软件作者、转换请求方的任务给操作员的业界专家,以及传送被盗信息给请求方的人。¾APT1也需要一个相当大的IT团

1 / 87
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功