【独家】美国人眼中的中国网络情报机构设置及情报收集能力解析

Original rekingshui 网络安全与网络战 2022-07-04

编者按

今天给推送一篇美国公开资料中关于中国网络情报机构设置和情报收集特点分析的文章。本文仅供学术研究使用，不代表作者同意文中任何观点和立场。

术语解释

CYBINT: 网络情报HUMINT：人工情报SIGINT：信号情报IMINT：图像情报

中国网络情报机构设置

安全分析师指出，中国拥有数个情报和安全组织，其中一些是大型机构的一部分。尽管还有其他收集情报的中国政府组织，但这些组织最为突出。

国家安全部国家安全部-国安局（MSS）

MSS作为中国的主要情报机构，负责外国情报和国内情报（但不包括军事情报），国家安全和反情报。 MSS是根据旧苏联克格勃的模式组织的，包括负责内部安全的第一局和负责外国情报和反情报的第二局。其他部分涉及SIGINT的收集和反监视以及印度，俄罗斯，日本，台湾和韩国等区域性目标。第十七局负责针对美国和欧洲国家的经济情报。

MSS的关键情报收集目标包括：

获得外国军事和民用高科技
收集有关中国的敌方军事计划，外交政策和外贸立场的信息
监视海外的中国持不同政见者团体。

中国人民解放军（PLA）

军事情报是解放军的职责，也是中国陆，海，空军的集中组织，由几个部门组成。一个是总参谋部总部第二部（2PLA），负责收集和传播与军事有关的HUMINT，SIGINT和IMINT。另一个是第三部门（3PLA），负责直接监视外国军队及其SIGINT，并监视外国通信并以计算机网络利用（CNE）的形式针对全球优先目标进行CYBINT运营。 3PLA的主要任务是通过监视通信，电子邮件帐户，网站和内部网络来控制信息。 3PLA还负责通信网络和PLA计算机系统的安全性。国防部结合了高性能计算和密码学的强大能力，以及其在拥有中国最大的专业语言学家的群体，成为中国军队形成高度技术能力的有利组成部分。 3PLA内的两个局值得特别关注。第二局，也称为61398部队，其军事掩护标志，似乎专门针对美国和加拿大，以获得政治，经济和军事情报。 3PLA第十二局据信将支持中国的空间监视网络，其任务是拦截卫星通信并收集天基SIGINT。最后，第四部门（4PLA）在PLA的SIGINT计划中负责电子情报。 4PLA还负责电子对策。分析人士指出，4PLA最近承担了执行计算机网络攻击（CNA）的任务，以支持中国在其他领域的军事行动。

战略支持部队（SSF）

消息人士称，中国内部正在采取行动集中化网络部门的报告，以更好地组织PLA的CYBINT能力，这些能力分布在各个下属部门中。战略支援部队（SSF）将接管解放军的太空和网络作战，并将涵盖中国新的核力量，太空力量和网络力量三合会的两个方面，这两个方面被中国军方称为“三个关键领域”。 SSF将负责通过目标跟踪和侦察，卫星导航以及网络和电磁空间的攻击和防御等行动，确保军方在航空航天，太空，网络和电磁战场中的本地优势。 SSF将负责信息战的方方面面，包括情报收集，技术侦察，网络战和电子战，这些都是中国关于非对称战和先发制人战略思想的核心。

中国网络情报收集特点

首先，西方对中国情报的看法是有偏见的，因为中国实际上是一个网络情报重点面向内部的国家。所有中国情报搜集，行动和安全活动的重中之重是维护中国的政治稳定状态和保持中国共产党的统治地位。这些优先事项驱动着所有外国情报收集，军事情报收集，经济情报统筹以及内部和外部安全行动。在每种情况下，这都包括CYBINT操作。与这些优先事项直接相关的目标是捍卫中国的领土完整，维持稳定的经济和社会发展，军事现代化和防止台湾独立。通过这些目标，中共寻求保持国家和国际实力的地位，以保持其作为中国执政机构的合法性。

开源情报公司Stratfor（2010）确定了三个主要的情报收集特征，这些特征使PRC的情报收集和运作与西方有所不同。这些特征中的每一个都直接影响到中国CYBINT的收集和活动。

首先，中华人民共和国在情报搜集活动中采用了“镶嵌方法”。在所有情报收集学科中，这涉及通过成千上万的资产积累大量的低等级且通常未分类（尽管在许多情况下是敏感的）数据。这种方法旨在通过精心收集仅在总体上有意义的许多情报来“超载”对手反情报机构。这是一个缓慢而乏味的过程，反映了中国传统上的耐心和毅力。第二个特征与情报收集者的身份有关。使用非专业情报人员，中国情报机构经常使用从外国在华出生的居民或在国外学习的学生，学者或研究人员中招募的非专业HUMINT资产。最后，众所周知，中国情报机构有时会利用勒索和蜜罐从事外国资产的长期种植。在网络领域的中华人民共和国情报行为中，可以看到通过大量数据收集进行“马赛克”收集的三个特征，非专业人员的使用以及对长期培养的重视。
高容量收藏：几乎所有分析家都同意，就数量，熟练程度和复杂程度而言，中国情报部门具有世界上最激进的网络入侵能力。中国人在全球范围内进行连续，复杂和熟练的大规模网络间谍活动，归因于中国网络情报收集活动的数据泄露远远超过归因于其他民族国家行为者的数据泄露。中国认为，CYBINT业务是提升其在国际政治和军事事务中的决定性因素，并且是确保经济增长以维持政权安全的主要工具。中国当局协调持续的进攻性传播，主要针对情报行动。中国情报部门利用各种APT，采用了各种技术，包括复杂而隐秘的网络入侵，技术含量较低的“暴力”和“嘈杂”的系统渗透尝试。在全世界几乎所有经济，军事，学术和政府部门中都发现了成功的入侵事件。入侵已窃取了数TB的敏感政府，商业所有权，知识产权以及用于情报目的的研发数据。分析人士指出，中国情报机构出于CYBINT的目的“利用了一切”，而前白宫负责网络安全和网络恐怖主义的顾问理查德·克拉克（Richard Clarke）明确表示“美国的每家大公司都已被中国渗透。”

非情报专业人员的使用：分析人士指出，中国情报部门吸收了数千名非智能专业人员的熟练计算机网络运营商，以进行CYBINT的收集和运营。这些运营商被组织成中国民用高科技产业和IT公司中的民兵网络战单位，接受过各种任务的培训，包括计算机网络渗透，计算机网络防御，心理战和欺骗行动。这些以行业为基础的网络民兵部队使用文职人员，财务资源和设备，为中国情报机构提供了访问联合国的机会。

长期渗透：必要时，中国情报机构在运用“慢速”计算机网络入侵技术方面表现出了精湛的技巧。由于最初的侦察和部署阶段可能持续数月甚至数年，因此中国情报CYBINT入侵活动已表现出纪律性，以便利用网络安全方面的漏洞来掩盖其活动，长时间处于未被发现的系统中并秘密进行渗透大量数据。例如，2013年2月，美国私人网络安全公司Mandiant（现为FireEye）发布了一份报告，其中提供了有关中国CYBINT威胁组织（称为APT1）活动的详细技术信息。根据该报告，该组织很可能来自人民解放军总参谋部第三部门（如下所述的3PLA）的下属单位。七年来，这个名为61298单位的部门渗透了至少141个组织的网络，包括公司，国际组织和外国政府。这些组织位于或总部位于15个国家/地区，代表20个行业，从信息技术到金融服务。通过这些入侵，APT1获得了对“广泛类别”的知识产权的访问权，并对其进行了窃取，包括技术蓝图，专有制造流程，测试结果，业务计划，定价文件，合作伙伴协议，电子邮件以及目标人群领导的联系清单和组织。

网络情报收集典型案例

在介绍相关案例之前，先讲CrowStrike关于APT组织命名规则。国家对手：

俄罗斯联邦–熊
中国–熊猫
伊朗–小猫
印度–老虎
朝鲜–千里马（神话中有翼的马）

非国家对手

骇客主义者/恐怖团体– al狼
犯罪集团-蜘蛛

为了识别和描述威胁因素组织，我们将使用Crowdstrike的命名约定。例如，“精力充沛的熊”是明显来自俄罗斯联邦的APT的称号，其针对的是美国，西班牙，法国，意大利，德国和其他国家/地区的石油和天然气公司。

以下是有关中国CYBINT收集业务的一些当代案例研究。这些示例突出了在中国智能计算机网络入侵中可以看到的几个常见主题。首先，这些例子说明，中国的CYBINT业务倾向于针对高科技，国防，研发和航空信息的丰富资源。其次，中国的CYBINT收集操作倾向于结合使用复杂的技术（零日漏洞利用，高级RAT等）和基本的方法（鱼叉式网络钓鱼）来渗透和利用网络。最后，这些例子表明，中国情报机构在CYBINT行动中对其APT进行了先进，有意，高效的指挥和控制。

闲荡熊猫

在2014年的情报报告中，Crowdstrike确定并描述了在中国上海以外成功运营的APT，并与3PLA的下属单位建立了可追溯的联系。使用该公司APT的命名约定将其称为“ 闲荡熊猫”，此威胁至少从2007年开始一直未发现，直到2012年Crowdstrike发现为止，并针对美国和欧洲政府，国防，研究和技术部门开展了CYBINT行动。该APT特别针对国防，卫星和航空航天行业。重要的是，据确认拥有对闲荡熊猫的指挥和控制权的3PLA部队将支持中国的太空监视网络。

在被发现之前，闲荡熊猫使用了各种各样的工具，包括几个远程访问工具（RAT）来进行情报收集操作。所使用的这些工具提供了对目标系统的广泛控制，并提供了随意部署其他工具的能力。闲荡熊猫使用的漏洞利用方法专注于流行的生产力应用程序，例如Adobe Reader和Microsoft Office，并可以通过鱼叉式网络钓鱼电子邮件部署自定义恶意软件。这些电子邮件包括附件，其中包含虚假的职位发布，虚假的商业手册以及人为的太空会议和卫星会议邀请。尽管尝试通过使用受感染的非中文网站来掩盖闲荡熊猫的网络源地址来进行网络入侵，但分析人员仍然能够通过结合使用数字取证，社交媒体，可商购的卫星图像，将APT归因于3PLA的要素，开源照片和中国的人文资源。尽管公开披露了APT的活动，但预计闲荡熊猫仍将继续积极针对西方实体进行CYBINT收藏。

飓风熊猫

2014年，Crowdstrike确定了另一个名为“飓风熊猫”的中国APT，其年度《全球互联网威胁报告》将其描述为有史以来技术最先进的中国CYBINT威胁参与者之一。于2014年2月首次被发现的熊猫飓风针对的是全球互联网服务，工程，航空航天和技术基础设施公司，看似重点是法国公司目标。首次观察到时，APT至少利用了两个零日漏洞利用程序（包括以前未知的Windows漏洞利用）。一旦进入目标网络，APT就会使用高级技术来获取合法凭据，横向移动，提升特权并建立远程桌面会话以实现其操作目标。发现后，Crowdstrike和另一家位于美国的网络情报公司FireEye都将Panda飓风的利用代码描述为具有100％可靠性的非常出色和高效的编写。这些公司指出，指挥和控制APT的人员已竭尽全力以最大程度地减少发现机会，并且只有在入侵操作期间绝对必要时才部署黑客工具，并在使用后立即将其删除。法医证据表明，熊猫飓风至少有五个月未针对目标系统进行操作（出于情报目的而泄露数据）。用于窃取数据的技术遵循的模式通常与PRC情报APT相关 APT的人员已竭尽全力以最大程度地减少发现机会，并且只有在入侵操作期间绝对必要时才部署黑客工具，并在使用后立即将其删除。法医证据表明，熊猫飓风至少有五个月未针对目标系统进行操作（出于情报目的而泄露数据）。用于窃取数据的技术遵循的模式通常与PRC情报APT相关。

深度熊猫

今天我们将在课堂结束时回顾最终的中国情报APT，因为它的指挥和控制行为特别受关注，这表明民族国家行为者可以迅速调整CYBINT集合以支持现实世界的活动和事件。 Deep Panda是一种复杂的中国血统APT，美国分析家已经追踪了至少四年。它针对关键和战略性的跨国业务垂直领域，包括：政府，国防，金融，法律和电信行业。 2014年初，分析师发现“深度熊猫”针对美国国家安全智囊团，特别是涉及地缘政治政策问题的高级人士，特别是在中国/亚太地区。 2014年6月18日，伊拉克和黎凡特伊斯兰国（ISIS）在伊拉克的地面冲突中取得了巨大成功，威胁到关键石油设施，因此深度熊猫立即将其目标转移到与伊拉克/中东问题有联系的个人。这与中国在伊拉克的主要石油利益可能遭到破坏有关，中国在伊拉克的石油利益占中国石油进口总量的20％，而中国在伊拉克石油部门的投资也很大。深度熊猫的快速瞄准枢纽展示了CYBINT的有意指挥和控制方向，以支持与真实世界事件相关的中国情报和国家安全目标。

（全文完）

信息时代，怎能不关注网络安全？

往期精选▼

1. 每个人都需要警惕的五大社交工程攻击方式

2. 如何生成安全易记的密码？看这里，一般人我不告诉他

3. 2019年美国十大数据泄密事件盘点：网络安全框架如何防止数据泄密事件的发生